Profile in EnglishNach und nach entwickelt sich die Praxis der Anwendung der DSGVO weiter und erste Entscheidungen werden bekannt. Nachstehend ein kleiner Überblick über Themen, die Stand Anfang November 2018 gerade aktuell in der Diskussion sind:
Facebook-Fanpages – EuGH 5. 6. 2018, C-210/16
Die Entscheidung bezieht sich auf die Auslegung des Begriffs „für die Verarbeitung Verantwortliche“ im Sinne der Datenschutz-Richtlinie 95/46/EG (also die alte, von der DSGVO abgelöste Datenschutzrichtlinie) sowie auf die Qualifikation von Betreibern einer Fanpage auf Facebook. Dabei ging es um die Abgrenzung, wer von den Beteiligten beim Betrieb einer Facebook-Fanpage welche datenschutzrechtliche Rolle hat.
Im Zusammenhang mit dieser Datenverarbeitung bejahte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und den Betreibern von Fanpages. Anders als bei der Auftrags(daten)verarbeitung, bei der ausschließlich der Auftraggeber über Zwecke, Umfang und Art der Datenverarbeitung bestimmt, sieht der EuGH bei Facebook-Fanpages diese Voraussetzung nicht mehr als gegeben an. Denn der Betreiber der Fanpage bestimmt nicht in ausreichendem Maße über die Datenverarbeitung, wie es bei der Auftragsverarbeitung erforderlich ist.
Auch wenn sich die Entscheidung noch nicht auf die DSGVO bezog, kann daraus doch für die aktuelle Situation für Facebook Fanpages unter der DSGVO daraus abgeleitet werden, dass entgegen der ersten Annahmen hier keine Auftragsverarbeitung, sondern eine Verarbeitung in gemeinsamer Verantwortung („Joint Controllership“ im Sinne von Art. 26 DSGVO). Dies erfordert damit eine andere vertragliche Gestaltung der Zusammenarbeit zwischen Facebook und dem Betreiber der Fanpage einerseits, andererseits müssen auch die Informationspflichten nach Art. 13 DSGVO und auch die sonstigen Betroffenenrechte so gestaltet sein, dass sie dieser Joint Controllership Rechnung tragen und zum Beispiel beide Beteiligten ihre jeweiligen Pflichten gegenüber dem Betroffenen auch erfüllen (können).
Erfüllung von Informationspflichten und das UWG
Das Landgericht Würzburg hat in einem einstweiligen Verfügungsverfahren mit Anwälten auf beiden Seiten dem dortigen Antragsteller einen strafbewehrten Unterlassungsanspruch dahingehend zuerkannt, dass es der Antragsgegnerin untersagt wird, ihre Webseite unverschlüsselt und ohne Datenschutzerklärung nach der DSGVO zu betreiben.
Interessant ist an der Entscheidung, dass das Gericht einerseits feststellt, dass ein Verstoß gegen die Vorschriften der DSGVO im Bereich einer werblich genutzten Webseite einen Wettbewerbsverstoß im Sinne des UWG darstellt. Andererseits stellt das Gericht klar, dass die Datenschutzerklärung umfassend über die Betroffenenrechte und Weitergabe von Daten (z.B. im Rahmen von Tracking) aufklären muss und andererseits bei Bereitstellung eines Kontaktformulars mit Eingabemöglichkeit eine Verschlüsselung der Webseite erfolgen muss.
Interessant ist hier die Festsetzung des Streitwertes mit EUR 2.000,00, die im Vergleich zu anderen Streitwertansätzen niedriger ist. Denn häufig werden sehr hohe Streitwerte in diesem Bereich angesetzt, die dann zu entsprechenden Kostenfolgen führen.
Aufbewahrungsfristen und Bewerberdaten
Aus Österreich gibt es nunmehr eine erste Entscheidung einer Aufsichtsbehörde zur Angemessenheit von Aufbewahrungsfristen von Bewerberdaten. Hintergrund der Entscheidung war, dass ein Unternehmen eine Speicherfrist von sieben Monaten ab Eingang der Bewerbung intern festgelegt hatte und damit begründete, dass diese Speicherfrist notwendig ist, damit die Informationen bei einer eventuellen Geltendmachung von Ansprüchen des (abgelehnten) Bewerbers noch bereitstehen.
Dabei war die mögliche Anspruchssituation mit den gesetzlichen Regelungen im Bereich „Gleichbehandlung“ begründet worden, die es in Österreich wie in Deutschland gleichermaßen gibt. Als Rechtsgrundlage war Art 17 Abs 3 lit e DSGVO genannt.
Die zuständige Aufsichtsbehörde hat diese Argumentation für angemessen und nachvollziehbar erachtet und sah hier keine Unverhältnismäßigkeit im Rahmen der getätigten Interessenabwägung.
Auch wenn diese Entscheidung natürlich nicht direkt für Deutschland anwendbar ist, stellt sie doch ein gutes Indiz für die Rechtsanwendung der DSGVO in diesem Bereich dar und bestätigt damit auch die in der Praxis in vielen Unternehmen umgesetzte Realtität.
Veröffentlicht von Rechtsanwalt Kast 