Datenschutz Verstehen – Social Media datenschutzkonform nutzen.
Social Media und Datenschutz – Was ist bei Facebook, Instagram & Co zu beachten?
Bei dem Einsatz von sozialen Medien werden häufig unterschiedliche Arten von personenbezogenen Daten verarbeitet. Hierzu gehören z.B. Namen, Fotos und Videos von Mitarbeitern oder Ansprechpartnern bei Kunden oder anderen Vertragspartnern, die für Werbe- und Repräsentationszwecke mit der Öffentlichkeit in den sozialen Medien geteilt werden. Datenschutzrechtlich bringt der Einsatz von sozialen Medien einige Schwierigkeiten und Risiken mit sich. Die Vorgaben aus der europäischen Datenschutz-Grundverordnung (DSGVO) müssen eingehalten werden.
Rechtsgrundlage für personenbezogene Daten in Social Media
Zum einen bedürfen viele personenbezogene Daten, die mit der Öffentlichkeit in Facebook, Instagram, Twitter, YouTube, LinkedIn oder anderen Social Media Portalen geteilt werden, einer Rechtsgrundlage. Hier ist in der Regel eine informierte Einwilligung seitens der betroffenen Person erforderlich. Zum anderen werden in diesem Zusammenhang häufig Übermittlungen von personenbezogenen Daten in Drittländer, wie z.B. die USA, vorgenommen. In diesem Zusammenhang muss also entweder ein Angemessenheitsbeschluss für das jeweilige Drittland (Art. 45 DSGVO), geeignete Garantien (Art. 46 ff. DSGVO) oder ein Ausnahmetatbestand (Art. 49 DSGVO) für die geplanten Datenübermittlungen vorliegen. Garantien in Form EU-Standarddatenschutzklauseln sind im Zusammenhang mit Datenübermittlungen in die USA allerdings aufgrund des EuGH-Urteils (Schrems II) problematisch, da ihre Wirksamkeit aufgrund entgegenstehender Gesetze in den USA zweifelhaft ist. Mehr zum Thema Übermittlung von personenbezogenen Daten in ein Drittland erfahren Sie hier.
Auftragsverarbeitungsvertrag oder Vertrag zur gemeinsamen Verantwortlichkeit?
Darüber hinaus stellt sich die Frage, ob eine Auftragsverarbeitung mit dem jeweiligen Social Media Anbieter vorliegt oder mit einem Dienstleister, der die Social-Media-Kanäle betreut bzw. unterstützt und demzufolge ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen werden muss. Im Gegensatz hierzu ist in gewissen Konstellationen, wie z.B. sogenannten Fanpages auf Facebook, eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO mit dem Anbieter der jeweiligen Plattform erforderlich. Dies ergibt sich aus einem EuGH-Urteil vom 5. Juni 2018, nach dem Betreiber von Fanpages gemeinsam mit Facebook dafür verantwortlich sind, wie Daten erhoben und verarbeitet werden. Dies gilt nach allgemeiner Rechtsauffassung auch für alle anderen Social Media Portale.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Social Media Datenschutzerklärung
Gleichzeitig müssen auf der eigenen Seite des Unternehmens, welches das jeweilige Social Media Portal nutzt, die Informationspflichten nach Art. 12 ff. DSGVO erfüllt werden. In diesem Zusammenhang sind insbesondere Angaben zu den in Art. 13 DSGVO genannten Punkten erforderlich, wie z.B. Zweck, Dauer und Rechtsgrundlage der Datenverarbeitung. Diese Informationen müssen zum Zeitpunkt der Erhebung der personenbezogenen Daten der betroffenen Person mitgeteilt werden.
Checkliste Social Media Datenschutzerklärung
Folgende Punkte sollten in jeder Social Media Datenschutzerklärung laut Art. 13 DSGVO enthalten sein:
- Verantwortlicher: Name und Kontaktdaten des Verantwortlichen sowie ggfs. seines Vertreters und ggfs. seines Datenschutzbeauftragten.
- Zweck: Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.
- Rechtsgrundlagen der Datenverarbeitungen: Beispielsweise kann das berechtigte Interesse i.S.d. Art. 6 Abs. 1 lit. f) DSGVO des Verantwortlichen oder eines Dritten aufgeführt werden, falls eine Verarbeitung auf das berechtigte Interesse gestützt wird.
- Das konkrete berechtigte Interesse: Nur, falls eine Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird
- Empfänger: Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
-
- Dauer: Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls diese Angabe nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.
- Rechte der Betroffenen: Aufklärung über alle Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung, Widerruf).
- Datenübermittlung in ein Drittland: Ggfs. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 DSGVO oder Artikel 47 DSGVO oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- Beschwerderecht einer Person: Betroffene Personen haben ein Beschwerderecht bei der Aufsichtsbehörde. Hierauf müssen betroffene Personen hingewiesen werden.
- Erforderlichkeit der Bereitstellung personenbezogener Daten: Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.
- Bestehen einer automatisierten Entscheidungsfindung: Ein Hinweis hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung, einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- Vertrag über gemeinsame Verantwortlichkeit: Soweit erforderlich (z.B. laut EuGH für Fanpage-Betreiber) und vorhanden, muss das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit den betroffenen Personen zur Verfügung gestellt werden, vgl. Art. 26 Abs. 2 S.2 DSGVO.
Social Media Monitoring – Was muss beachtet werden?
Die sozialen Medien werden immer mehr zur beliebtesten Informationsquelle – und das gilt umso mehr für Unternehmen. In den sozialen Medien lassen sich Trends erkennen, Meinungen von Menschen erkennen und analysieren, um auf diese Weise neue Geschäftsmodelle auf diese Bedürfnisse anzupassen. Die Auswertung von Inhalten in den sozialen Medien ist daher sehr beliebt. Allerdings müssen auch hier alle Vorgaben der DSGVO beachtet und eingehalten werden, jedenfalls dann, wenn auch personenbezogene Daten verarbeitet werden. Wenn aus den sozialen Medien personenbezogene Daten entnommen werden sollen, müssen die betroffenen Personen beispielsweise rechtzeitig über diese Verarbeitung informiert werden (Art. 14 und/oder Art. 13 DSGVO, Art. 12 DSGVO), ferner ist eine Rechtsgrundlage für die Erhebung der personenbezogenen Daten erforderlich.
Fraglich ist in diesem Zusammenhang auch, ob beispielsweise eine Einwilligung der betroffenen Personen erforderlich ist und ob die Einholung von Einwilligungen überhaupt möglich bzw. realistisch ist. Ferner ist zu prüfen, ob weitere Rechtsgrundlagen in Betracht kommen. Entscheidend ist in diesem Zusammenhang insbesondere der jeweilige Zweck, der mit der Datenverarbeitung verfolgt wird. Besonders zu beachten ist außerdem das Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden (vgl. Art. 22 DSGVO). Ob sich noch weitere Vorgaben aus spezialgesetzlichen Regelungen, wie z.B. dem Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG) ergeben, ist dagegen eine andere Frage.
Was droht bei Verstößen gegen die DSGVO?
Verstöße gegen die genannten gesetzlichen Vorgaben können gem. 83. Abs. 4 und Abs. 5 DSGVO mit einem Bußgeld von bis zu 10 Mio. EUR bzw. bis 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist. Darüber hinaus könnten betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend machen.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
