Datenschutz & Social Media Plattformen

Die Bedeutung von Social Media Plattformen nimmt stetig zu. Insbesondere im Bereich Marketing spielen sie eine wichtige Rolle und Unternehmen sind dazu gezwungen, sich mit ihnen auseinanderzusetzen. Dabei bringt die Nutzung von Social Media Kanälen verschiedene Herausforderungen mit sich, unter anderem sollte ein angemessener Datenschutz gewährleistet sein.

Datenschutz und Social Media - man könnte meinen, dass das ein Widerspruch in sich sei. Erfahren Sie im Interview mit dem Datenschutzexperten Karsten Schulz mehr über dieses spannende Thema!

"Personenbezogene Daten sind alle Daten, die auf eine Person hinweisen können.

Im Bereich Social Media können das sein: Social Media Accounts, Namen, Pseudonyme, IP-Adressen, Cookies, Tracking-IDs, Ad-Ids, Fotos, Videos, Tonaufnahmen, Gerätekennungen und einige mehr.

Alle diese Daten werden intensiv von den Social Media Plattformen genutzt und müssen nach den Datenschutz-Regeln verarbeitet werden."

"Die Aufsichtsbehörden fordern natürlich wie immer die Rechtmäßigkeit der Verarbeitung die sowie die im Artikel 26 der DSGVO vorgeschriebene gemeinsame Vereinbarung zwischen allen Verantwortlichen sowie die leicht verständliche und zugängliche Information über die Verarbeitung an die Betroffenen. Facebook hat in seinem sogenannten "Page Controller Addendum" eine solche Information zur Verfügung gestellt. Wichtig für den Leser wäre, dass er prüft, in wie weit seine Institution den Pflichten nach Transparenz nachkommt."

"Ein Verantwortlicher im Sinne des Datenschutzes ist eine Organisation, die geschäftsmäßig personenbezogene Daten verarbeitet. Also beispielsweise Unternehmen, Vereine, Schulen, Genossenschaften, der Einzelunternehmer und viele mehr.

Finden sich mehrere Verantwortliche zur Verarbeitung des gleichen Datenpools zusammen, sind zwei Konstellationen denkbar: die Auftragsverarbeitung, das ist das, was in der Regel weisungsgebundene Dienstleister machen oder die gemeinsam Verantwortlichen. Das ist die Zusammenarbeit, in der jeder der Verantwortlichen mit den gemeinsamen Daten seine eigenen Zwecke verfolgt.

Wer eine Social-Media-Präsenz betreibt, verarbeitet personenbezogene Daten in gemeinsamer Verantwortlichkeit mit der jeweiligen Plattform. Das betrifft nicht nur die Datenerhebung der Besucher der eigenen Präsenz auf der Plattform, sondern auch die Datenerhebung auf der eigenen Webseite, auf der statistische Besucherdaten erhoben werden oder Möglichkeiten angeboten werden, Inhalte zu teilen. In all diesen Fällen werden die Daten sowohl von der eigenen Organisation als auch vom Social-Media-Plattformbetreiber verarbeitet.

Die Datenschutzgrundverordnung (DSGVO) sieht für die gemeinsame Verantwortlichkeit verschiedene Pflichten und Rahmenbedingungen vor. Besonders zu erwähnen ist hier die Pflicht der umfassenden Information der betroffenen Personen sowie die gesamtschuldnerische Haftung aller Verantwortlichen bei der Verarbeitung."

"Sowohl das Erstellen eines Fotos einer natürlichen Person muss legitimiert werden, als auch das Verwenden für den konkreten Zweck, also die Veröffentlichung auf der Social Media Plattform. Meist kommen für die Legitimierung nur drei Möglichkeiten in betracht:

• Es existiert ein Vertrag mit dem Modell, der die Aufnahme und die Nutzung in den Sozialen Medien zum Inhalt hat.
• Die betroffene Person hat freiwillig und informiert in diese Art der Nutzung eingewilligt und kann diese Einwilligung jederzeit widerrufen.
• Es besteht ein berechtigtes Interesse des Verantwortlichen und schützwürdige Interessen der betroffenen Person stehen dem nicht entgegen.

Welche der drei Gründe für den konkreten Fall herangezogen werden können, muss im einzelnen geprüft werden. Insbesondere das sogenannte berechtigte Interesse des Verantwortlichen steht wegen der schutzwürdigen Interessen der Betroffenen im Falle von Social Media auf wackeligen Füßen, denn wir wissen nicht wirklich, was die Social Media Plattform mit dem Foto alles anstellt."

"Die absoluten NoGo's sind:

• "Heimliches" Tracken nach dem Motto: "ich mache es einfach, wird schon keiner merken". Da jeder Besucher der Webseite sowohl alle gesetzten Cookies, als auch alle geladenen Ressourcen, wie zum Beispiel statistische Software erkennen kann, ist eine "heimliche" Aktivität nicht möglich. Es ist nur eine Frage der Zeit, bis man erwischt wird. Wir hatten da jüngst einige prominente Beispiele im Bereich Videokonferenz-Software und Gesundheits-Apps. Der Reputationsschaden war jeweils immens.
• Tracking und Analytics betreiben, obwohl man die Auswertungen nicht vernünftig nutzt. Als Berater erlebe ich in vielen Firmen, dass dort getrackt wird, ohne dass jemand die Ergebnisse betriebswirtschaftlich auswertet. Mit betriebswirtschaftlich Auswerten ist nicht gemeint, sich die bunten Grafiken anschauen und sich dann zu freuen, wenn die Zahlen wieder gewachsen sind. Auswertung bedeutet, dass Aufwand und Nutzen miteinander verrechnet werden und ins Verhältnis mit den Risiken gebracht wird. Geschieht das bei Ihnen nicht, dann schalten Sie das Tracking einfach ab: es nutzt nichts und schadet nur."

"Social Media ist sowohl technisch als auch juristisch sehr komplex. Aus der juristischen Perspektive geht man als Nutzer zwar nur einfach einen oder mehrere Verträge ein. Aber die können es in sich haben. Alleine das Studium und Bewerten der Allgemeinen Geschäftsbedingungen können Fallstricke offenbaren. Dazu kommen dann noch die Verwicklungen des internationalen Datentransfers und die damit einhergehenden Haftungsfragen für Geschäftsführung oder Vorstand.

Auch was sich technisch abspielt, durchblickt nicht jeder. Hier finden unterschiedliche Datenübermittlungen, auch personenbezogener Daten statt. Beteiligt sind dabei nicht nur die Social-Media-Präsenz, sondern auch die eigene Webseite und vielleicht sogar ein Teil der E-Mail-Kommunikation. Ich muss immer wieder Webseiten begutachten, bei denen die technische Umsetzung aus der Sicht des Datenschutzes mangelhaft ist, ohne dass es dem Verantwortlichen oder dem technischen Dienstleister bewusst war. Die große Gefahr besteht darin, dass diese Fehler theoretisch von jedem Besucher der eigenen Webpräsenz erkennbar sind. Das ist ein unkalkuliertes Haftungsrisiko."

"Selbstverständlich sollte der Verantwortliche auf solide Kenntnisse in der Anwendung der DSGVO zurückgreifen können. Das kann er durch seinen Datenschutzbeauftragten erledigen, aber auch durch eigene Mitarbeiter, die zum Datenschutzkoordinator ausgebildet wurden. Daneben sollte er unbedingt entscheiden, wie er mit den technischen und juristischen Risiken umgeht. Hilfreich sind da Seminare, die IT-Grundlagen und IT-Sicherheit vermitteln, aber auch die, die verschiedenen Aspekte der Social Media Plattformen behandeln."