Facebook dürfte mit rund zwei Milliarden monatlich aktiven Nutzern zu den beliebtesten Social-Media-Plattformen gehören. Facebook steht allerdings nicht nur wegen der Vielzahl an Nutzer im Fokus, sondern häufig wegen seines Umgangs mit personenbezogenen Daten, wie wir dies bereits in einem unserer Beiträge thematisiert haben.

Neben zahlreicher Kritik deutscher Datenschutzbehörden, hat sich nun die spanische Datenschutzbehörde zum Thema Datenschutz bei Facebook geäußert und mehrere Verstöße festgestellt, die mit einer Geldstrafe von 1,2 Mio. € belegt wurden.

Datenschutz in Spanien  

Spanien dürfte einer der Mitgliedstaaten innerhalb Europas sein, der eine Vielzahl von Datenschutzbeschwerden zählt und diese hart sanktioniert. So werden nach Art. 45 des Spanischen Gesetzes zum Schutz personenbezogener Daten („Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal“) folgende Sanktionen für Vergehen in Aussicht gestellt, bei:

  • kleineren datenschutzrechtlichen Verstößen erfolgt ein Bußgeld von 900€ bis zu 40.000 €,
  • mittelschweren datenschutzrechtlichen Verstößen von 40.001 € bis zu 300.000 € und
  • groben datenschutzrechtlichen Verstößen muss der Betroffene sogar mit einer Strafe von 300.001 € bis hin zu 600.000 € rechnen.

An dieser Stelle möchten wir darauf verweisen, dass es sich um Sanktionen nach dem nationalen Gesetz handelt und mit der Datenschutz-Grundverordnung ab Mai 2018 auch in Spanien Grenzen gelten.

Strafzahlung für Facebook

Die spanische Datenschutzbehörde, kurz AEPD (Agencia Espaniola Protecccion de Datos), erfasste innerhalb ihrer investigativen Maßnahmen in Kooperation mit Datenschutzbehörden in Belgien, Frankreich, Deutschland und den Niederlanden, dass Facebook innerhalb dessen Prozesse zwei mittlere Verstöße und einen groben Verstoß gegen das spanische Datenschutzrecht (LOPD – Organic Law on Data Protection) verübte. Die Verstöße ergaben sich:

  • aus der Sammlung von Nutzerdaten, welche sensible Informationen über diese beinhaltete, wie religiöse Zugehörigkeit, Geschlecht, persönliche Vorlieben, gesellschaftliche Einstellung sowie Internetaktivität, ohne konkrete Zweckbestimmung, wofür die Daten genutzt werden sollten. Die genannten Daten wurden dabei u.a. für Werbezwecke genutzt ohne die Zustimmung der Betroffenen einzuholen, welche nach allgemeinen Datenschutzregelungen notwendig gewesen wären. Weiterhin erfasse Facebook, nach Ermittlungsstand der spanischen Behörde, Daten, die bei der Interaktion zwischen Nutzern sowie der Umleitung von Nutzern auf Drittseiten entstünden, wie beispielsweise der Kommunikation via Messenger oder beim Anklicken von Facebook-Werbung.
  • Ebenso bemängelte die spanische Datenschutzbehörde die Datenpolitik des Unternehmens, welche nach Ermittlungsangaben unklar formuliert sei.
  • Die durch Facebook gesammelten Daten seien über 17 Monate gespeichert worden. Auch dann, wenn der Nutzer sich abgemeldet oder sein Facebook-Konto gelöscht hatte. Die Speicherdauer gehe daher weit über den dadurch verfolgten Zweck – eine reibungslose Nutzung der Facebook-Seite zu garantieren – und stelle einen groben Verstoß gegen das spanische Datenschutzrecht dar.

Die spanische Datenschutzbehörde belegte daher, in deren Endentscheidung am 11. September 2017, Facebook mit einer Strafzahlung von insgesamt 1,2 Mio., wobei beide mittleren Verstöße mit 300.000 €, der grobe Verstoß mit 600.000 € betitelt wurde. Die spanische Datenschutzbehörde schöpfte damit die Maximalgrenze je Vergehen aus.

Konsequenz für Unternehmen — Datenschutz beachten!

Auch wenn Facebook angesichts eines Quartalgewinns von zuletzt 8 Milliarden, ein Bußgeld von 1,2 Mio. finanziell nicht sonderlich treffen wird, bleibt der Imageverlust, welcher wahrscheinlich in Zukunft dazu führen kann, dass einige Nutzer zu anderen Plattformen wechseln werden, wie dies bereits bei der Übernahme von WhatsApp durch Facebook beobachtet werden konnte. Gleichzeitig wird ein Zeichen gesetzt, wonach auch sonstige Unternehmen in Spanien mit Sanktionen bei Verstößen zu rechnen haben.

Alle Unternehmen, die mit Daten umgehen, sollten sich deshalb an diesem Fall ein Beispiel nehmen. Es zeigt deutlich, dass Datenverstöße – seien diese vorsätzlich oder fahrlässig begangen – von den Datenschutzbehörden verfolgt und mit harten Sanktionen belegt werden.

Facebook im Unternehmen nutzen?

Der Fall zeigt nicht nur, wie notwendig die Beachtung des Datenschutzes ist, um möglichen Sanktionen und Imageverlusten zu entgehen. Er verdeutlicht auch, wie wenig Facebook von Datenschutz halten dürfte. Wird innerhalb eines Unternehmens Facebook zur Datenübermittlung genutzt, sollte zwingend und zügig überlegt werden, ob nicht Alternativen eingesetzt werden sollten, die einen sichereren Datenumgang garantieren, damit mögliche Probleme vermieden werden können. Es ist ratsam Mitarbeiter über die Risiken bei der Nutzung von Facebook aufzuklären, damit diese ein besseres Verständnis darüber erhalten, dass nicht nur deren eigene Privatsphäre betroffen ist, sondern möglicherweise auch die des Unternehmens bzw. seiner Kunden. Natürlich heißt es nicht nur personenbezogene Daten und damit Menschen zu schützen, sondern auch Betriebsgeheimnisse. Ob ein solcher Schutz über Plattformen, die durch Daten Ihr Geld verdienen, realisiert werden kann, bleibt mehr als fraglich.  Für die Sensibilisierung der Mitarbeiter können Datenschutz-Schulungen vom Datenschutzbeauftragten, welcher ebenso Ansprechpartner für datenschutzrechtliche Belange ist, ausgerichtet sowie z. B. Leitfäden zum Umgang mit sozialen Medien erstellt werden.

Ähnliche Beiträge