25. Mai 2018 und …
25. Mai 2018 06:17 Uhr | Dr. Ulrich Kampffmeyer | Permalink
… die Welt dreht sich weiter. Heute tritt die DSGVO, die Datenschutz-Grundverordnung, international als GDPR, General Data Protection Regulation, bekannt, in Kraft. Dabei gelten die Regeln im Prinzip schon seit zwei Jahren. Verfolgt man Presseberichte und Werbung hatte man zeitweilig den Eindruck, dass es sich hier um ein Ereignis zum Jahr 2000 Wechsel handelte. Dabei regeln die DSGVO nur dass, was eigentlich schon seit Jahren selbstverständlich sein sollte. Man darf Adressen bei der Werbung nicht überstrapazieren und die Leute belästigen. Man darf die Daten nicht zur Ausforschung und zum persönlichen Nachteil der Menschen benutzen. Und man sollte wissen, welche Daten man wo im Unternehmen zu welchem Zweck hat. Letzteres ist das klassische Anwendungsgebiet des Informationsmanagements: „Der Wert der Information ist entscheidend für den Umgang mit Information. Nur Information, die bekannt ist, kann genutzt und geschützt werden. Nur bekannte Information hat einen inhärenten Wert.„
Ganzheitliche Information Governance ist angesagt
Personenbezogene Daten sind nur eine Sicht auf alle Daten im Unternehmen. Um personenbezogene Daten schützen und verwalten zu können, muss man alle Daten kennen. Das gleiche gilt auch für z.B. steuerlich relevante Daten oder Informationen die als Betriebsgeheimnisse einzustufen sind. Neben Verfahrensverzeichnissen (z.B. DSGVO), Prozessdokumentationen (z.B. ISO 9001:2015) und Verfahrensdokumentationen (z.B. GoBD) spielt die Informationslandkarte die entscheidende Rolle. In ihr sind die Orte, Besitzer und Regeln der verschiedenen Arten von Informationen dokumentiert (http://bit.ly/2GhBAiD). Solche Übersichten über ihre Informationen benötigen die Unternehmen schon immer. Deshalb sind die DSGVO nur eine neu formulierte generelle Anforderung an den ordnungsgemäßen Umgang mit Information. Warum dies immer noch von Menschen mühsam manuell dokumentiert werden muss (man sehe sich nur die ganzen Vordrucke in den sogenannten „Rettungspaketen“ zur DSGVO an), ist mir unerklärlich. Nahezu alle Informationen die für die Dokumentation benötigt werden, liegen in den Systemen vor (http://bit.ly/selbst-dokumentation; http://bit.ly/selbstdokumentierend). Dies wäre ein schönes Anwendungsgebiet für Bigdata Analysis und KI Künstliche Intelligenz. Die Klassifikation der Information, deren Auffinden und Kartieren, das Nachhalten der Veränderungen und Nutzung – das alles kann Software besser und schneller und vollständiger und nachvollziehbarer als der Mensch. Die Umsetzung der Anforderungen der GDPR ließe sich also am Besten innerhalb der Systeme mit den Mitteln der Systeme umsetzen. Und dabei sollte man sich nicht nur auf die aktuell diskutierte DSGVO stürzen sondern einen generellen Information-Governance-Ansatz verfolgen (http://bit.ly/InfoGov-Strategie) – sonst endet man wieder im Silo-Denken.
DSGVO & PROJECT CONSULT
Zurück zur aktuellen Situation mit der DSGVO. Natürlich hat auch PROJECT CONSULT ihre Datenschutzerklärung aktualisiert (https://www.project-consult.com/datenschutz) und konkret die Prozesse beschrieben, wie mit den Daten, die über die Webseite gewonnen werden, umgegangen wird. Popups informieren über die Nutzung von Session-Cookies. Auf Archivseiten (http://bit.ly/PCHHwebarchiv) wird darauf hingewiesen, dass diese eingefrorenen Bestände historisch sind und die DSGVO natürlich nicht kennen können (obwohl damals auch schon vor 20 Jahren der Umgang mit den im Web erfassten Informationen bei PROJECT CONSULT klar und entsprechend BDSG geregelt war).
Heute ist Towel Day
Kommen wir zum eigentlich wichtigen des heutigen Tages: der 25. Mai ist jedes Jahr „Towel Day“ (http://bit.ly/towelDay, http://www.towelday.org/). Der Towel Day erinnert an Douglas Adams und ist ein Meme aus dem Klassiker „Hitchhikers Guide to the Galaxy“. Heute also den ganzen Tag mit Handtuch unterwegs sein! Aus dem Hitchhikers Guide stammt auch das Meme „42“ – die ultimative Antwort auf alle Fragen des Seins, des Sinn des Lebens, der Zukunft, der Existenz … einfach aller Fragen. leider führt dies auch zu der Erkenntnis, dass die DSGVO nicht „42“ ist. Zu viele offene Flanken, zu viel Aufwand für Vereine, kleine Unternehmen und Einzelgewerbetreibende, zu viele Lücken für Großunternehmen, zu viel Bürokratie. Jedoch hilft es vielleicht den „Ängsten“ vor dem magischen Datum 25.5.2018 mit dem tiefgründigen Humor eines Douglas Adams entgegen zu treten. Arthur Dent hat es halt schließlich auch geschafft, den Weltuntergang zu überleben.
DSGVO & Social-Media-Gruppen | EUGH-Urteil zu Facebook-Fan-Pages
Das Urteil in der Rechtssache C-210/16 des Gerichtshof der Europäischen Union vom 5.6.2018 (https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf) macht das Leben mit Social-Media-Webseiten nicht einfacher … Als Betreiber einer Social-Media-Fan-Page oder -Gruppe wird man für die Inhalte und den Datenschutz mit verantwortlich gemacht. Rechtsanwalt Dr. Schwenke hat das EUGH-Urteil in einem ausführlichen Beitrag aufgearbeitet (https://allfacebook.de/policy/eugh-urteil). Selbst wenn man als Moderator oder Betreiber einer Gruppe oder Seite keinen Zugang zu den Daten der Plattform hat, ist man bei Verstößen der Plattform „mitgefangen“. Der Gerichtsfall liegt zwar vor dem Inkrafttreten der DSGVO, wird aber durch diese letztlich verstärkt.
Dies gilt aber auch für die Werkzeuge, die Social-Media-Plattformen den Moderatoren bereitstellen, um Auswertungen auch personenbezogener Daten zu ermöglichen. Als Betreiber oder Moderator einer Gruppe oder Seite auf einer Social-Media-Plattform erhält man so selbst Zugang zu Daten der teilnehmenden Nutzer. Auch wenn diese Werkzeuge in keiner Weise damit vergleichbar sind, was der Plattformbetreiber alles mit den Daten machen kann. Auch hier kann man sich schon in einer Grauzone bewegen, wenn man die Mitglieder einer Gruppe klassifiziert, die Teilnehmer an einer Veranstaltung auswertet. Schließlich sind die Mitglieder einer Gruppe und Abonnenten einer Seite keine persönliche „Freundschaft“ mit dem Betreiber der Gruppe der Seite eingegangen. Sie sind Mitglied geworden auf Grund des Interesses an einem Thema oder weil sie sich einer Interessensgemeinschaft zugehörig fühlen. Schnell verlassen auch die Daten von solchen Mitglieder die Plattform, wenn man außerhalb der Plattform zu Veranstaltungen einlädt, Links auf externe Angebote einbaut oder solche Daten an Dritte weitergibt, und sei es nur als Empfehlung.
PROJECT CONSULT benutzt in keiner ihrer Social-Media-Präsenzen die bereitgestellten Analyse-Werkzeuge und nutzt auf diesen Plattformen veröffentlichte Daten von anderen Nutzern nur innerhalb der jeweiligen Plattform entsprechend den Datenschutzbedingungen der jeweiligen Plattform. Dort entscheiden Sie als Nutzer der Social-Media-Plattform selbst, welche Daten und Inhalte Sie öffentlich machen.
Fan-Pages & Gruppen nach dem EUGH-Urteil: ein paar Quellen
Facebook-Fan-Seiten abschalten oder nicht – das ist hier die Frage? Und wichtiger, was sind die Auswirkungen für andere Social-Media-Angebote, für Gruppen, Events usw.? Und wird die deutsche Rechtsprechung reagieren, da ja das Urteil sich auf ein Gesetz bezieht, dass gerade durch die DSGVO abgelöst wurde? Fragen über Fragen … und ein paar mögliche Antworten:
Die Deutschen Datenschützer
DSK | Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018 | Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern https://www.PROJECT-CONSULT.de/files/DSK-zu-Fanpages-EuGH-Urteil-20180605.pdf
„Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.
Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.
Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.
Im Einzelnen ist Folgendes zu beachten:
Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.
Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“
Anwälte
RA Schwenke https://allfacebook.de/policy/eugh-urteil
RA Solmecke https://meedia.de/2018/06/05/abschalten-der-fanpages-derzeit-einzige-rechtskonforme-loesung-was-der-anwalt-zum-eugh-facebook-urteil-sagt/
RA Neubauer http://www.absatzwirtschaft.de/eugh-urteil-gelangen-jetzt-alle-facebook-fanpages-ins-fadenkreuz-der-datenschuetzer-eine-rechtsanalyse-133950/
RA Ulbricht http://www.rechtzweinull.de/archives/2606-eugh-urteil-facebook-fanpagebetreiber-mitverantwortlichkeit.html
RA Härting https://www.cr-online.de/blog/2018/06/06/fanpage-urteil-des-eugh-10-fragen-10-antworten-good-bye-auftragsverarbeitung-welcome-gemeinsame-verantwortlichkeit/
RA Diercks https://diercks-digital-recht.de/2018/06/update-entschliessung-der-dsk-zum-eugh-urteil-c-210-16-im-hinblick-auf-eine-gemeinsame-verantwortung-von-facebook-und-seitenbetreibern-spoiler-sie-muessen-was-tun/
Presse
Meedia https://meedia.de/2018/06/06/die-fuenf-wichtigsten-fragen-und-antworten-zum-eugh-urteil-zu-facebook-fanseitenbetreibern/
Heise https://www.heise.de/newsticker/meldung/Analyse-zum-EuGH-Urteil-Noch-kein-Grund-Facebook-Seiten-zu-schliessen-4069690.html
… und wenn jetzt noch auf solchen Fan-Pages ohne Datenschutzerklärung und ohne Kontrolle, was Facebook mit den Daten anstellt, auch noch Fotos gepostet werden, ohne dass man vorher das schriftliche Einverständnis der Fotografierten eingeholt hat … ja, dann kann man gleich auch das Internet abschalten.
Ob sich Facebook vom EuGH-Urteil beeindrucken lässt und eine entsprechende Vereinbarung mit den Betreibern einer Fan-Seite anbietet?
Oder ob eine GDPR-compliant Fan-Seite, Gruppe oder gleich Facebook insgesamt dann kostenpflichtig wird?
DSGVO & DSAnpUG : so richtig ist das Thema noch nicht durch
Es gibt einen neuen Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat: „Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG). Hierzu die Stellungnahme des DAV Deutscher Anwaltverein: http://bit.ly/2DSAnpUG (#DSAnpUG).
Auch durch die Richtlinien ergibt sich Bedarf das Thema Datenschutz weiter zu verfolgen:
Im Rahmen des Digital Single Market (DSM) werden diese Richtlinien auch in anderen Direktiven und Richtlinien der EU verankert.