. .

«Facebook-Fanpage: Keine Untersagung durch Datenschutzaufsicht»

Das Unabhängige Landeszentrum für Datenschutz (ULD) kann den Betreiber einer Facebook-Fanpage nicht zur Abschaltung seiner Fanpage verpflichten. Das entschied nun das Oberverwaltungsgericht Schleswig in seinem Urteil vom 04.09.2014 (AZ 4 LB 20/13).

Geklagt hatte die Wirtschaftsakademie Schleswig-Holstein GmbH gegen das ULD, nachdem dieses im Jahre 2011 anordnete, die Facebook-Fanpage des Unternehmens zu deaktivieren. Das ULD stützte sich dabei auf datenschutzrechtliche Verstöße von Facebook, die insbesondere eine fehlende Widerspruchsmöglichkeit von Nutzern nach dem Telemediengesetz (TMG) gegen die Erstellung von Nutzungsprofilen zum Gegenstand hatten.

In erster Instanz wurden die streitigen Anordnungen des ULD aufgehoben. Das OVG Schleswig wies nun die Berufung des ULD zurück.

Das Gericht begründete seine Entscheidung damit, dass der Betreiber einer Facebook-Fanpage datenschutzrechtlich nicht für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage verantwortlich sei. Der Betreiber habe keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Eine datenschutzrechtliche Mitverantwortung sei auch nicht dadurch gegeben, dass der Betreiber von Facebook anonyme Statistikdaten über Nutzer erhält.

Folglich dürfe das ULD als Datenschutzaufsichtsbehörde den Fanpagebetreiber nicht dazu verpflichten, seine Facebook-Fanpage zu deaktivieren. Allein Facebook sei für den Datenschutz seiner Nutzer verantwortlich.

Das Vorgehen des ULD wurde auch an anderer Stelle gerügt. Es sei vor einer Untersagungsverfügung erst ein abgestuftes Verfahren nach § 38 BDSG durchzuführen gewesen, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Im konkreten Fall liege auch keine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon vor, womit die Anordnung des ULD bereits deshalb rechtswidrig gewesen war.

Es bleibt abzuwarten, ob eine höhere Instanz anderer Ansicht sein wird. Gegen diese Entscheidung kann nun Revision eingelegt werden.


marcus.reinberg
Verfasst von
Rechtsanwalt und Partner Dr. jur. h.c. Marcus Reinberg LL.M. **
eMail schreiben

«Umfang einer von SCHUFA zu erteilenden Auskunft»

Nach dem BGH-Urteil vom 28.01.2014 (AZ VI ZR 156/13) muss die Wirtschaftsauskunftei SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung) Verbrauchern keine umfassende Auskunft zur Berechnung der Kreditwürdigkeit und der Scorewerte geben. 

Zur Beurteilung der Kreditwürdigkeit sammelt und speichert die SCHUFA bekanntlich Personendaten von Verbrauchern. Aufgrund personenbezogener Finanzmerkmale berechnet sie auch sogenannte Scorewerte, die zur Bonitätseinstufung von Dritten genutzt werden können.

Im konkreten Fall wollte die Klägerin nach einer gescheiterten Finanzierung eines Autokaufs von der SCHUFA erfahren, wie die Bewertung ihrer Kreditwürdigkeit zustande gekommen war und wieso sie als nicht ausreichend kreditwürdig eingestuft wurde. Das Unternehmen erteilte der Klägerin eine allgemeine Auskunft zur Einschätzung der Kreditwürdigkeit, indem es eine Bonitätsauskunft und eine Datenübersicht nach § 34 Bundesdatenschutzgesetz (BDSG) übermittelte. Die erteilte Auskunftgenügte der Klägerin jedoch nicht. Sie wollte genau erfahren, wie die einzelnen Scorewerte berechnet werden.

Der BGH wies nun die vom Landgericht zugelassene Revision zurück, mit der die Klägerin ihr Begehren aus den Vorinstanzen weiterverfolgte.

Nach Ansicht des BGH sei die SCHUFA verpflichtet, Auskunft über die bei ihr gespeicherten personenbezogenen Daten zu erteilen, die für das Scoring verwendet werden. Die SCHUFA übermittelte der Klägerin alle bei ihr gespeicherten, personenbezogenen Daten, die an Dritte übermittelten und aktuell berechneten Wahrscheinlichkeitswerte und die zu ihrer Berechnung genutzten Daten. Es bestehe kein darüber hinausgehender Auskunftsanspruch. Die gesetzlich geforderte Auskunft sei der Klägerin damit gegeben worden. Die bisherige Auskunftspraxis der SCHUFA genüge den Anforderungen des Bundesdatenschutzgesetzes, gemäß § 34 Abs. 4 BDSG. Weiterhin habe die SCHUFA nach eigenen Angaben an der Geheimhaltung der Berechnungsformel des Scorewertes ein schutzwürdiges Interesse und könne sie nicht offenlegen.

Mit der gesetzlichen Auskunftsverpflichtung wolle man Transparenz schaffen und den Verbrauchern detaillierte Informationen zur Verfügung stellen. So können sie die konkreten Umstände erkennen, die für die Ermittlung des Scorewertes relevant sind, nicht jedoch Angaben zu Vergleichsgruppen oder zur Gewichtung einzelner Elemente. Die erteilten SCHUFA-Auskünfte genügten demnach im konkreten Fall den gesetzlichen Anforderungen.


Thomas Russ
Verfasst von
Rechtsanwalt Thomas Russ
eMail schreiben

«Bußgeld gegen Google festgesetzt»

Google muss wegen unzulässiger WLAN-Mitschnitte ein Bußgeld in Höhe von 145.000 Euro zahlen. Das hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit am 22.04.2013 festgesetzt.

Im konkreten Fall hatte die Google Inc. in den Jahren 2008 bis 2010 für den Dienst Google Street View Straßen und Häuser fotografiert und gleichzeitig auch WLAN in Reichweite der verwendeten Fahrzeuge erfasst. Auf Nachfrage des Datenschutzbeauftragten räumte Google ein, dass dabei auch Inhaltsdaten der erfassten unverschlüsselten WLAN-Anschlüsse aufgezeichnet wurden. Die Auswertung der zur Untersuchung des Sachverhalts zur Verfügung gestellten Daten bestätigte dies zusätzlich. Unter den von Google erfassten Informationen befanden sich erhebliche Mengen an personenbezogenen Daten unterschiedlichster Qualität, wie z.B. E-Mails, Passwörter, Fotos und Chat-Protokolle. Im Jahre 2010 wurde der Sachverhalt bereits aufgedeckt und von der Staatsanwaltschaft Hamburg untersucht. Das Ermittlungsverfahren wurde jedoch im November 2012 wieder eingestellt. Im Rahmen eines Ordnungswidrigkeitenverfahrens griff der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit den Fall wieder auf.

Das Verfahren wurde nun mit der rechtskräftigen Feststellung abgeschlossen, dass Google Inc. fahrlässig unbefugt personenbezogene Daten erhoben und gespeichert hat. Weiterhin wurde Google mit Bußgeldbescheid zur vollständigen Löschung der unzulässig erhobenen Daten angewiesen.

Es handelt sich hierbei um einen der größten bekannt gewordenen Datenschutzverstöße. Die im Bundesdatenschutzgesetz vorgesehenen Sanktionen für multinationale Konzerne reichen für derartig schwerwiegende Datenschutzverstöße bei weitem nicht aus. Eine abschreckende Wirkung wird bei Bußgeldern bis zu 150.000 € für fahrlässige und bis zu 300.000 € für vorsätzliche Verstöße meist nicht erzielt. Eine wirtschaftlich spürbare Ahndung von Datenschutzverletzungen könne jedoch die derzeit im Zuge der künftigen europäischen Datenschutzgrundverordnung diskutierte Regelung bewirken. Diese sieht als maximales Bußgeld 2 % des Jahresumsatzes des Unternehmens vor.


marcus.reinberg
Verfasst von
Rechtsanwalt und Partner Dr. jur. h.c. Marcus Reinberg LL.M. **
eMail schreiben

«Eilanträge von Facebook wegen Konten-Entsperrung erfolgreich»

Das Verwaltungsgericht Schleswig-Holsteins (VG Schleswig) hat am 14.02.2013 in zwei Verfahren des vorläufigen Rechtsschutzes den Anträgen von Facebook USA und der europäischen Niederlassung Facebook Irland stattgegeben.

Hintergrund der Entscheidung war, dass Facebook mit den Anträgen die Wiederherstellung der aufschiebenden Wirkung seiner Widersprüche gegen zwei Bescheide des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig Holstein begehrte. Das ULD hatte zuvor mit den auf das Bundesdatenschutzgesetz und das Telemediengesetz gestützten Bescheiden angeordnet, dass Facebook seinen Nutzern die Wahlmöglichkeit einräumen solle, bei der Registrierung anstelle der Eingabe von Echtdaten auch Pseudonyme angeben zu können. Ferner solle Facebook die Entsperrung bereits gesperrter Konten in die Wege leiten. Für den Fall der Nichtbeachtung wurde ein Zwangsgeld in Höhe von 20.000 Euro angedroht.

Diesem Begehren liegt zugrunde, dass Facebook von seinen Nutzern bei der erstmaligen Registrierung die wahrheitsgemäße Angabe der Daten (Vor- und Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) verlangt. Sollten Nutzer nicht ihre korrekten Daten angegeben haben, so sperrt Facebook die Konten, welche erst wieder mit der Vorlage der Kopie eines amtlichen Lichtausweises zur Identifizierung entsperrt werden können.

Gegen die Bescheide hatte Facebook Widerspruch eingelegt und einen Antrag auf Wiederherstellung der aufschiebenden Wirkung gestellt. Das VG Schleswig hat mit seinen Beschlüssen in beiden Verfahren die aufschiebende Wirkung wiederhergestellt.

Das Gericht war zu der Auffassung gekommen, dass die Anordnung zur Konten-Entsperrung rechtswidrig sei. Zu Unrecht habe das Datenschutzzentrum seine Anordnung auf das deutsche Datenschutzrecht gestützt, welches im vorliegenden Fall keine Anwendung findet. In seiner Begründung weist das Gericht auf die Regelungen der Europäischen Datenschutzrichtlinie und das Bundesdatenschutzgesetz hin. Diese geben konkret an, dass das deutsche Recht nicht anwendbar ist, sofern die Erhebung und Verarbeitung von personenbezogenen Daten durch eine Niederlassung in einem anderen EU-Mitgliedstaat stattfindet.

Im konkreten Fall erfülle die Facebook Ltd. Ireland mit dem vorhandenem Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung, wodurch ausschließlich das irische Datenschutzrecht von Bedeutung sei. Die Facebook Germany GmbH hingegen nehme vorrangig Aufgaben im Bereich der Anzeigenakquise und des Marketings wahr, womit sie nicht in den Anwendungsbereich fällt.

Die Anordnung der Entsperrung sowie die Zwangsgeldandrohung seien somit rechtswidrig.


marcus.reinberg
Verfasst von
Rechtsanwalt und Partner Dr. jur. h.c. Marcus Reinberg LL.M. **
eMail schreiben
Kategorien