Unser Datenschutz-Update im März 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den März 2023.

BfDI: Betrieb von Facebook-Unternehmensseiten (Fanpage) aktuell nicht DSGVO-konform möglich

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat dem Presse- und Informationsamt der Bundesregierung (BPA) per Bescheid das Betreiben der Facebook-Fanpage untersagt. Das BPA hat gegen den Bescheid bereits Klage erhoben. 

Doch was ist hier eigentlich das Problem?

Ist eine Unternehmenswebseite mit einer Facebook-Fanpage verknüpft, bzw. ist diese eingebettet, so wird automatisch ein Cookie auf dem Gerät der Nutzerin oder des Nutzers gesetzt, sobald die Webseite aufgerufen wird. Dies geschieht ohne Kenntnis und vor allem: ohne Einwilligung. Mit Hilfe des Cookies wird das Nutzerverhalten nicht nur auf der Webseite, sondern im gesamten Internet getrackt. Es spielt dabei keine Rolle, ob die Nutzerin oder der Nutzer selbst überhaupt einen Facebook-Account haben oder nicht. 

Der EuGH hat bereits 2018 entschieden, dass Betreiber:innen einer Facebook-Fanpage gemeinsam mit Meta (früher Facebook) als Verantwortliche zu sehen sind. Unternehmen können sich als Webseitenbetreiber:innen nicht mehr mit einem bloßen Verweis auf die Datenverarbeitung durch Facebook zufriedengeben. 

So heißt es auch noch einmal im Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages (10.11.2022): 

„Das gemeinsame Interesse der Betreiber:innen von Fanpages und Meta ist daher das Interesse, jeweils und gemeinsam dazu beizutragen, dass die Datengrundlage des Netzwerkes weiter ausgebaut wird, um von der fortlaufenden Verbesserung der Möglichkeiten zielgerichteter Ansprache zu profitieren.“

Fanpage-Betreiber:innen sind also mitverantwortlich, eine DSGVO-konforme Verwendung der Facebook-Fanpage sicherzustellen. Dies ist jedoch aktuell nicht möglich, da Meta eine solche Möglichkeit nicht umfänglich anbietet. Auch aufgrund mangelnder Transparenz bei Meta ist es Fanpage-Betreiber:innen nicht möglich, Ihren Informationspflichten gem. Art. 13 DSGVO nachzukommen. Dadurch kann aber bereits keine wirksame Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO mehr eingeholt werden, soweit diese als Rechtsgrundlage überhaupt in Betracht käme.

Es hilft auch nicht, die Facebook-Insights zu deaktivieren. Das hatte das BPA versucht, um die Seite weiter zu betreiben. Doch, so heißt es im Kurzgutachten:

„Eine gemeinsame Verantwortlichkeit besteht auch dann, wenn die Statistiken für Fanpage-Betreiber:innen deaktiviert werden, womit sich weitere Daten über Nutzer:innen sammeln und Nutzerprofile anlegen lassen. Durch die Deaktivierung verändert sich nämlich die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum. Den Betreiber:innen werden lediglich aus den – nach wie vor – verarbeiteten Nutzungsdaten keine Statistiken mehr ausgespielt.“

Nachdem das BfDI bereits die Behörden über die Ergebnisse des Gutachtens informiert hatte, unterließ das BPA den Betrieb der Facebook-Fanpage weiterhin nicht. 

Nach erfolgloser Anhörung erging jetzt ein Bescheid, in dem das BPA verwarnt und verpflichtet wird, innerhalb von vier Wochen die Fanpage zu schließen. Gegen diesen Bescheid hat das BPA nun Klage eingereicht. Argument: 

Das BPA ist entgegen der Entscheidung des EuGH der Auffassung, dass Facebook allein für die datenschutzkonforme Verarbeitung von Daten verantwortlich sei und alle Fragen diesbezüglich mit Facebook zu klären seien.

Außerdem habe die Bundesregierung einen verfassungsrechtlichen Auftrag, die Bürger:innen über Tätigkeit, Vorhaben und Ziele der Regierung zu informieren. Daher müsse man sich auch an der Mediennutzung der Bürger:innen orientieren. Das Informationsinteresse der Öffentlichkeit würde die Datenschutzbedenken überwiegen.

Es dürfte interessant sein, was das Gericht zu dem Vorbringen sagt. 

Fazit: Was für öffentliche Stellen gilt, gilt – erst recht – genauso für private Unternehmen. Eine DSGVO-konforme Nutzung der Facebook-Fanpages ist aktuell nicht möglich und sollte, wenn möglich unterlassen werden. Überwiegen die wirtschaftlichen Interessen doch zu sehr, so sollte wenigstens auf ein paar Punkte geachtet werden:

• Opt-In im Cookie-Banner. Somit kann zumindest für einen Teil der getrackten Informationen eine Einwilligung eingeholt werden. 
• Datenschutzhinweise für die Facebook-Fanpage (auf der Fanpage verlinkt), in denen Sie über die gemeinsame Verantwortlichkeit und die Verarbeitungen (soweit möglich) informieren. Die primäre Verantwortung für die Insight-Daten liegt dabei bei Meta. Diese Verarbeitung selbst erfolgt durch Meta im Wesentlichen DSGVO-konform. 
• Impressum auf der Facebook-Fanpage

Mehr dazu hier: BfDI – Pressemitteilungen – BfDI untersagt Betrieb der Fanpage der Bundesregierung

EuGH prüft die SCHUFA – SCHUFA-Scoring auf der Kippe?

Viele Verbraucher:innen haben unschöne Erfahrungen dank der SCHUFA gemacht. Mietverträge platzten, Kreditanträge wurden abgelehnt, und das aufgrund von – oft falschen – Eintragungen bei der SCHUFA. Gegen diese falschen Eintragungen vorzugehen, kostet die Beteiligten Zeit und Nerven. Wenn sie überhaupt etwas erreichen.

Jetzt hat das VG Wiesbaden in zwei Verfahren dem EuGH Vorabfragen zur Klärung vorgelegt. Am 16.03.2023 erschien die Pressemitteilung des Generalanwalts Priit Pikamäe zu diesen Fragen. Natürlich ist der EuGH nicht an die Empfehlungen des Generalanwalts gebunden, er richtet sich aber sehr häufig nach denselben, weshalb sie mit Spannung erwartet wurden. 

Insbesondere ist der Blick ganz generell darauf gerichtet, ob die Score-Werterstellung der SCHUFA denn nun gegen die DSGVO verstoße.

Das VG Wiesbaden sucht die Frage beantwortet, ob die automatisierte Erstellung des Score-Wertes durch die SCHUFA eine automatisierte Entscheidungsfindung (Profiling) gem. Art 22 DSGVO darstellt. 

Der Generalanwalt sieht das SCHUFA-Scoring als automatisierte Entscheidungsfindung. Zwar verankere die DSGVO für jede Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“

Im Schlussantrag führt der Generalanwalt zum SCHUFA-Scoring allerdings aus: „(…) dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.“

Im Ergebnis – wenn der EuGH dieser Ansicht folgen sollte – würde das SCHUFA-Scoring also gegen die DSGVO verstoßen.

Weiterhin betont der Generalanwalt, dass die betroffene Person nach der DSGVO nicht nur das Recht habe zu erfahren, dass Informationen über sie verarbeitet wurden, sondern auch aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die Person erstellt wurden. Aussagekräftige Informationen über die involvierte Logik bereitzustellen, hieße ferner, „dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfassen, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.“

Bisher muss die SCHUFA nicht über die Berechnungselemente der Score-Formel informieren, da laut BGH diese als Geschäftsgeheimnis nicht vom Auskunftsanspruch umfasst ist. Betroffene haben daher keine Chance, von der SCHUFA zu erfahren, wie diese auf den Score-Wert gekommen ist. Folgt nun der EuGH der Auffassung des Generalanwalts, könnte es das Aus für die geheime Scoring-Werterstellung der SCHUFA bedeuten. 

Eine weitere zentrale Frage, die sich stellt: Darf die SCHUFA Informationen über die vorzeitige Restschuldbefreiung länger speichern als öffentliche Insolvenzregister?

In öffentlichen Insolvenzregistern werden Informationen über die vorzeitige Restschuldbefreiung nach 6 Monaten gelöscht. Die SCHUFA, die diese Informationen selbst aus öffentlichen Registern entnimmt, speichert selbige gleich mal für 3 Jahre. Jedes „normale“ Unternehmen, dass Kundendaten lediglich gern zu Marketingzwecken länger als die üblichen Aufbewahrungsfristen speichern möchte, wird von einer Datenschutzbehörde dafür mindestens verwarnt. Gelten für die SCHUFA wirklich andere Maßstäbe? 

Der Generalanwalt sagt hierzu: „(…) dass die Speicherung der Daten durch eine private Wirtschaftsauskunft nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien.“

Weiter geht er auf die Frage des VG, ob eine parallele Speicherung überhaupt rechtmäßig ist, insoweit ein, als es Sache des vorlegenden Gerichts sei, die angeführten Interessen und Auswirkungen auf die Person gegeneinander abzuwägen, um hier eine Rechtmäßigkeit der Speicherung zu beurteilen. 

Folgt der EuGH den Ansichten des Generalanwalts, so würden für die SCHUFA die gleichen Aufbewahrungsfristen und damit Löschpflichten gelten wie für die öffentlichen Register. Was gleichzeitig heißt, dass sie ihren Score-Wert nach dieser Frist nicht mehr auf die Daten stützen darf. 

Als Drittes hebt der Generalanwalt hervor, nach der DSGVO habe die betroffene Person, deren personenbezogene Daten unrechtmäßig verarbeitet wurden, „das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.“ 

Fazit: Das Urteil des EuGH kann mit Spannung erwartet werden. Sollte der EuGH den Empfehlungen bzw. Ansichten des Generalanwalts folgen, müsste die SCHUFA wohl ihr Geschäftsmodell völlig neu überdenken. 

Mehr dazu finden Sie hier: Schlussanträge des Generalanwalts in der Rechtssache C-634/21 | SCHUFA Holding u. a. (Scoring) und in den verbundenen Rechtssachen C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)

2. Urteile des Monats

LAG Rheinland-Pfalz zur Notwendigkeit einer DSFA bei Nutzung von Microsoft 365

Wenn es nach deutschen Datenschutzbehörden ginge, müsste vor einer Einführung und Nutzung der Produkte von Microsoft 365 in jedem Fall eine Datenschutzfolgeabschätzung (DSFA) durchgeführt werden. Viele Unternehmen schrecken vor diesem Aufwand zurück. Tatsächlich aber stellt sich die Frage, ob eine DSFA bezüglich Microsoft 365 pauschal gerechtfertigt ist. 

Dies hat jetzt auch das Landesarbeitsgericht (LAG) Rheinland-Pfalz (Az 3 Sa 203/21) angezweifelt – zumindest für kleine Unternehmen, die nur in begrenztem Umfang personenbezogene Daten über Microsoft 365 verarbeiten.

Im Fall ging es um ein Unternehmen, welches datenschutzrechtliche Beratung anbietet (im Folgenden „die Beklagte“). Dabei wird eine Microsoft 365 Cloud mit eingeschlossenem E-Mail-System in der europäischen Microsoft-Cloud betrieben. Allerdings stellte das Gericht fest, dass in der Cloud nicht in großem Umfang Daten der Kund:innen gespeichert werden, sondern nur soweit dies für die Durchführung der Datenschutzberatung erforderlich ist. Die eigentliche Datenverarbeitung der Kundendaten erfolgt hingegen durch eigene Systemen abseits der Systeme der Beklagten.

Streitgegenständlich war die Frage, ob für die Nutzung von Microsoft 365 eine DSFA hätte durchgeführt werden müssen. 

Zum einen stellte das LAG klar, dass bei der Tätigkeit der Beklagten keine – wie vom Kläger behauptete – umfangreiche Verarbeitung besonderer sensibler Daten erfolgte.

„Die von dem Kläger als sensible Daten bezeichneten Angaben, wie bspw. Familienstand, Unterhaltspflichten, Kinder, Konfession, Geburtsdatum, etwaige Schwerbehinderung, gehören nicht zu den sensiblen Daten im Sinne von Art. 9 Abs. 1 DSGVO.“

Das LAG sagte weiterhin, dass bei der vorab durchzuführenden „Schwellenwertanalyse“ die verschiedenen Faktoren des jeweiligen Einzelfalls zu berücksichtigen seien. Es ginge hierbei um eine ganzheitliche und vorausschauend wertende Betrachtung. Insbesondere, wie sich auch aus Art. 35 Abs. 1 DSGVO ergebe, zähle dazu die Art, der Umfang, die Umstände und die Zwecke der geplanten Datenverarbeitung. Das LAG Rheinland-Pfalz folgert außerdem aus den Erwägungsgründen 89 und 90 zur DSGVO, dass ein hohes Risiko im Rahmen des Art. 35 Abs. 1 DSGVO nach der Intention des Gesetzgebers nur in Ausnahmefällen vorliegen solle und der gesetzliche Begriff des „voraussichtlich hohen Risikos“ restriktiv auszulegen sei.

Im Folgenden stellt das Gericht fest:

„Nach diesen Grundsätzen hat die Beklagte nach ihrer Risikoanalyse im Einzelnen dargelegt, dass ihre Verarbeitungsvorgänge voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen impliziert.“

Die Verarbeitung in der Cloud erfolgte im Fall in der EU. Auf eine Übermittlungsmöglichkeit bzw. Zugriffsmöglichkeit der Daten an bzw. durch den Mutterkonzern in den USA ging das LAG nicht ein. Allerdings kann man bei dieser Risikofrage an die Ansicht des Bundeskartellamts denken, welches festgestellt hatte, dass allein die Zugriffsmöglichkeit eines US-Mutterunternehmens nicht ausreicht, um Bewerber:innen von einem Vergabeverfahren auszuschließen. Ebenso kann dann die Zugriffsmöglichkeit des Mutterkonzerns Microsoft auf die in der europäischen Microsoft Cloud gespeicherten Daten nicht allein ausreichen, um ein hohes Risiko für die betroffene Personen anzunehmen. 

Insgesamt scheinen sich die Stimmen zu mehren, die das Datenschutzniveau von Microsoft 365 für durchaus datenschutz-tauglich halten.

So verkündete die Schweiz (für die zwar die DSGVO nicht gilt) nach sorgfältiger rechtlicher Prüfung, dass in der Bundesverwaltung Microsoft 365 eingeführt werden könne, soweit die entsprechenden Risikoabwägungen vorgenommen und die Sicherheitsmaßnahmen für die zu verantwortenden Daten ausreichen würden.

Im Jahr 2022 veröffentlichte auch das niederländische Justizministerium seine DSFA zu den verschiedenen Diensten von Microsoft 365, bezogen auf die Nutzung durch Behörden und Universitäten, und kam in seiner Zusammenfassung dazu, dass, solange keine besonderen personenbezogenen Daten verarbeitet würden, überwiegend kein hohes Risiko bei diesen Diensten bestehe. Ergebnis des niederländischen Justizministeriums: Sofern Behörden und Universitäten die empfohlenen Sicherheitsmaßnahmen umsetzten, bestünden „keine hohen Datenschutzrisiken bei der Nutzung der geprüften Dienste“.

Fazit: Es kann davon ausgegangen werden, dass die Einführung von Microsoft 365 nicht pauschal die Pflicht zu einer DSFA auslöst. Vielmehr ist für jede geplante Verwendung der einzelnen Dienste vorab eine Analyse anzustellen, unter anderem, welche Art von personenbezogenen Daten in welchem Umfang verarbeitet werden sollen. Weiter ist dringend anzuraten, für eine DSGVO-konforme Anwendung die von Microsoft zur Verfügung gestellten Sicherheitsmaßnahmen anzuwenden bzw. gewisse Einstellungen zu deaktivieren. Analyse und Maßnahmen sollten dokumentiert werden, um der Rechenschaftspflicht der Verantwortlichen jederzeit nachkommen zu können.

Kündigungsschutz bei betrieblichen Datenschutzbeauftragten besteht nicht immer

Gleich noch einmal beschäftigen wir uns mit dem Urteil des LAG Rheinland-Pfalz (Az 3 Sa 203/21) . Denn eigentlich war es ein arbeitsrechtliches Verfahren, in dem es um den Kündigungsschutz eines betrieblichen Datenschutzbeauftragten ging. Dieser hatte sich mit einer Kündigungsschutzklage gegen seine Kündigung gewehrt. Zum Zeitpunkt der Kündigung waren in dem Unternehmen weniger als 10 Mitarbeitende beschäftigt. 

Das Gericht entschied, in diesem Fall sei die Bestellung des betrieblichen Datenschutzbeauftragten freiwillig erfolgt. Im Falle einer freiwilligen Bestellung des betrieblichen Datenschutzbeauftragten soll demnach der Sonderkündigungsschutz gem. Art. 38 BDSG nicht gelten. 

Bereits in voriger Instanz hatte das AG Koblenz ausgeführt: 

„Es kann offenbleiben, ob die Beklagte den Kläger zum (stellvertretenden) betrieblichen Datenschutzbeauftragten bestellt hat, denn jedenfalls war sie hierzu gesetzlich nicht verpflichtet, so dass der Sonderkündigungsschutz zugunsten des Klägers nach § 6 Abs. 4 BDSG nicht greift, § 38 Abs. 2 BDSG. „

Und weiter: 

„Die Gewährung des besonderen Kündigungsschutzes erfasst nur jene Datenschutzbeauftragte, die aufgrund einer gesetzlichen Verpflichtung benannt werden. § 38 Abs. 2 BDSG stellt dabei nicht nur auf jene Datenschutzbeauftragten ab, die nach § 38 Abs. 1 BDSG zu benennen sind. Der besondere Kündigungsschutz erfasst auch jene Datenschutzbeauftragten, die nach Art. 37 Abs. 1 DSGVO benannt sind.“

Auch das LAG kam nun zu dem Urteil, dass keine der Voraussetzungen für einen Sonderkündigungsschutz nach Art. 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO vorlagen. 

Fazit: Arbeitgeber:innen und betriebliche Datenschutzbeauftragte kleinerer Unternehmen sollten sich im Klaren sein, dass mit der Bestellung nicht automatisch ein besonderer Kündigungsschutz besteht, soweit nicht die Voraussetzungen von Art. 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO vorliegen.

3. Das schreiben die Anderen zum Datenschutz

• Diese DSGVO-Änderungen plant die EU-Kommission
• Datenschutzrechtliche Bedenken bei der Shop-Bestellung von Arbeitskleidung
• Verspätete Auskunft: 10.000 Euro Schadensersatz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.