Social Media in Unternehmen – 5 Datenschutz-Risiken

Fachbeitrag

Für Unternehmen war es noch nie so leicht wie jetzt, potenzielle Kunden zielgerichtet anzuwerben. Die sozialen Netzwerke Facebook, Instagram, YouTube und TikTok sind von dem üblichen Unternehmensauftritt nicht mehr wegzudenken. Wie können Unternehmen trotz datenschutzrechtlicher Schwierigkeiten diesen lukrativen Werbekanal nutzen? Wir klären Sie auf – über Risiken, Nebenwirkungen und … Datenschutz?

Ein buntes (unbekanntes) Potpourri an Daten

Der durchschnittliche Mensch besitzt 8,6 Social-Media Accounts und verbringt 2 Stunden und 24 Minuten pro Tag auf sozialen Netzwerken. Klar, dass sich das Marketing dann von der gewöhnlichen TV-/Printwerbung etc. auf den kleinen Bildschirm verlagern muss, um die Zielgruppe zu erreichen. Aber zwischen Facebook, Instagram, Twitter, YouTube, TikTok, Pinterest, LinkedIn und XING kann sich ja keiner mehr entscheiden. Ob die Kommunikation per Fotos, kurzer Tweets oder Videos gewünscht ist, bleibt Ihnen überlassen. Fakt ist, dass diese großen Anbieter die Arbeit für Sie übernehmen werden in puncto Zielgruppenanalyse.

Für die Betreiber eines Social-Media-Kanals sind in der Regel nur die öffentlich zugänglichen Daten der Nutzer einsehbar, die mit Ihrem Unternehmensauftritt interagieren durch beispielsweise Abonnieren, Liken oder Teilen von Beiträgen. Allein dadurch sind schon viele personenbezogene Daten einsehbar, sofern der Nutzer selbst keine datenschutzfreundlichen Einstellungen vorgenommen hat. Darüber hinaus erhält der Betreiber des Social-Media-Kanals in der Regel anonyme Nutzerstatistiken, welche dem Betreiber Erfolgswerte übermitteln bezüglich Nutzerzuwachs, Nutzerdemografie oder ähnliches.

Wie Facebook, Instagram und Co. jedoch zu diesen Erkenntnissen gelangen und welche Daten von einzelnen Nutzern dafür verarbeitet werden müssen (z.B. Geräteinformationen, Cookie-Informationen, Nutzungsdaten), bleibt für den Betreiber des Social-Media-Kanals oftmals ein Geheimnis. Das bedeutet aber leider auch nicht, dass der Betreiber des Kanals sich komplett aus der Verantwortlichkeit ziehen kann. Ganz im Gegenteil, die Betreiber eines solchen Social-Media-Kanals sind Mitverantwortliche. Somit müssen Sie gewisse datenschutzrechtliche Pflichten wie die Informationspflicht nach Art. 13 DSGVO erfüllen. Umfassende Transparenz ist aber schwer möglich, wenn nicht einmal die Datenkategorien und der Umfang der Datenverarbeitung, geschweige denn die Speicherdauer, bekannt sind.

Vereinbarung über gemeinsame Verantwortlichkeit nicht vorhanden

Als kleine Auffrischung, wo wir datenschutzrechtlich in Sachen Social-Media stehen: Der EuGH hat mit seiner Entscheidung vom 05. Juni 2018 festgelegt, dass für eine Fanpage eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen dem Fanpage-Betreiber und Facebook vorliegt. Ausschlaggebend war dabei, dass der Fanpage-Betreiber zwar selbst nicht Zugriff auf die Daten hat, die Facebook im Rahmen seiner Insights verarbeitet, jedoch ermöglicht dieser mit der Erstellung und dem Betrieb der Facebook-Fanpage überhaupt erst den Datenzugriff. Zudem könne der Betreiber durch eine sogenannte Parametrierung den Rahmen der Nutzungsstatistiken zumindest mitbestimmen und zieht aus dieser Verarbeitung einen wirtschaftlichen Vorteil.

Inzwischen wurde von Facebook eine – sehr dürftig ausgestaltete – einseitige Vereinbarung im Sinne des Art. 26 DSGVO bezüglich der Datenverarbeitung im Rahmen der Insights in den Nutzungsbedingungen veröffentlicht. Ob diese jedoch wirklich den Anforderungen des Art. 26 DSGVO genügt, ist dabei allerdings fraglich. Wir berichteten über die offenen Fragen in Bezug auf die Vereinbarung nach Art. 26 DSGVO von Facebook, insbesondere bei der Bestimmung einer wirksamen Rechtsgrundlage für die Verarbeitung der Insight-Daten.

Das Urteil des EuGHs lässt sich nur allzu leicht auf andere soziale Netzwerke übertragen, die eine umfassende Datenverarbeitung ihrer Nutzer durchführen, um beispielsweise zielgruppenorientierte Produktplatzierung anzubieten. Bezüglich der sonstigen sozialen Netzwerke führte die Gesellschaft für Datenschutz und Datensicherheit aus:

„Diese bieten vergleichbare Auswertungsmöglichkeiten wie die Facebook Fanpage und werfen im Grundsatz die gleichen datenschutzrechtlichen Fragen auf, wenn sie auch aktuell nicht gleichermaßen im Fokus der Diskussion stehen.“

Insofern müssten auch hier Vereinbarungen nach Art. 26 DSGVO zwischen dem Betreiber eines Social-Media-Kanals und dem jeweiligen Social Media Unternehmen geschlossen werden. Eine solche Vereinbarung wird sich aber kaum in einem ausreichenden Maße mit YouTube-Inhaber Google, LinkedIn-Träger Microsoft oder dem Facebook-Unternehmen Instagram verhandeln lassen. Letztlich unterliegt also der Betrieb diverser Social-Media-Kanäle dem unternehmerischen Risiko hinsichtlich der Gefahr von Datenschutzverstößen.

Unsicherheit bei der Datenschutzerklärung

Als (Mit-)Verantworlicher einer Datenverarbeitung in Rahmen der Social-Media-Plattformen sind Sie verpflichtet, über die Erhebung personenbezogener Daten transparent zu informieren. So heißt es in Erwägungsgrund 58 der DSGVO:

„Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet.“

Betreiber von Social Media Auftritten sollten somit in ihrem Kanal Datenschutzinformationen bereitstellen nach Art. 13 DSGVO. Eine praktische Lösung wäre dabei die Angabe eines Links in der Beschreibung des Kanals oder einer anderen auffälligen Stelle, die auf direktem Wege zu der Datenschutzerklärung der Website des Unternehmens führt (so auch Härting/Gössling, NJW 2018, 2523, 2525; Schubert/Mueller, Beck’sche Online Formulare, IT- und Datenrecht, Form. 2.1, Anm. 1). Darüber hinaus bleibt zu beachten, dass auch eine Social Media Präsenz der Impressumspflicht nach § 5 TMG unterliegt. Eine größere Hürde stellt bei vielen Unternehmen aber viel mehr der Inhalt der Datenschutzerklärung dar.

Gemeinsame Verantwortlichkeit

In der Datenschutzerklärung sollte der Nutzer aufgeklärt werden über die Vereinbarung nach Art. 26 DSGVO mit Facebook und welche Verantwortlichen die jeweiligen datenschutzrechtlichen Pflichten erfüllen. So verpflichtet sich beispielsweise Facebook, alle Betroffenenanfragen im Rahmen der Insights anzunehmen. Weitere Verpflichtungen entnehmen Sie dem Joint Controllership Addendum von Facebook. Schwieriger gestaltet es sich hingegen bei den anderen Social-Media-Kanälen, die sich bisher nicht in der Pflicht gesehen haben, die datenschutzrechtlichen Verantwortlichkeiten für Informationspflichten, Bearbeitung von Betroffenenanfragen usw. zu klären.

Umfang der Datenverarbeitung

Es muss darüber informiert werden, welche Daten für Sie als Betreiber des Social-Media-Kanals einsehbar sind oder verarbeitet werden (i.d.R. öffentliche gemachte Informationen des Nutzers sowie die anonymen Nutzungsstatistiken). Zudem müssen Sie über die Datenverarbeitung durch das Social-Media-Unternehmen informieren, insbesondere in Bezug auf die Datenverarbeitung im Rahmen der Insights (bzw. Datenverarbeitungen für Nutzungsstatistiken bei anderen Social-Media-Plattformen als Facebook und Instagram) und über den Einsatz von Cookies des jeweiligen Anbieters. Hierzu können Sie auf die entsprechende Stelle der Datenschutzerklärung der jeweiligen Social-Media-Plattform verweisen.

Sollten Sie darüber hinaus Kontaktanfragen von Nutzern über Ihren Social Media Auftritt verarbeiten wollen, gilt hier ebenfalls die Informationspflicht nach Art. 13 DSGVO. Hier müssen Sie als Verantwortlicher dieser Datenverarbeitung insbesondere über die Art der verarbeiteten Daten und die Verarbeitungszwecke informieren. Die weiteren notwendigen Angaben finden Sie in Art. 13 DSGVO.

Wettbewerbsrechtliche Aspekte bei Direktnachrichten

Bei Kontaktanfragen bzw. Direktnachrichten vergessen darüber hinaus viele Unternehmen neben den datenschutzrechtlichen Aspekten auch die wettbewerbsrechtlichen. Die Social Media Präsenz dient nicht nur als Visitenkarte des Unternehmens, sondern neben postalischen und telefonischen Werbeansprache sowie Werbemails als wichtiger Werbekanal. Direktnachrichten sind hier beispielsweise ein vielversprechendes Instrument, insbesondere auf beruflichen Netzwerken wie LinkedIn und XING.

Die Direktnachrichten bzw. „Inbox-Werbung“ ist nach Ansicht des BGH (Beschluss vom 30.01.2020) mit E-Mails rechtlich gleichzusetzen und somit „elektronische Post“ im Sinne des § 7 Abs. 2 Nr. 3 UWG. Insofern ist auch hier der § 7 UWG bei Direktwerbung über die privaten Nachrichten der sozialen Netzwerke relevant. Ohne eine vorherige ausdrückliche Einwilligung des Empfängers ist das Versenden einer werblichen Direktnachricht als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG anzusehen und somit nicht zulässig (vgl. Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. Rn. 99). Somit ist auch hier Vorsicht bei der Kaltakquise geboten.

Social-Media-Guidelines selten eingeführt

Ein weiterer Gesichtspunkt, welcher von Unternehmen oftmals unterschätzt und vernachlässigt wird, ist die Einführung einer Social-Media-Guideline oder auch Social-Media-Policy. In ihr wird der grundlegende Umgang mit sozialen Netzwerken, sei es die private Nutzung am Arbeitsplatz oder die Verwaltung des Unternehmensauftritts, geregelt. Auf diese Art und Weise können Sie als Arbeitgeber viele rechtliche Risiken bereits vermeiden und unter anderem die Nutzung von Fotos und Videos von Beschäftigten (nicht ohne Einwilligung!), über die Werbeansprache über Direktnachrichten (auch nicht ohne Einwilligung!) informieren sowie auf die Vertraulichkeit bestimmter Unternehmensdaten hinweisen.

Die Social-Media-Guideline kann zumindest ein Stück weit die Risiken von Social-Media in Unternehmen eindämmen.

Insgesamt gilt der Grundsatz bei Social-Media wie in der „kleingedruckten“ Datenschutzerklärung: verständlich, leicht zugänglich und transparent. Ein Vorsatz, von welchem Facebook, TikTok, YouTube und Co. sicherlich noch einiges lernen können. Bei Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten oder externen Berater.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

Ein Kommentar zu diesem Beitrag

  1. Facebook-Fanpage: Verstoß gegen die Informationspflicht nach Art. 13 DSGVO und Impressumspflicht! Facebook bring Mitbetreiber in Bedrängnis! Jeder kann es als Besucher (nicht in Facebook angemeldet) einer Fanpage ausprobieren – das Impressum der Fanpage ist nicht aufrufbar. Alles was man zu Augen bekommt ist im Menüpunkt „Info“ ein drehender Kreisel. Ist das nun ein Verstoß gegen die Publizitätspflicht? Schließlich sind alle Betreiber der Fanpages davon betroffen – wo ist also der Wettbewerbsvor- bzw. -nachteil? Ebenso wird (unangemeldeten Facebook-Nutzer) Besuchern einer Fanpage der Link zu speziellen Datenschutzhinweis für Facebook-Seiten der Mitbetreibern vorenthalten. Facebook hat diesen externen Link offenbar auf Unsichtbar gesetzt. Mitbetreiber einer Fanpage haben so nur noch die Möglichkeit ihre Informationspflicht nach Art. 13 DSGVO zu erfüllen, in dem der Link hinter dem „Globus“ nicht mehr zu der eigenen Domain führt, sondern als sprechender Link direkt zur ausgewählten Datenschutzerklärung. Eine Anfrage beim LDI NRW bestätigte diese Beobachtung und Lösung. Damit ist Facebook gefordert, die Fehler zu beseitigen und seine Fanpage-Mitbetreiber zu schützen. Facebook sollte umgehend reagieren – sonst ist dies für den Bundesdatenschutzbeauftragten ein Argument mehr für eine Weisung an Behördem zur Abschaltung der Fanpages. Analoge Weisungen und Reaktionen der Landesdatenschutzbeauftragten dürften vermutlich nicht lange auf sich warten lassen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.