Was Sie zur Verwendung von Website-Cookies und dem Betreiben von Facebook-Fanseiten wissen müssen

Die Datenschutzgrundverordnung (DSGVO) ist mittlerweile über ein Jahr alt. E-Privacy steht schon (fast) in den Startlöchern. Der Datenschutzkongress (DSK) tagt regelmäßig. Zeit für eine aktuelle Betrachtung von Datenschutzbaustellen die viele Vertriebspartner betreffen: Cookies auf Websites sowie das Thema Facebook-Fanpage.
Welche neuen Anforderungen gibt es, was dürfen Sie noch und wie sehen Ihre Pflichten aus?

Cookies

Es ist Gang und Gäbe und entspricht mittlerweile der Erwartungshaltung des Besuchers, dass beim Aufrufen der Seite eine Zeile auftaucht, die einen über den Einsatz von Cookies informiert. Diese lässt sich wegklicken. Welche technischen Auswirkungen hat das? Nun ja, keine. Der User kann auf diesem Weg keinen Einfluss nehmen, ob er getrackt werden will oder nicht.
Genau hier liegt für den DSK das Problem. Der User gibt dem Betreiber weder eine aktive Einwilligung (Opt-In) noch hat er Optionen, diese zu entziehen (Opt-Out). Die Folge: Der DSK äußert die Einschätzung, dass Tracking ohne Einwilligung rechtswidrig ist.

Handlungsempfehlungen:

  • Prüfen Sie, ob ihre Website überhaupt Cookies nutzt, beispielsweise mit dem kostenlosen Browser-Plugin Ghostery
  • Fragen Sie sich: Benötige ich überhaupt ein Nutzertracking? Für eine reine Firmenpräsenz ohne Anfrageformulare, ohne Angebotsrechner macht es wenig Sinn.
  • Informiere ich meine Nutzer transparent über Cookies? Prüfen Sie die Datenschutzvereinbarung.

Sie benötigen auf jeden Fall Cookies?
Beispielsweise für einen Shop, eine Abschlussstrecke, oder Landingpages? Auch hier: informieren Sie Ihre Besucher so transparent wie möglich. Lassen Sie für Ihren individuellen Fall die Anwendung des Erwägungsgrunds 47 „Berechtigtes Interesse“ rechtlich prüfen.

Warnung vor Nutzung von Cookies

Sollten Sie ein CMS wie WordPress einsetzen, gibt allerdings bereits vorgefertigte Lösungen, um dem User eine aktive Entscheidung an die Hand zu geben. Mit anderen Worten: Der User entscheidet, ob er getrackt werden möchte oder nicht. Ein Beispiel wäre hier die Lösung von Borland.

Sie möchten sich möglichst eng an die DSK-Empfehlung halten? Hier finden Sie die Orientierungshilfe als PDF Dokument: Zur DSK Orientierungshilfe

Fazit: Wer auf Nummer sichergehen will, hat technische Möglichkeiten die Anforderungen des DSK umzusetzen. Wer auf die Analysedaten angewiesen ist, bewegt sich in einer Grauzone. Hier gilt es zukünftige Rechtsprechung abzuwarten und vorher so transparent wie möglich zu informieren.

Facebook Fanpages

Kurz, nachdem bekannt wurde, dass der DSK mangels einer Vereinbarung über die gemeinsame Verantwortlichkeit alle Facebook-Fanseiten für illegal erklärt hat, reagiert Facebook und legt eine entsprechende Vereinbarung vor – das sog. „Page Controller Addendum“ ist über den Seitenmanager einsehbar. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu indem sie ihre Seite weiter nutzen. Wer dem nicht zustimmt, muss jedwede Nutzung von Seiten beenden, schreibt Facebook.
Dies sieht der DSK als nicht ausreichend an. Einen Auszug aus der umfangreichen Stellungnahme finden Sie am Ende des Blocks.
Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, auf der Jahreskonferenz der Wettbewerbszentrale kündigte nun auf der Jahreskonferenz an mit den jeweiligen Landesbehörden gegen 3-5 deutsche Unternehmen vorzugehen um Musterverfahren gegen Facebook zu erreichen.
Quelle: lebensmittelzeitung.net

  1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
  2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt hierzu aus: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“ (EuGH, C-210/16, Rn. 40).
  3. Im Hinblick auf die Ausführungen zur „Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie zur federführenden Aufsichtsbehörde (Punkt 4 in der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) weist die Konferenz darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen.

Sowohl Facebook als auch die Fanseiten-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Betreiber ihrer Verantwortung gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Facebook-Fanseite nicht möglich.

Eine Hand benutzt das Love Emote auf dem Handy

Was bedeutet das für Sie als Makler?

Das Ganze ist aktuell eine Grauzone. Die Datenschutzbehörden werden vermutlich gegen Großunternehmen vorgehen, um Musterverfahren zu erreichen. Klein- oder Mittelständler heranzuziehen wäre der Sache nicht zweckdienlich.

Nichtsdestotrotz gilt:

  • Prüfen Sie ob Datenschutzerklärung und Impressum auf Ihrer Fanpage sichtbar und korrekt verlinkt sind (Sticky Post, Infos etc.)
  • Prüfen Sie ob Sie zusätzlich Like Buttons, Facebook-Pixel einsetzen und ob diese a) nötig und wenn ja b) korrekt in der Datenschutzerklärung erfasst sind.

Einen umfassenden und sehr guten Ratgeber dazu hat RA Dr. Schwenke auf allfacebook.de geschrieben: Zum Ratgeber

Besteht das Risiko der wettbewerbsrechtlichen Abmahnung?

Die klare Antwort auf diese Frage lautet: Jein.
Die Rechtsprechung ist sich uneinig. LG Urteile als Beispiel:

  • z.B. Das LG Bochum (Beschluss vom 07.08.2018, Az. I-12 O 85/15) – hat dagegen entschieden
  • Das Oberlandesgericht (OLG) Hamburg hat hingegen entschieden, dass DSGVO-Verstöße wettbewerbsrechtlich abgemahnt werden können. ((Urt. v. 25.10.2018, Az. 3 U 66/17))

Ebenfalls riskiert ein Abmahner sämtliche Kosten tragen zu müssen oder sich gar selbst angreifbar zu machen. Bis hier der Europäische Gerichtshof endgültig Klarheit schafft bleibt das Thema eine Grauzone. 

Wurden bereits Bußgelder von Behörden verhängt?

 Ja, eine aktuelle Übersicht finden Sie hier: Aktueller Stand von DSGVO Bußgeldern

Bildquellen:
https://www.shutterstock.com/de/image-photo/chiang-mai-thailand-november-162015-cookies-340974008
https://www.shutterstock.com/de/image-photo/bangkok-thailand-march-17-2018-facebook-1050961571
https://www.shutterstock.com/de/image-photo/cookies-sign-warning-this-website-uses-1096442255
https://www.shutterstock.com/de/image-photo/rear-view-young-caucasian-businessman-black-1187733727