31.07.2018

IP / IT Ausgabe 5 / 2018

PDF

EuGH: Betreiber einer Facebook Fanpage sind datenschutzrechtlich mitverantwortlich

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Die Betreiber einer Facebook-Fanpage sind gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher ihrer Seite verantwortlich.

  • „„Urteil vom 5. Juni 2018, Az.: C-210/16

 

Hintergrund

Grundlage des Vorabentscheidungsverfahrens ist ein Verwaltungsverfahren der Wirtschaftsakademie Schleswig-Holstein (WSH) gegen das Unabhängige Landeszentrum für Datenschutz (ULD) als Aufsichtsbehörde für den Datenschutz in Schleswig-Holstein, welches bei dem Bundesverwaltungsgericht anhängig ist. Gegenstand bildet die Auslegung der Datenschutzrichtlinie (Art. 2 lit. d, 4 und 28 RL-EG 95/46).
Die WSH betreibt eine Facebook-Fanpage. Eine Facebook-Fanpage ist ein Firmen-Benutzerkonto, das der Präsentation und Werbung dient und das der Besucher zur Reichweitengenerierung „liken“ kann. Die Betreiber einer solchen Seite können mit Hilfe der kostenfreien und nicht abdingbaren Funktion „Facebook Insight“ anonymisierte statistische Daten, die die Besucher der Seiten betreffen, durch Facebook erhalten. Die Datenerhebung erfolgt mittels Cookies, durch die ein Benutzercode in den jeweiligen Endgeräten der Seitenbesucher für zwei Jahre gespeichert wird. Dieser wird beim Aufrufen der Seite erhoben und verarbeitet. Da weder durch die WSH noch durch Facebook ein Hinweis auf die Erhebung und Verarbeitung personenbezogener Daten durch die Cookies erfolgte, erließ das ULD einen Bescheid gegenüber der WSH, der die WSH zur Deaktivierung ihrer Fanpage verpflichtete. Die WSH erhob gegen den Bescheid Klage und machte geltend, dass mangels Zurechnung der Verarbeitung der personenbezogenen Daten ihrerseits das ULD direkt gegen Facebook hätte vorgehen müssen.

Entscheidung

Der Gerichtshof entschied, dass die Aufsichtsbehörde ULD sowohl gegen den Betreiber der  Fanpage als auch gegen die in dem Mitgliedsstaat ansässige Gesellschaft von Facebook vorgehen könne, da diese gemeinsam für die Einhaltung des Datenschutzes verantwortlich seien. Unzweifelhaft sei Facebook Inc., bzw. Facebook Ireland (EU), als „Verantwortlicher“ i.S.v. Art. 2 lit. d EG-Richtlinie 95/46 anzusehen. Jedoch könne auch der Betreiber einer auf Facebook unterhaltenen Fanpage mitverantwortlich sein, weil die Nutzung der von Facebook eingerichteten Plattform befreie ihn nicht von den Verpflichtungen des Schutzes personenbezogener Daten. Vielmehr zeichne sich eine Verantwortlichkeit gerade dadurch ab, dass das bloße Aufrufen der  Fanpage, Facebook die Möglichkeit verschafft, Cookies zu platzieren, und somit automatisch die Verarbeitung personenbezogener Daten ausgelöst wird. Der Betreiber könne diese Funktion nicht deaktivieren. Allerdings könne der Betreiber unmittelbar auf die Datenauswertung Einfluss nehmen, indem er die Kriterien der Auswertungsstatistiken seiner Seite bestimmt (Paramentierung), und er von Facebook verlangen kann, ihm demografische Daten der Seitenbesucher mitzuteilen. Durch die von ihm so vorgenommene Ausrichtung auf sein Zielpublikum sei er ebenfalls an der Entscheidung über Zweck und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt unabhängig davon, ob er diese nur anonymisiert erhält.

Zu beachten sei jedoch, dass die Annahme einer gemeinsamen Verantwortung nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge habe. Die Verantwortlichkeit jedes Akteurs müsse stets nach den Umständen des Einzelfalls beurteilt werden. Weiter stellte der Gerichtshof fest, dass die konzerninterne Aufgabenverteilung bei Facebook nach der die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten in der Union Facebook Irland obliege, unmaßgeblich für die Befugniswahrnehmung des ULD gegenüber Facebook Germany sei. Mithin hätte das ULD sich auch direkt gegen Facebook Germany anstatt gegen die WSH wenden können. Ferner dürfe die deutsche Datenkontrollstelle mangels Prioritätsregelung ohne vorheriges Ersuchen an die irische Kontrollstelle eingreifen und unabhängig von ihr die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten beurteilen.

Unser Kommentar

Das Urteil ist zweifelslos auf die nun geltende DSGVO übertragbar. Deshalb sollten die Betreiber bereits jetzt folgende Punkte beachten: Die Besucher einer Fanpage müssen transparent über die erhobenen Daten sowie über den Zweck der Datenerhebung und -verarbeitung informiert werden. Für den Einsatz von Cookies ist zudem eine DSGVO-konforme Einwilligung der Nutzer erforderlich. Auch muss der Bereich der gemeinsamen Verantwortlichkeit zwischen Facebook und dem Betreiber der jeweiligen Facebook-Fanpage gemäß Art. 26 DSGVO durch entsprechende Vereinbarungen genau festgelegt werden, wen welche Verantwortlichkeiten treffen. Facebook hat in der Zwischenzeit seine Mitwirkung angekündigt, denn ohne diese wäre die Erfüllung der rechtlichen Vorgaben für die Betreiber kaum möglich.

VG Bayreuth: Einsatz von Facebook Custom Audiences mit Kundenliste ist ohne Einwilligung des Betroffenen datenschutzwidrig

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Das Hochladen von gehashten E-Mail-Adresslisten an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks und gehashten Daten und der Erstellung einer Ausgangsaudience für Werbezwecke ist nach BDSG-alt rechtswidrig, wenn keine ausreichende Einwilligung des Betroffenen vorliegt.

  • „„Beschluss vom 8. Mai 2018, Az.: B 1 S 18.105

Hintergrund

Die Antragstellerin betreibt einen Online-Shop und unterhält ein Konto beim sozialen Netzwerk Facebook. Zur Bewerbung ihrer Zielgruppe über Facebook setzte die Antragstellerin den Dienst „Facebook Custom Audiences“ mit Kundenliste ein. Dieser Dienst funktioniert wie folgt: Das werbetreibende Unternehmen lädt in seinem Facebook-Konto eine eigene Kundenliste (z.B. mit Name, Wohnort, E-Mail-Adresse und Telefonnummer) hoch. Die Kundenliste wird hierbei mittels SHA-256-Verfahren gehasht, also verschlüsselt, und durch Facebook mit eigenen Hashwerten abgeglichen. Dabei Facebook gleicht die gehashte Kundenliste mit allen Facebook-Nutzern ab und stellt fest, welche Kunden Facebook-Mitglieder sind. Alle auf diese Weise ermittelten Facebook-Mitglieder bilden eine sog. „Custom Audience“, also eine Zielgruppenart, die aus der hochgeladenen Kundenliste gebildet wurde, welchen von Facebook zielgerichtet Werbeanzeigen des werbetreibenden Unternehmens eingeblendet werden. Die Antragstellerin nutzte für den Facebook-Dienst insbesondere E-Mail-Adressen ihrer Kunden, die z.B. im Rahmen von Bestellvorgängen erhoben wurden.
Eine Einwilligung der Kunden, die die Nutzung ihrer E-Mail-Adressen für den Facebook-Dienst umfasst, lag nicht vor. Zur Nutzung des Dienstes schloss die Antragstellerin mit Facebook eine Vereinbarung zur Auftragsdatenverarbeitung.
Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) ordnete nach einer Überprüfung die Löschung der unter dem Facebook-Konto der Antragstellerin erstellten Kundenliste an, da es der Auffassung war, dass die Datenverarbeitung unrechtmäßig erfolgte. Es sei beim Einsatz von Facebook Custom Audiences mit Kundenliste vom einzelnen Kunden eine
Einwilligungserklärung einzuholen. Die Antragstellerin war hingegen der Ansicht, dass ein Auftragsdatenverarbeitungsverhältnis zwischen ihr und Facebook vorliege und die Datenverarbeitung daher ohne Einwilligung zulässig sei.

Die Entscheidung

Das VG Bayreuth kommt zu dem Ergebnis, dass der Einsatz von Facebook Custom Audiences über die Kundenliste ohne vorherige Einwilligung der Betroffenen (Kunden) rechtswidrig ist und bestätigt damit die Rechtsauffassung des BayLDA. Die gehashten E-Mail-Adressen seien personenbezogene Daten, da das verwendete Hashverfahren SHA-256 nicht zur Anonymisierung geeignet sei.
Da die Daten nach dem Hashen für die personalisierte Werbung verwendet werden, sei ein Rückschluss auf ein konkretes Facebook-Mitglied möglich. Ein Personenbezug sei mithin nicht völlig aufgehoben. Facebook könne vielmehr durch Vergleichen der Hashwerte, mit nicht nur unverhältnismäßigem Aufwand feststellen, welches Facebook-Mitglied auch Kunde der werbetreibenden Antragstellerin sei. Entgegen der Ansicht der Antragstellerin handele es sich bei der Weitergabe der gehashten E-Mail-Adressen nicht um eine Auftragsverarbeitung, sondern um eine Übermittlung an Dritte, hier eine sog. Funktionsübertragung, da Facebook als Empfänger der Daten über die bloße Hilfsfunktion hinaus mit einem eigenen Wertungs- und Entscheidungsspielraum tätig werde. Welcher Facebook-Nutzer schließlich beworben werde, liege allein im Ermessen von Facebook. Auch das Listenprivileg des § 28 Abs. 3 S. 3, S. 4 BDSG-alt finde beim Hochladen gehashter E-Mail-Adressen keine Anwendung, da es sich bei E-Mail-Adressen schon nicht um sog. Listendaten handele.
Auch nach Interessenabwägung gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG-alt kommt das VG Bayreuth zu dem Ergebnis, dass die Übermittlung der gehashten E-Mail-Adressen nicht gerechtfertigt sei, da das berechtigte Interesse der Antragstellerin an der Übermittlung gehashter E-Mail-Adressen auch durch eine im Einzelfall einzuholende Einwilligung des Betroffenen zur Übermittlung an Facebook, z.B. im Rahmen eines Bestellvorgangs, ohne unverhältnismäßigen Aufwand gewahrt werde.

Unser Kommentar

Die Entscheidung erging zwar noch auf Grundlage des BDSG-alt; durch die seit dem 25. Mai 2018 geltenden neuen Datenschutzvorschriften der DSGVO dürfte sich an dem Ergebnis gleichwohl nichts ändern. Auch die DSGVO verlangt mangels ausreichender gesetzlicher Rechtsgrundlage eine Einwilligung des betroffenen Kunden in die Übermittlung seiner gehashten E-Mail-Adresse für den Einsatz von Facebook Custom Audiences gegenüber dem werbetreibenden Unternehmen. Im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO dürften die gleichen Argumente zu berücksichtigen sein wie in dem Beschluss des VG Bayreuth. Der Dienst Facebook Custom Audiences mit Kundenliste sollte daher ohne entsprechende Einwilligung des Kunden nicht eingesetzt werden.

Privacy Shield vor dem Aus?

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Das EU-Parlament hat die die Regelungen des EU-US-Privacy Shield scharf kritisiert. Die Resolution hält die EU-Kommission an, das Privacy Shield auszusetzen, sollten die USA den Verpflichtungen des Regelwerks nicht bis zum 01.09.2018 nachgekommen sein. Nach Auffassung des Ausschusses begründe die aktuelle Umsetzung des Privacy Shield keinen hinreichenden Schutz personenbezogener Daten der Bürger der EU. Dies gelte erst recht unter den Vorgaben der seit dem 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO).

  • Resolution (2018/2645 (RSP)) des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments vom 11.06.2018

Hintergrund

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres hat die Umsetzung des EU-US-Privacy-Shield in einer Resolution scharf kritisiert. Nachdem der EuGH im Jahr 2015 die Unionsrechtswidrigkeit der Vorgängerregelung, dem sog. Safe-Harbor-Abkommen, festgestellt hatte, wurde dieses im Juli 2016 durch den Privacy Shield abgelöst. Nach europäischem Daten-
schutzrecht muss für den Transfer von Daten in ein Nicht-EU-Land sichergestellt sein, dass die Daten einem angemessenen Schutzniveau unterliegen. Beim Datentransfer zwischen der EU und den USA soll dies durch den Privacy Shield gewährleistet werden. Das Privacy Shield wird umgesetzt, indem sich Unternehmen in eine Liste beim US Handelsministerium eintragen und sich zur Einhaltung gewisser Datenschutzstandards verpflichten.

Die Resolution

In seiner Sitzung vom 11.06.2018 hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments mit einer dünnen Mehrheit von 29 zu 25 Stimmen und drei Enthaltungen eine Resolution verabschiedet, die den Privacy Shield scharf kritisiert. Die Resolution hält die EU-Kommission an, das Privacy Shield auszusetzen, sollten die USA den Verpflichtungen des Regelwerks nicht bis zum 01.09.2018 nachgekommen sein.
Nach Ansicht des Ausschusses sei es für die europäischen Partner kaum möglich festzustellen, ob die Vereinbarungen des Privacy Shield tatsächlich eingehalten würden, wie insbesondere der Skandal um Cambridge Analytica gezeigt habe. Viele der in den Skandal verwickelten Unternehmen waren in der Privacy Shield-Liste eingetragen.
Firmen sollten zudem im Falle von Verstößen von der Privacy Shield-Liste entfernt werden, um eine bessere Durchsetzung der datenschutzrechtlichen Bestimmungen in der Praxis zu bewirken.
Der Beschluss bemängelt weiter, dass das Aufsichtsgremium des Privacy Shield, das Privacy and Civil Liberties Oversight Board, noch immer nicht vollständig funktionsfähig sei und durch die US-Behörden noch immer keine permanente Ombudsperson benannt sei. Die Ombudsperson ist nach dem Regelwerk z.B. für Beschwerden von EU-Bürgern zuständig.
Dem effektiven Schutz durch das Privacy Shield stehe schließlich auch der Cloud Act im Wege. Dieser ermöglicht US-Behörden den Zugriff auf personenbezogene Daten von US-Bürgern ohne Rücksicht auf internationale Grenzen, solange die Daten von einem amerikanischen Softwareunternehmen oder anderem Diensteanbieter gespeichert werden.

Unser Kommentar

Auch wenn der Beschluss des Ausschusses nicht bindend ist, dürfte er doch den Druck auf die EU-Kommission für die Überprüfung des Privacy Shield erhöhen, welche im Herbst 2018 stattfinden wird. Gegenwärtig überprüft auch der EUGH die Rechtmäßigkeit des Privacy Shield mit völlig offenem Ausgang. Die Entscheidung darf mit Spannung erwartet werden, denn anders als die Resolution des Ausschusses wird das Urteil des EuGH Bindungswirkung entfalten. Im Rahmen der Auseinandersetzung mit dem Privacy Shield sollte nicht außer Acht gelassen werden, dass ein zu strenger Datenschutz auch ein Risiko für den europäischen Wirtschaftsstandort darstellen kann. Ein wiederholtes Regelungsvakuum, wie es in der Zeit zwischen Safe Harbour und Privacy Shield zu beklagen war, dürfte europäische Unternehmen vor große Herausforderungen stellen.

Vertrag über die Platzierung einer elektronischen Werbeanzeige ist ein Werkvertrag

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Der Vertrag über die Schaltung eines Online-Werbebanners ist rechtlich als Werkvertrag zu qualifizieren. Ob mit der in Auftrag gegebenen Werbemaßnahme die gewünschte Werbewirkung tatsächlich erzielt werden kann, liegt in der Risikosphäre des Bestellers.

  • BGH, Urteil vom 22. März 2018, Az.: VII ZR 71/17

Hintergrund

Die Klägerin ist ein im Bereich der Werbe- und Medientechnik tätiges Unternehmen. Die Beklagte beauftragte die Klägerin, auf der Domain „www.kreisgebiet-t...de“ eine Werbeanzeige in der Größe 440 x 130 Pixel zu einem Preis von EUR 80,00 (netto) / Monat zu platzieren. Die Klägerin verlangt von der Beklagten Vergütung für die Schaltung der Werbeanzeige. Sie blieb damit in den ersten beiden Instanzen erfolglos und verfolgte ihre Forderung schließlich weiter mit der Revision, die zur Aufhebung der vorherigen Entscheidung und zur Zurückverweisung an das Berufungsgericht führte.

Die Entscheidung

Das Berufungsgericht hat den Vertrag über die Schaltung einer Werbeanzeige als Werkvertrag eingeordnet. Den Anspruch auf Vergütung aber mangels hinreichender Bestimmtheit des Vertragsinhalts zurückgewiesen. Nach der Entscheidung des Berufungsgerichts seien Werbeverträge nur dann hinreichend bestimmt, wenn die Vertragserklärungen Angaben zur Auflage und Verbreitung des Werbeträgers enthielten, da das Gericht andernfalls nicht feststellen könne, ob der geschuldete Werbeeffekt tatsächlich erzielt worden sei.
Der BGH bestätigte die Entscheidung, soweit das Berufungsgericht den Vertrag über die Platzierung einer elektronischen Werbeanzeige als Werkvertrag qualifiziert hat. Nach Ansicht des BGH ist der Vertrag aber nicht bereits deshalb unwirksam, weil vertragliche Regelungen dazu, wie die Werbewirksamkeit der Werbeanzeige, im konkreten Fall erreicht werden kann, fehlen. Solche Regelungen gehören nicht zum wesentlichen Vertragsinhalt. Zudem trage der Besteller grundsätzlich das Risiko, dass mit der in Auftrag gegebenen Werbemaßnahme die gewünschte Werbewirkung tatsächlich erzielt werde.
Da für die Entscheidung des Rechtstreits weitere Feststellungen durch das Berufungsgericht zu treffen waren, hat der BGH den Fall zur erneuten Verhandlung und Entscheidung zurückverwiesen.

Unser Kommentar

Mit dieser Entscheidung bestätigt der BGH noch einmal seine Linie, wonach eine Leistung ihren werkvertraglichen Charakter nicht dadurch verliert, dass sie wiederholt erbracht wird. Insofern überrascht es nicht, dass ein Vertrag über die Platzierung einer elektronischen Werbeanzeige auf einer bestimmten Domain als Werkvertrag qualifiziert wird.

Verhandlungen über Upload-Filter und Leistungsschutzrechte gehen weiter

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Das seit dem Jahr 2016 in der Europäischen Union betriebene Reformvorhaben zum Urheberrecht geht vorerst in die nächste Runde. Die Zukunft des umstrittenen Leistungssschutzrechts und der nicht weniger umstrittenen Upload-Filter ist daher weiterhin unsicher.

Hintergrund

Im Jahr 2016 stellte die Europäische Kommission zunächst eine Strategie für den digitalen Binnenmarkt vor und dann einen Richtlinienentwurf für das Urheberrecht im digitalen Binnenmarkt. Schwerpunkte des Gesetzgebungsvorhabens sind:
1. Ausbau des grenzüberschreitenden Angebots von Rundfunkanstalten durch rechtliche Erleichterungen.
2. Besseres Urheberrecht in der Bildung, Forschung, Kulturerbe und für die Eingliederung von Menschen mit Behinderungen durch Ausnahmen vom Urheberrecht.
3. Gerechter und tragfähiger Markt für Urheber, Kutlur-, Kreativwirtschaft und Presse durch die Einführung eines Leistungsschutzrechts anhand dessen die Rechteinhaber weitere Vergütung für Ihre Werke verhandeln können.
Insbesondere das nach deutschem Vorbild (§§ 87f – 87h UrhG) ausgestaltete Leistungsschutzrecht und die Verpflichtung von Plattformen zur inhaltlichen Überprüfung von hochgeladenen Inhalten begegneten Kritik. Aus diesem Grund wurde seit dem ersten Richtlinienentwurf zwischen verschiedenen Ausschüssen, dem Rat und dem Parlament Kompromissvorschläge diskutiert. Zuletzt hat der Rat am 25. Mai 2018 einen Kompromissvorschlag vorgelegt, welchen der Rechtsausschuss am 20. Juni 2018 dem Parlament zur Abstimmung vorlegte. Zwei wesentliche Punkte sind derzeit streitig:
Die Einführung von Leistungsschutzrechten würde für die Rechtslage in Deutschland keine wesentlich neu Rechtsgrundlage darstellen, weil hier entsprechende Rechte bereits in den §§ 87f – 87h UrhG geregelt sind. Dadurch wurde ein Leistungsschutzrecht für Presseverleger an kleinen Textausschnitten eingeführt. Nach der Einführung haben Presseverleger in Deutschland teilweise eine Vergütung von Suchmaschinenbetreibern für die unter den jeweiligen Sucheinträgen angezeigten Textausschnitte (Snippets) gefordert. Das hat dazu geführt, dass Suchmaschinenbetreiber diese Snippets von Presseverlegern, die eine Vergütung gefordert hatten, nicht mehr anzeigten, um die Vergütung nicht zahlen zu müssen. Daraufhin sind die Besucherzahlen bei diesen Presseverlegern eingebrochen, wodurch den Verlegern Werbeeinnahmen entgangen sind. Daraufhin haben die Presseverleger den Suchmaschinenbetreibern wieder erlaubt Snippets anzuzeigen.
Im letzten Entwurf war außerdem eine Pflicht für Plattformbetreiber enthalten, Lizenzvereinbarungen mit Rechteinhabern abzuschließen, damit die Plattformnutzer urheberrechtlich geschütztes Material auf der Plattform verwenden können. Wenn der Plattformbetreiber entsprechende Lizenzvereinbarungen nicht abschließt, muss er technische Vorkehrung treffen, damit kein urheberrechtlich geschütztes Material hochgeladen wird. Diese technischen Vorkehrungen werden unter dem Stichwort der Upload-Filter diskutiert, weil der Plattformbetreiber das hochgeladene Material inhaltlich prüfen muss. Problematisch daran ist, dass entsprechende automatisierte Systeme derzeit noch nicht ausgereift genug sind und es in der Vergangenheit immer wieder zu falschen Sperrungen gekommen ist. Außerdem waren die Plattformbetreiber in der Vergangenheit organisatorisch nicht in der Lage, Streitigkeiten über Nutzungsrechte zufriedenstellend zu bearbeiten. Eine Verlagerung der Entscheidung über berechtigtes und unberechtigtes Material auf automatisierte Systeme wird als kritisch angesehen.
Wohl auch wegen dieser Kritik hat das Europäische Parlament die Aufnahme von Verhandlungen zwischen Parlament, Rat und Kommission abgelehnt und wird nun zunächst selbst über den Entwurf beraten.

Unser Kommentar

Es bleibt weiter spannend, wie sich die Verhandlungen innerhalb der EU-Institutionen entwickeln, insbesondere das Schicksal von Leistungsschutzrechten und Upload-Filtern sind zu beobachten. Gerade die Verpflichtung zum Einsatz von Upload-Filtern wird weitreichende Folgen technischer und rechtlicher Natur haben.

Veranstaltungen und Veröffentlichungen

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

  • Eine Übersicht mit unseren Veranstaltungen finden Sie hier: Veranstaltungen