MENU

Datenschutz und Social Media

Zur Themenwelt Datenschutz
  1. Bildung
  2. Wissen kompakt
  3. Datenschutz
  4. Datenschutz und Social Media

Beitrag vom 27.07.2020

Datenschutz & Social Media

Die Bedeutung von Social Media Plattformen nimmt stetig zu. Insbesondere im Bereich Marketing spielen sie eine wichtige Rolle und Unternehmen sind dazu gezwungen, sich mit ihnen auseinanderzusetzen. Dabei bringt die Nutzung von Social Media Kanälen verschiedene Herausforderungen mit sich, unter anderem sollte ein angemessener Datenschutz gewährleistet sein.

Datenschutz und Social Media - man könnte meinen, dass das ein Widerspruch in sich sei. Erfahren Sie im Interview mit dem Datenschutzexperten Karsten Schulz mehr über dieses spannende Thema!

Interview mit Datenschutzexperte Karsten Schulz

Wie hängen Social Media und die Verarbeitung personenbezogener Daten miteinander zusammen?

Karsten Schulz: Personenbezogene Daten sind alle Daten, die auf eine Person hinweisen können.

Im Bereich Social Media können das sein: Social Media Accounts, Namen, Pseudonyme, IP-Adressen, Cookies, Tracking-IDs, Ad-Ids, Fotos, Videos, Tonaufnahmen, Gerätekennungen und einige mehr.

Alle diese Daten werden intensiv von den Social Media Plattformen genutzt und müssen nach den Datenschutz-Regeln verarbeitet werden.

Was fordern die Aufsichtsbehörden von Unternehmen mit Social Media Kanälen?

Karsten Schulz: Die Aufsichtsbehörden fordern natürlich wie immer die Rechtmäßigkeit der Verarbeitungdie sowie die im Artikel 26 der DSGVO vorgeschriebene gemeinsame Vereinbarung zwischen allen Verantwortlichen sowie die leicht verständliche und zugängliche Information über die Verarbeitung an die Betroffenen. Facebook hat in seinem sogenannten "Page Controller Addendum" eine solche Information zur Verfügung gestellt. Wichtig für den Leser wäre, dass er prüft, in wie weit seine Institution den Pflichten nach Transparenz nachkommt.

Was bedeutet "gemeinsame Verantwortlichkeit" im Zusammenhang mit Social Media?

Karsten Schulz: Ein Verantwortlicher im Sinne des Datenschutzes ist eine Organisation, die geschäftsmäßig personenbezogene Daten verarbeitet. Also beispielsweise Unternehmen, Vereine, Schulen, Genossenschaften, der Einzelunternehmer und viele mehr.

Finden sich mehrere Verantwortliche zur Verarbeitung des gleichen Datenpools zusammen, sind zwei Konstellationen denkbar: die Auftragsverarbeitung, das ist das, was in der Regel weisungsgebundene Dienstleister machen oder die gemeinsam Verantwortlichen. Das ist die Zusammenarbeit, in der jeder der Verantwortlichen mit den gemeinsamen Daten seine eigenen Zwecke verfolgt.

Wer eine Social-Media-Präsenz betreibt, verarbeitet personenbezogene Daten in gemeinsamer Verantwortlichkeit mit der jeweiligen Plattform. Das betrifft nicht nur die Datenerhebung der Besucher der eigenen Präsenz auf der Plattform, sondern auch die Datenerhebung auf der eigenen Webseite, auf der statistische Besucherdaten erhoben werden oder Möglichkeiten angeboten werden, Inhalte zu teilen. In all diesen Fällen werden die Daten sowohl von der eigenen Organisation als auch vom Social-Media-Plattformbetreiber verarbeitet.

Die Datenschutzgrundverordnung (DSGVO) sieht für die gemeinsame Verantwortlichkeit verschiedene Pflichten und Rahmenbedingungen vor. Besonders zu erwähnen ist hier die Pflicht der umfassenden Information der betroffenen Personen sowie die gesamtschuldnerische Haftung aller Verantwortlichen bei der Verarbeitung.

Was ist bei der Erstellung und Verwendung von Fotos für Social Media zu beachten?

Karsten Schulz: Sowohl das Erstellen eines Fotos einer natürlichen Person muss legitimiert werden, als auch das Verwenden für den konkreten Zweck, also die Veröffentlichung auf der Social Media Plattform. Meist kommen für die Legitimierung nur drei Möglichkeiten in betracht:

  • Es existiert ein Vertrag mit dem Modell, der die Aufnahme und die Nutzung in den Sozialen Medien zum Inhalt hat.
  • Die betroffene Person hat freiwillig und informiert in diese Art der Nutzung eingewilligt und kann diese Einwilligung jederzeit widerrufen.
  • Es besteht ein berechtigtes Interesse des Verantwortlichen und schützwürdige Interessen der betroffenen Person stehen dem nicht entgegen.

Welche der drei Gründe für den konkreten Fall herangezogen werden können, muss im einzelnen geprüft werden. Insbesondere das sogenannte berechtigte Interesse des Verantwortlichen steht wegen der schutzwürdigen Interessen der Betroffenen im Falle von Social Media auf wackeligen Füßen, denn wir wissen nicht wirklich, was die Social Media Plattform mit dem Foto alles anstellt.

Was sind die absoluten NoGo's in Bezug auf Analytics und Tracking?

Karsten Schulz: Die absoluten NoGo's sind:

  • "Heimliches" Tracken nach dem Motto: "ich mache es einfach, wird schon keiner merken". Da jeder Besucher der Webseite sowohl alle gesetzten Cookies, als auch alle geladenen Ressourcen, wie zum Beispiel statistische Software erkennen kann, ist eine "heimliche" Aktivität nicht möglich. Es ist nur eine Frage der Zeit, bis man erwischt wird. Wir hatten da jüngst einige prominente Beispiele im Bereich Videokonferenz-Software und Gesundheits-Apps. Der Reputationsschaden war jeweils immens.
  • Tracking und Analytics betreiben, obwohl man die Auswertungen nicht vernünftig nutzt. Als Berater erlebe ich in vielen Firmen, dass dort getrackt wird, ohne dass jemand die Ergebnisse betriebswirtschaftlich auswertet. Mit betriebswirtschaftlich Auswerten ist nicht gemeint, sich die bunten Grafiken anschauen und sich dann zu freuen, wenn die Zahlen wieder gewachsen sind. Auswertung bedeutet, dass Aufwand und Nutzen miteinander verrechnet werden und ins Verhältnis mit den Risiken gebracht wird. Geschieht das bei Ihnen nicht, dann schalten Sie das Tracking einfach ab: es nutzt nichts und schadet nur.

Welche Kenntnisse benötigen Social Media Verantwortliche im Bereich Datenschutz?

Karsten Schulz: Social Media ist sowohl technisch als auch juristisch sehr komplex. Aus der juristischen Perspektive geht man als Nutzer zwar nur einfach einen oder mehrere Verträge ein. Aber die können es in sich haben. Alleine das Studium und Bewerten der Allgemeinen Geschäftsbedingungen können Fallstricke offenbaren. Dazu kommen dann noch die Verwicklungen des internationalen Datentransfers und die damit einhergehenden Haftungsfragen für Geschäftsführung oder Vorstand.

Auch was sich technisch abspielt, durchblickt nicht jeder. Hier finden unterschiedliche Datenübermittlungen, auch personenbezogener Daten statt. Beteiligt sind dabei nicht nur die Social-Media-Präsenz, sondern auch die eigene Webseite und vielleicht sogar ein Teil der E-Mail-Kommunikation. Ich muss immer wieder Webseiten begutachten, bei denen die technische Umsetzung aus der Sicht des Datenschutzes mangelhaft ist, ohne dass es dem Verantwortlichen oder dem technischen Dienstleister bewusst war. Die große Gefahr besteht darin, dass diese Fehler theoretisch von jedem Besucher der eigenen Webpräsenz erkennbar sind. Das ist ein unkalkuliertes Haftungsrisiko.

Welche Fortbildungen sind sinnvoll?

Karsten Schulz: Selbstverständlich sollte der Verantwortliche auf solide Kenntnisse in der Anwendung der DSGVO zurückgreifen können. Das kann er durch seinen Datenschutzbeauftragten erledigen, aber auch durch eigene Mitarbeiter, die zum Datenschutzkoordinator ausgebildet wurden. Daneben sollte er unbedingt entscheiden, wie er mit den technischen und juristischen Risiken umgeht. Hilfreich sind da Seminare, die IT-Grundlagen und IT-Sicherheit vermitteln, aber auch die, die verschiedenen Aspekte der Social Media Plattformen behandeln.

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Webinar

Analytics und Tracking – Datenschutz und Social Media

Die Datenschutzbehörden verschärfen die Voraussetzungen für Tracking und Analytics weiter. Erfahren Sie hier, welches Tracking in den sozialen Medien, auf der Webseite, in Apps und im Newsletter erlaubt ist.
Zum Webinar
Webinar

Die ganze Wahrheit über Cookies – Datenschutz und Social Media

Fast jede moderne Webseite setzt Cookies. Sie erfahren in diesem Modul, wann Sie unter welchen Umständen welche Cookies setzen dürfen und wie gängige Lösungen aussehen.
Zum Webinar
Webinar

Gemeinsame Verantwortlichkeit – Datenschutz und Social Media

Dieses Modul bringt Klarheit in die unübersichtliche Gemengelage von Verantwortlichkeiten und gemeinsamen Verantwortlichkeiten im Kontext Social Media.
Zum Webinar

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und IT
Am Technologiepark 1, 45307 Essen

+49 201 31955-42
Fax : +49 201 31955-70

mbraunschweig@tuev-nord.de