In der letzen Woche sind zwei relevante Entscheidungen gefallen, dessen Auswirkungen wir für sie beleuchten möchten.

1. Bundesverfassungsgericht

Am 18. Dezember 2018 mit dem Aktenzeichen- 1 BvR 142/15, hatte das Bundesverfassungsgericht darüber zu entscheiden, ob die automatischen stationären Kennzeichenabfrage-Anlagen und mobile Anlagen, welche in Bayern überwiegend an Autobahnen und anderen viel befahrenen Straßen aufgestellt bzw. tätig waren mit der aktuellen Rechtslage zulässig sind. Geklagt hatte ein Bürger, welche diese Abfrage als Einschüchterung bewertete und sonst keinen wirklichen Nutzen sah. Schließlich greife diese unzulässig in dessen Grundrechte ein.

a. Die Entscheidung

Das Bundesverfassungsgericht entschied, dass das automatische Erfassen der Nummernschilder und der Abgleich mit Fahndungsdaten sehr wohl eine Verarbeitung von personenbezogenen Daten darstelle und einen Eingriff in das Grundrecht das sog. informationelle Selbstbestimmungsrecht darstellen kann. Dabei begründen die Richter ihre Entscheidung u.a. damit, dass die Bürger sich im Sinne des freiheitlichen Gemeinwohls fortbewegen können müssen, ohne sich dafür zu rechtfertigen. Die jederzeitige, unbemerkte, an jeder Stelle erfolgte Überprüfung, insbesondere in einer Fahndungsdatei sei jedoch gerade unvereinbar mit diesem Prinzip, so die Richter ausführend. Demnach sei die anlassbezogene, allgemeine Erhebung und der Abgleich, unzulässig.  Vielmehr müsste es hierzu eine entsprechende Rechtsgrundlage und konkrete Gefahren geben.

 b. Was ist daran so relevant?

Gerade in Bezug auf die Frage zu Beginn und den Umfang des Schutzes der Daten entsteht eine Relevanz für alle Verantwortlichen im Umgang mit personenbezogenen Daten. Das Bundesverfassungsgericht sieht den Schutzbereich bereits dann eröffnet, wenn eine Gefährdung des Persönlichkeitsrechtes besteht, das dürfte faktisch immer zutreffen. Dies gilt vor allem da der Betroffene die Kontrolle über seine Daten verliert, sobald Dritte die Daten verarbeiten, auf die der Betroffene keine unmittelbare Einwirkungsmöglichkeit mehr hat.

Der Schutzumfang gilt insofern für alle personenbezogenen Daten, unabhängig davon, ob die Daten einen geringen Informationsgehalt aufweisen bzw. sensibel oder öffentlich zugänglich sind. Demnach ist es unerheblich, ob die personenbezogenen Daten öffentlich zugänglich sind und erhoben wurden oder nebenbei miterfasst werden (z.B. Tracking). Gerade hier wird das Recht auf informelle Selbstbestimmung eingeschränkt. Bereits das Erfassen dieser Daten sei ein Eingriff in das Grundrecht. Zwar kann es an der Eingriffsqualität fehlen, wenn die „Informationen ungezielt und allein technikbedingt zunächst miterfasst, aber unmittelbar nach der Erfassung technisch wieder anonym, spurenlos und ohne Erkenntnisinteresse…“ ausgesondert werden (z.B. session cookies).

Sobald jedoch eine Person identifiziert werden kann, liegt keine geringe Eingriffsqualität vor. In der Regel liegt dies bei Cookies und Tracking, besonders bei solchen von Facebook und Google, vor.

2. Bundeskartellamt

Das Bundeskartellamt hat am 07.02.2019 das Zusammenführen der gesammelten Daten durch Facebook, unabhängig des Ortes der Erhebung (Demnach auch in Bezug auf die obige Entscheidung) ohne die Zustimmung der Betroffenen für unzulässig erklärt.

 a. Was ist passiert?

Das Bundeskartellamt hat entschieden, dass Facebook mit seinen Leistungen außerhalb der eigenen Plattform (WhatsApp, Instagram, Facebook Like-Buttons auf Webseiten) eine marktbeherrschende Rolle einnimmt und die Erhebung und Zusammenführung von aus Daten aus diesen Diensten als unzulässig erachtet. Gerade mit Blick auf sog. Share-Buttons und Gefällt-mir Buttons, welche viele Betreiber auf ihre Webseiten implementieren, sah das Bundeskartellamt einen nicht unerheblichen Vorteil gegenüber anderen Wettbewerbern. Problematisch wird es, da anschließend der bloße Besuch der Webseite dazu führt, dass das Plugin Daten der betroffenen Person an Facebook weiterleitet. Gerade hier müssen zwingend die Fragen der Einwilligung bzw. der Rechtsgrundlage geklärt sein. Überwiegend werden jedoch keine Einwilligungen oder eine Rechtsgrundlage für diese Art der Weiterleitung vorliegen.

 b. Welche Relevanz hat diese Entscheidung?

In Anbetracht der Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO und die letzte Entscheidung des EuGH (v.05.06.2018 Az. C-210/16) zur gemeinsamen Verantwortung der Facebook-Seiten-Betreiber und dem entsprechenden Dienstanbieter selbst, dürfte feststehen, dass die Betreiber von Webseiten, die auf ihren Webseiten Facebook-Share-Buttons anbieten, auch von der Entscheidung des Bundeskartellamtes betroffen sein können.

Da die Facebook-Seiten-Betreiber mit Facebook eine gemeinsame Verantwortung haben und die DS-GVO vor allem bei Webseiten-Betreibern die Verantwortung sieht, ihre Seiten rechtskonform bereitzustellen, dürfte beim Implementieren dieser Plugins – gerade von Facebook – auch hier eine gemeinsame Verantwortung vorliegen.

 3. Zusammenfassung der Entscheidungen

Nach Betrachtung dieser Entscheidungen kommt man zu dem Ergebnis, dass das Erfassen von Daten über die Plugins auf Webseiten oder auch Trackingdiensten und besonders die Weiterleitung an entsprechende Dienstanbieter nur noch zulässig ist, soweit eine Einwilligung oder Rechtsgrundlage vorliegt. Überwiegend kann jedoch keine Rechtsgrundlage die Verarbeitung stützen, weshalb es allein auf die Einwilligung ankommt.

Ohne entsprechende Einwilligung ist somit diese Art der Erfassung und vor allem Übermittlung nicht DS-GVO-Konform.

Im Übrigen gilt grundsätzlich, wie zuvor auch, dass darauf geachtet werden muss, welche Daten wo und aus welcher Rechtsgrundlage erhoben werden. Dabei sollte kein Unterschied gemacht werden, welche Art von Daten erhoben werden und was mit ihnen geschieht.