Facebooks neue Datenrichtlinie tritt heute in Kraft

Zweifel an der Rechtmäßigkeit bleiben

 

(hmbbfdi, 30.1.2015) Eine kritische Durchsicht der angekündigten Änderungen von Nutzungsbedingungen und Datenrichtlinie von Facebook zum 30. Januar 2015 hat datenschutzrechtliche Zweifel an der Zulässigkeit des beschriebenen Umfangs und der Art der Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Nutzerinnen und Nutzer aufkommen lassen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) wird insbesondere klären, ob der in der Neuformulierung der Datenrichtlinie beschriebene Austausch personenbezogener Daten mit den als „Facebook-Unternehmen“ bezeichneten Drittunternehmen (z.B. WhatsApp, Instagram, Atlas), vor allem unter Einbeziehung der von diesen Unternehmen verwendeten Datenschutzerklärungen, zulässig ist. Der in der Datenrichtlinie beschriebene Umfang und die Art der Datenverarbeitung muss außerdem im Einklang mit den Prinzipien der Zweckbindung und Transparenz der Datenverarbeitung sowie der Datensparsamkeit und Datenvermeidung stehen.

 

Wir haben Facebook eine Reihe von Fragen gestellt, deren Beantwortung wir bis Ende Februar erwarten. Bis zu diesem Zeitpunkt planen wir keine rechtlichen Schritte, wir werden aber zeitnah, insbesondere in Abstimmung mit unseren Kollegen in den anderen EU-Mitgliedstaaten, das weitere Vorgehen abstimmen.

 

Insbesondere gilt es, Folgendes zu klären:

 

1. Auf welcher Rechtsgrundlage räumen sich Facebook und seine angeschlossenen Unternehmen die in der Datenrichtlinie umfangreich benannten Übermittlungsbefugnisse ein? Auf welcher Grundlage werden künftig die personenbezogenen Daten authentifizierter und nicht authentifizierter Nutzerinnen und Nutzer erhoben und verarbeitet?

 

2. Sollte sich Facebook auf die Einwilligung der Nutzerinnen und Nutzer berufen, wird deren Wirksamkeit zu prüfen sein. Dies betrifft die Frage der Freiwilligkeit, vor allem mit Blick auf die bereits registrierten Nutzerinnen und Nutzer, ebenso wie die Information der Nutzerinnen und Nutzer über die Art und den Umfang der Datenverarbeitung.

 

3. Wie setzt Facebook die Grundprinzipien der Datenvermeidung und Datensparsamkeit gemäß § 3a Bundesdatenschutzgesetz (BDSG) und die in § 13 Abs. 4 Nr. 4 bis 6 Telemediengesetz (TMG) beschriebenen technischen und organisatorischen Maßnahmen des Trennungsgebots um?

 

Es ist bedauerlich, dass Facebook unserer Empfehlung, das Inkrafttreten der Datenrichtlinie bis zum Abschluss des Prüfverfahrens auszusetzen, nicht nachgekommen ist. Die Befürchtung, dass die Daten von Nutzern künftig in großem Maßstab zwischen den Unternehmen des Facebook-Konzerns ausgetauscht werden, sollte Facebook ernst nehmen. „Sie wird dadurch bestätigt, dass die neue Datenrichtlinie heute ohne diesbezügliche Korrektur in Kraft getreten ist“, so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

 

Die Zuständigkeit der Hamburger Datenschutzaufsicht für Facebook gründet sich auf § 38 BDSG i.V.m. § 24 Hamburgisches Datenschutzgesetz und dem Umstand, dass die Facebook Germany GmbH ihren Sitz in Hamburg hat. Nach unserer Auffassung ergibt sich die Anwendung des nationalen Datenschutzrechts auf die Facebook Ireland Ltd. und Facebook Inc., insbesondere aus den Vorgaben des TMG und aus § 1 Abs. 5 BDSG. Diese müssen im Lichte des Urteils des EuGH vom 13. Mai 2014 (C-131/12, Recht auf Löschung in der Google-Suchmaschine) europarechtskonform ausgelegt und angewendet werden (anhand des Art. 4 Europäische Datenschutzrichtlinie 95/46/EG).

 

Kontakt/Rückfragen:

Arne Gerhards, Tel. 040 / 428 54 - 4153