Archive for the ‘Datenschutz’ Category

Verantwortung für Facebook-Fanseiten

Betreiber von Facebook-Fanseiten sind laut dem Europäischen Gerichtshof (EUGH AZ C-210/16)  gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich. Das ergäbe sich laut EUGH aus einem bestehenden Benutzungsverhältnis. In den Feldern in denen der Fanpage-Betreiber durch Filter die Nutzung der Daten steuert (zB. Cookies, Insights-Funktion), ist der Betreiber verantwortlich. In den Bereichen, in denen Facebook die Daten auch ohne Anforderung  des Betreibers  der Fanpage verwende, ist Facebook zuständig. Doch Facebook schuldet hier die Transparenz, was passiert, wenn der Fanpage-Betreiber seine aktuell vorgegebenen Möglichkeiten ausgeschöpft hat. So bleiben mehr Fragen offen, als dem EUGH gestellt wurden.


Cloud-Service und (Vorab-)Kontrolle

Die Entscheidung für die Nutzung von Cloud-Services wird vor allem unter wirtschaftlichen und organisatorischen Aspekten getroffen.
Die anhaltend diskutierten Schlagworte lauten Flexibilität/ verbrauchsabhängige Kosten/ Einsparung eigener IT-.Systeme und ubiquitäre Verfügbarkeit.
Die Auslagerung von Anwendungen betrifft hierbei in aller Regel auch datenschutzrelevante Bereiche. Damit verbunden sind die praktischen Probleme der Auftragsdatenverwaltung : der Auftraggeber bleibt für die Daten verantwortlich, erleidet aber durch die Auslagerung zu einem Dienstleister  notwendigerweise einen Kontrollverlust. Dieser ist gem. § 11 BDSG jedoch nicht akzeptabel. Nach § 11 Abs. 2 S. 4 BDSG ist die verantwortliche Stelle verpflichtet, vor Beginn der Datenverarbeitung eine (Vorab-)Kontrolle durchzuführen. Unabhängig davon, dass der Dienstleister regelmäßig nicht von einem aufwendigen Besuch begeistert ist,  ist eine tatsächliche Kontrolle insbesondere bei einem örtlich entfernten Anbieter oder bei Einsatz von weiteren Subunternehmern mit einem hohen Kosten- und Zeitaufwand verbunden. Ein bloßes Vertrauen auf Zertifikate und Gütesiegel anerkannter  und unabhängiger Prüfstellen reicht in der Regel nicht. Es ist zumindest erforderlich die dazugehörigen Prüfberichte einzusehen und entsprechend zu prüfen. Akzeptiert der Cloud-Anbieter dies nicht, so wird sich der Service-Nutzer gegenüber der Datenaufsichtsbehörde damit nicht herausreden können.  Der Auftraggeber als weiterhin Verantwortlicher ist für die Einhaltung der datenschutzrechtlichen Anforderungen in Deutschland zuständig.