Interview mit Thomas Buitkamp

Die EU-Datenschutz-Grundverordnung beschäftigt uns alle nun schon seit Jahresbeginn. Nachdem es zwischenzeitlich etwas ruhiger geworden war, kommen nun immer wieder Herausforderungen im Social Media-Umfeld auf uns zu. Rechtsanwalt Thomas Buitkamp aus Wiesbaden hat mir dazu ein paar Fragen beantwortet:

Wie hoch schätzt du das Risiko ein, dass hiesige Unternehmen wegen DSGVO-Verstößen tatsächlich mit Strafen zu rechnen haben?

Es verwunderte schon sehr stark, dass der mediale Fokus vor Inkrafttreten der DSGVO im Kern allein auf den verschärften Sanktionsmöglichkeiten lag. Praktisch keine Berichterstattung über die DSGVO kam ohne den (oftmals bereits einleitenden) Hinweis auf den neuen Bußgeldrahmen aus. Woran es oftmals mangelte, war eine inhaltliche Auseinandersetzung bzw. Aufarbeitung der Themen. Hochstilisierte, vermeintliche Problemfelder, wie beispielsweise die Frage, ob zukünftig die Entgegennahme einer Visitenkarten gegen Datenschutz verstößt, führten in der breiten Masse zu großem Unverständnis und dem Gefühl einer bürokratischen Ohnmacht.

Dabei gibt es Datenschutzgesetze mit einem beinahe identisch weitgehenden Anwendungsbereich bereits seit Jahrzehnten. Auch die der DSGVO zugrundeliegenden Begrifflichkeiten sind uns bereits durch das Bundesdatenschutzgesetz (alt) und die EU-Datenschutz-Richtlinie von 1995 bekannt. Ja und auch das alte Datenschutzrecht kannte einen hohen Bußgeldrahmen bis zu einer sechsstelliger Höhe.

Da es derzeit noch an praktischen Erfahrungen fehlt, lohnt sich für die Beantwortung der Frage ein Blick auf die bisherige Vollzugspraxis der Datenschutzbehörden. Den Behörden stand in der Vergangenheit ein Bußgeldrahmen bis zu € 300.000,00 zur Verfügung. Von diesem Bußgeldrahmen wurde jedoch, wenn überhaupt, lediglich im unteren Mittelfeld Gebrauch gemacht. Im Jahr 2017 gab es in Hessen beispielsweise lediglich 16 Bußgeldverfahren. Das Gesamtbußgeld belief sich dabei auf insgesamt € 16.000,00. Soweit bekannt, wurden in Hessen bisher keine Bußgeldverfahren seit Inkrafttreten der DSGVO eingeleitet.

Mit Blick auf diese bisherige Praxis erscheint es auch eher unwahrscheinlich, dass plötzlich Maximalbußgelder verhängt werden. Insoweit ist zu berücksichtigen, dass sich die Bußgeldhöhe (schon) immer an den wirtschaftlichen Verhältnissen des Verantwortlichen zu orientieren hat. Die im Vorfeld geführte Debatte transportierte hingegen die Botschaft, dass der bisherige Bußgeldrahmen nicht hoch genug war, um dem Datenschutz zu einer effektiven Durchsetzung zu verhelfen und dass sich die Behörden nun primär auf den Erlass von Bußgeldbescheiden konzentrieren werden. Dieser vermittelte Eindruck ist falsch.

Die Aufsichtsbehörden selbst sind derzeit (auch personell) kaum in der Lage, adäquat auf Verstöße zu reagieren. So konnten einzelne Behörden zum Stichtag beispielsweise nicht einmal die Online-Meldemöglichkeit von Datenschutzbeauftragten anbieten.

Auch eine weitere Überlegung verdeutlicht, dass nicht mit einer ausufernden Bußgeldpolitik zu rechnen ist. Es ist nämlich auch Aufgabe der Aufsichtsbehörden, aktiv an der Behebung von Mängeln in der Datenverarbeitung mitzuwirken. Im Vordergrund sollte deshalb die Behebung bestehender Mängel und nicht die Androhung und Bestrafung vergangener Verstöße stehen. In der Regel wird die Behörde also zunächst konkrete Maßnahmen anordnen um den Verstoß zu beseitigen oder möglicherweise zunächst eine Verwarnung aussprechen.

Hast du in der Praxis schon eine Strafe wegen DSGVO-Verstoß erlebt?

Mir selbst ist kein Fall bekannt, in dem bisher ein Bußgeld verhängt wurde.

Welches sind die wichtigsten Pflichten, die man als Facebook-Seitenbetreiber datenschutzrechtlich zu beachten hat und wie schätzt du insgesamt die Lage mit Facebook ein für die berufliche Nutzung?

Die Hintergründe dürften den Meisten bekannt sein. Kurz: Der Europäische Gerichtshof hatte unter dem Datum vom 5. Juni 2018 entschieden, dass Facebook-Fanpage-Betreiber für Datenschutzverstöße auf Facebook mitverantwortlich sind. Gerade war die Aufregung etwas abgeebbt, da veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 5. September 2018 ihren Beschluss, wonach der Betrieb einer Facebook-Fanpage rechtswidrig sei. Am 11. September 2018 endlich reagierte Facebook und stellte seinen Nutzern Informationen zum Abschluss eines „Joint Controllership Agreement“ bereitgestellt, in welchem es die primäre Verantwortung übernimmt. Wie die Datenschutzbehörden auf diese Veränderungen reagieren, bleibt erst einmal abzuwarten.

Was ist zu tun?

Wer eine Facebook-Fanpage besucht, muss transparent und in einfacher und verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und den Fanpage-Betreiber verarbeitet werden.

Fanpage-Betreiber sollten deshalb in jedem Fall eine Datenschutzerklärung auf ihre Fanpage integrieren, welche sich an dem EuGH-Urteil und dem vom Facebook bereitgestellten „Page Controller Addendum“ („Joint Controllership Agreement“) orientiert. Bereits dieser Punkt gestaltet sich schwierig, denn der Fanpage-Betreiber erhält von Facebook wenig bis gar keine Informationen zur Datenverarbeitung. Facebook muss dem Betreiber der Fanpage mithin die Informationen zur Verfügung stellen, die dieser zur Erfüllung der Informationspflichten benötigt. Am 21. September 2018 hat Facebook nun die versprochene Datenschutzerklärung für die Insights-Statistiken bereitgestellt.

Soweit Facebook die Besucher einer Fanpage (und dies ist derzeit der Fall) trackt, wäre, so die sehr umstrittene Auffassung der Aufsichtsbehörden, grundsätzlich eine Einwilligung der Besucher erforderlich, die die Anforderungen der DSGVO erfüllt. D.h. die Einwilligung muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Ob und wie dies technisch umzusetzen ist, ist fraglich. Auch hier wäre erneut Facebook in der Bringschuld. Derzeit sollten Betreiber in der Datenschutzerklärung zumindest auf Art. 6 I 1 lit. f DSGVO (berechtigte Interessen) als Rechtsgrundlage für das Tracking der Besucher hinweisen.

Für die Bereiche der gemeinsamen Verantwortung von Facebook und dem Fanpage-Betreiber ist in dem von Facebook bereitgestellten „Page Controller Addendum“ nach Art 26 DSGVO festgelegt bzw. festzulegen, wer welche Verpflichtung aus der DSGVO erfüllt. Diese Vereinbarung muss in ihren wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Leider ist es so, dass sich Betreiber von Facebook-Fanpages derzeit in einem Zustand der rechtlichen Unsicherheit befinden. Es ist zu hoffen, dass das Urteil des Bundesverwaltungsgerichts hier etwas Klarheit schafft.

Im Übrigen sind diese Problemfelder auch auf andere Social Media Plattformen zu übertragen, die wie Facebook die Nutzer bzw. Besucher tracken.

Vielen Dank für die ausführlichen Erläuterungen, Thomas!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.