Archive for the ‘Datenschutz’ Category
Verantwortung für Facebook-Fanseiten
Betreiber von Facebook-Fanseiten sind laut dem Europäischen Gerichtshof (EUGH AZ C-210/16) gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich. Das ergäbe sich laut EUGH aus einem bestehenden Benutzungsverhältnis. In den Feldern in denen der Fanpage-Betreiber durch Filter die Nutzung der Daten steuert (zB. Cookies, Insights-Funktion), ist der Betreiber verantwortlich. In den Bereichen, in denen Facebook die Daten auch ohne Anforderung des Betreibers der Fanpage verwende, ist Facebook zuständig. Doch Facebook schuldet hier die Transparenz, was passiert, wenn der Fanpage-Betreiber seine aktuell vorgegebenen Möglichkeiten ausgeschöpft hat. So bleiben mehr Fragen offen, als dem EUGH gestellt wurden.
Cloud-Service und (Vorab-)Kontrolle
Die Entscheidung für die Nutzung von Cloud-Services wird vor allem unter wirtschaftlichen und organisatorischen Aspekten getroffen.
Die anhaltend diskutierten Schlagworte lauten Flexibilität/ verbrauchsabhängige Kosten/ Einsparung eigener IT-.Systeme und ubiquitäre Verfügbarkeit.
Die Auslagerung von Anwendungen betrifft hierbei in aller Regel auch datenschutzrelevante Bereiche. Damit verbunden sind die praktischen Probleme der Auftragsdatenverwaltung : der Auftraggeber bleibt für die Daten verantwortlich, erleidet aber durch die Auslagerung zu einem Dienstleister notwendigerweise einen Kontrollverlust. Dieser ist gem. § 11 BDSG jedoch nicht akzeptabel. Nach § 11 Abs. 2 S. 4 BDSG ist die verantwortliche Stelle verpflichtet, vor Beginn der Datenverarbeitung eine (Vorab-)Kontrolle durchzuführen. Unabhängig davon, dass der Dienstleister regelmäßig nicht von einem aufwendigen Besuch begeistert ist, ist eine tatsächliche Kontrolle insbesondere bei einem örtlich entfernten Anbieter oder bei Einsatz von weiteren Subunternehmern mit einem hohen Kosten- und Zeitaufwand verbunden. Ein bloßes Vertrauen auf Zertifikate und Gütesiegel anerkannter und unabhängiger Prüfstellen reicht in der Regel nicht. Es ist zumindest erforderlich die dazugehörigen Prüfberichte einzusehen und entsprechend zu prüfen. Akzeptiert der Cloud-Anbieter dies nicht, so wird sich der Service-Nutzer gegenüber der Datenaufsichtsbehörde damit nicht herausreden können. Der Auftraggeber als weiterhin Verantwortlicher ist für die Einhaltung der datenschutzrechtlichen Anforderungen in Deutschland zuständig.