Der Gerichtshof hält zunächst fest, dass Facebook unzweifelhaft als datenschutzrechtlicher Verantwortlicher anzusehen ist, da das Soziale Netzwerk selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der User entscheidet. Darüber hinaus können Seiteninhaber durch das Setzen von Filtern insbesondere demografische Daten, Informationen über den Lebensstil und die Interessen ihrer Zielgruppen sowie geografische Daten von Facebook bekommen, um dadurch ihr Informationsangebot und ihre Werbeaktionen so zielgerecht wie möglich zu gestalten. Daher geht der EuGH davon aus, dass auch der Betreiber der Fanpage gemeinsam mit Facebook als Verantwortlicher zu qualifizieren ist. Zentrale Kriterien für diese Einschätzung ist die Möglichkeit des Seiteninhabers, (i) die eigene Vermarktung zu steuern, (ii) Statistiken aufgrund der Besuche der eigenen Seite zu erstellen und (iii) Kenntnis von den Profilen und Vorlieben der Besucher zu erlangen, um so die für die Besucher potentiell relevantere und interessantere Inhalte bereitstellen zu können.
Aus der Stellung als gemeinsame Verantwortliche ergeben sich im Wesentlichen folgende Konsequenzen:
Obwohl das Urteil im Ergebnis rechtlich überzeugt, bringt es (noch) keine absolute Klarheit und wissen die Betreiber von Social Media Plattformen wohl noch nicht, wie damit umzugehen ist. Facebook als unmittelbar betroffenes Unternehmen hat sich bis jetzt nur sehr generisch zum Urteil des EuGH geäußert. Es wurden nur notwendige Schritte angekündigt, um den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. Weiters will Facebook die Nutzungsbedingungen und Richtlinien aktualisieren, um die Verantwortlichkeiten sowohl von Facebook, als auch von den Seitenbertreibern klarzustellen.
Neben Facebook verwenden aber auch die anderen weit verbreiteten Sozialen Netzwerke (sowohl Instagram, als auch Twitter, Snapchat, LinkedIn und Xing) vergleichbare Statistik-, Analyse – und Marketing-Tools, die sie den jeweiligen Profilinhabern zur Verfügung stellen. Daher ist davon auszugehen, dass die Grundaussagen der Facebook-Entscheidung auch für alle anderen Social Media Plattformen gelten und auch dort einen entsprechenden Umsetzungsbedarf – sowohl beim Betreiber als auch beim Seiteninhaber – auslösen.
Neben Facebook machen auch Kommunikationsapps für mobile Geräte vermehrt Schlagzeilen zum Thema Datenschutz. So ist in den Nutzungsbedingungen der Betreiber häufig festgelegt, dass das gesamte Adressbuch des Nutzers regelmäßig an den Anbieter der Kommunikationsplattform übermittelt wird. Außerdem qualifizieren sich einige Anbieter selbst als datenschutzrechtliche Verantwortliche und behalten sich vor, die übermittelten Kontakt- und Nachrichtendaten im eigenen Ermessen für eigene Zwecke zu verwenden. Es ist dabei oft gänzlich unbekannt, was mit den übermittelten Daten im Detail geschieht.
Eine solche Datenweitergabe an einen anderen Verantwortlichen erfordert aber eine konkrete datenschutzrechtliche Rechtsgrundlage. Ein berechtigtes Interesse, das gesamte Kontaktbuch an einen Appanbieter zu übermitteln, kann nicht belastbar argumentiert werden. Daher verbleibt lediglich die impraktikable Einholung einer Einwilligung (je)des betroffenen Kontakts im Adressbuch für die Sanierung der Übertragung. In diese Kerbe schlagen auch bereits zwei rechtskräftige Entscheidungen des deutschen Arbeitsgerichts Bad Hersfeld (F 111/17 EASO und F 120/17 EASO): Demnach ist die geschäftliche Nutzung von WhatsApp und die damit verbundene andauernde Datenweitergabe an den Anbieter nur zulässig, wenn der User zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch jeweils eine Einwilligung eingeholt hat.
Die Einholung individueller Einwilligungserklärungen von teils mehreren hundert Kontakten ist in der Praxis jedoch illusorisch. Auch eine konkludente Einwilligung zur Datenweitergabe an den Anbieter des Kommunikationsdienstes (etwa durch die Offenbarung der Nutzung des Dienstes in einer Datenschutzerklärung) lässt sich nach der DSGVO – die eine aktive Zustimmungshandlung erfordert – nicht argumentieren.
Für die Praxis gilt daher, dass Nachrichtendienste, die (i) Zugriff auf das gesamte Adressbuch des Nutzers haben, (ii) Kontaktdaten an den Anbieter übermitteln und (iii) der Anbieter sich selbst als datenschutzrechtlicher Verantwortlicher qualifiziert, nach der DSGVO nicht ohne weiters beruflich eingesetzt werden können. Vielmehr sind technische oder rechtliche Maßnahmen zu setzen, um auf den Dienst zurückgreifen zu können.
All diese Überlegungen gelten allerdings lediglich für den geschäftlichen Bereich und für die unternehmerische Nutzung (mobiler) Kommunikationsdienste. Für den Einsatz im Privatbereich ist die DSGVO nicht anwendbar (Art 2 Abs 2 lit c DSGVO). Problematisch wird es aber, wenn das Mobiltelefon für private und betriebliche Zwecke genutzt wird.
Knapp ein Monat nach dem magischen Stichtag 25.5.2018 ziehen die DORDA Datenschutzexperten ein erstes Fazit:
Erwartungsgemäß haben Auskunfts-, Widerspruchs- und Löschungsersuchen weiter stark zugenommen. In den Unternehmen hat sich hier mittlerweile schon eine gewisse Routine eingespielt. In der Praxis kommt es aber häufig vor, dass Betroffene (i) nicht ausreichend über den Umfang ihrer Rechte informiert sind oder diese – bewusst oder unbewusst – (ii) falsch interpretieren. So werden mitunter unter dem Deckmantel des Auskunftsrechts Informationen zur Unternehmensorganisation, zu konkreten IT Sicherheitsmaßnahmen und laufenden Streitfällen verlangt. Auch kursiert die eine oder andere bewusst zugespitze Vorlage für Auskunftsbegehren, die Unternehmen möglichst viel Arbeit verschaffen sollen, aber mit den tatsächlichen Rechten nicht im Einklang stehen. Es sind dem DORDA Datenschutzteam auch schon Fälle untergekommen, in denen der Betroffene gegen eine Abschlagszahlung auf die Durchsetzung von – freilich überbordend ausgelegten – Auskunftsrechten zu verzichten angeboten hat. Auch können die DORDA Datenschutzexperten aufgrund ihrer breiten Tätigkeit für viele Mandanten von dem einen oder anderen Betroffenen berichten, der diverse Unternehmen systematisch mit zu weitgehenden Ersuchen beschäftigt. Die DORDA Datenschutzexperten raten daher dazu, Auskunftsersuchen stets anhand der konkreten Vorgaben und der Systematik der DSGVO zu beantworten und sich nicht auf unsicheres Terrain ziehen zu lassen. Damit wird sichergestellt, dass nicht zu wenig, aber auch nicht zu viel beauskunftet und damit erst ein Verstoß begangen wird. Ebenso empfiehlt sich bei Verdachtsfällen von offensichtlich querulatorischen Anfragen ein cross-check, ob der Betroffene nicht bereits einschlägig bekannt ist.
Neben Anfragen von Betroffenen sind auch die - regelmäßig anonymen - Beschwerden an die Datenschutzbehörde rasant gestiegen. Mitunter wurden diese bewusst gleich am ersten Tag der Anwendbarkeit des neuen Regimes eingebracht. In unserer Praxis zeigt sich, dass diesen Beschwerden zum Teil datenschutzfremde Intentionen wie zB Wettbewerbsauseinandersetzungen mit unliebsamen Mitbewerbern oder sonstige Unzufriedenheiten zu Grunde liegen. Aktuell sind bereits über 100 Verfahren bei der Datenschutzbehörde anhängig. Diese ist dementsprechend trotz des Wegfalls der Meldungsverpflichtungen und administrativen Aufgaben daher weiter sehr stark beansprucht.
Auch zeigt sich in der Praxis, dass mit der neuen, strengeren Data Breach Notification ein großer Arbeitsanfall sowohl bei den Unternehmen, als auch der Behörde einhergeht. Verlorene mobile Endgeräte, versehentliches Versenden von Nachrichten an falsche Adressaten oder das Auftauchen von Daten in Händen unberechtigter Dritter, zB nach einem Wechsel eines Außenvertriebsmitarbeiters, fordern nun im Zweifel entsprechende Meldungen. Nachdem die Unternehmen derzeit aufgrund der hohen Strafen und der fehlenden gelebten Praxis eher auf der vorsichtigen Seite agieren, ist die Behörde mit einer Vielzahl an Anzeigen konfrontiert.
Nach der noch dauernden Phase der Finalisierung der noch nicht fertig gestellten Implementierungsprojekte drängt sich nunmehr also die Rechtsverteidigung und -durchsetzung sowie das notwendige Finetuning der schon gesetzten Compliancemaßnahmen in den Mittelpunkt. Aufgrund der extrem rasanten Entwicklungen des Datenschutzrechts - siehe etwa zu Facebook und Whatsapp - gilt es, stets am Ball zu bleiben und bei den eigenen Umsetzungen und Geschäftsmodellen laufend nachzuschärfen, anzupassen und regelmäßige Compliance-Checks zu machen. Parallel dazu ist die Einbettung eines erprobten Prozesses zur fristgerechten Beantwortung der Betroffenenanfragen das Um und Auf für die zweite Jahreshälfte.
Nachdem mehr als 140 Gesetze bereits datenschutzrechtlich angepasst worden sind, wurden in der dritten große Anpassungswelle über hundert weitere Gesetzesänderungen im Bundesgesetzblatt kundgemacht. Neben terminologischen Anpassungen, vor allem in den Bereichen Integration, Sozialversicherung, Verkehr und Sport, kam es auch zu einigen Konkretisierungen und Ergänzungen im Ärztegesetz und im Bankwesengesetz. Inhaltliche Überraschungen sind jedoch in dieser Tranche ausgeblieben.