Datenschutz in Social Media
Soziale Netzwerken wie Facebook sind nicht gerade dafür bekannt, dem Datenschutz höchste Priorität einzuräumen. Zu verlockend ist die Möglichkeit, mit den wertvollen Social Media-Nutzerdaten durch personalisierte Werbung Geld zu verdienen. Umso wichtiger ist es für Unternehmen, den Datenschutz in Social Media ihrerseits zu wahren. Besondere Bedeutung erlangt das Thema bei Social Plug-ins wie dem Facebook Like Button und bei den Facebook Fanpages.
Das Datenschutzrecht spielt auch in Social Media immer dann eine Rolle, wenn es sich um sogenannte personenbezogene Daten handelt. Darunter sind nach der Datenschutzgrundverordnung (DSGVO) alle Informationen zu fassen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als personenbezogene Daten anerkannt sind beispielsweise Namen, Telefon- bzw. Mobilfunknummern, Fotos, E‐Mail-Adressen oder IP-Adressen. Die Erhebung, Speicherung, Weitergabe und Verwendung dieser Daten ist nur erlaubt, wenn das Gesetz es ausdrücklich gestattet. Personenbezogene Daten werden in den bzw. durch die sozialen Netzwerke wie Facebook häufig auch erhoben, wenn man es als Nutzer oder Seitenbetreiber nicht bemerkt. Sowohl die Facebook Fanpages als auch der Facebook Like Button haben zu vielen rechtlichen Kontroversen geführt. In beiden Fällen musste der Europäische Gerichtshof (EuGH) bereits entscheiden. Doch was bedeutet das für Unternehmen, die Facebook geschäftlich nutzen? Worauf müssen sie achten, um datenschutzrechtlich auf der sicheren Seite zu sein?
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Social Media Plugins
Was sind Social Media Plugins?
Auch wenn Sie sich gegen die Verwendung von personenbezogenen Daten auf Ihrem Social-Media-Auftritt entscheiden, so bedeutet dies nicht, dass der Datenschutz keine Rolle mehr spielt. Denn die besondere Art der Kommunikation in sozialen Netzwerken mit Buttons wie „Gefällt mir“ bei Facebook rücken den Datenschutz dennoch in den Fokus. Diese Buttons sind kleine Schaltflächen, die ein kundiger Website-Betreiber mit wenigen Handgriffen in seinen Internetauftritt einbinden kann. Dabei handelt es sich um eine Funktionserweiterung, die als Plug-in bezeichnet wird. Beim Besuch der Unternehmens-Homepage kann der Nutzer auch gleich sein Gefallen ausdrücken, indem er beispielsweise auf „Gefällt mit“ klickt. Der Klick auf den Button hat dann zur Folge, dass automatisch eine entsprechende, für alle Kontakte des Nutzers sichtbare Mitteilung auf dessen Facebook-Profil erscheint.
Warum sind Plugins datenschutzrechtlich problematisch?
Das Plug-in spielt datenschutzrechtlich insofern eine Rolle, als dass es dazu führt, dass personenbezogene Daten der Nutzer, wie beispielsweise die IP-Adresse, erhoben, an Facebook übermittelt und mit dem Facebook-Account des Besuchers verknüpft werden. Selbst, wenn die Nutzer nicht einmal bei dem Netzwerk registriert sind, können so über Cookies anonyme Surfprofile zu Werbezwecken erstellt werden. Ist der Nutzer in der laufenden Browser-Sitzung sogar bei in sozialen Netzwerken eingeloggt, so wird sowohl die aufgerufene Seite, als auch der Cookie übermittelt – hierbei ist es möglich, diese Informationen über die Sitzungs-ID dem jeweiligen Benutzerkonto klar zuzuordnen. Loggt sich der Nutzer später in das soziale Netzwerk ein, wird dieser Cookie ungefragt übertragen und kann dann ebenfalls für die Erstellung eines Profils genutzt werden. Hierzu könnten insbesondere die vom Nutzer besuchten Seiten dienen, welche ein solcher Cookie in der Lage ist, zu katalogisieren. Die Nutzer bekommen hiervon i.d.R. nichts mit.
Problematisch ist hierbei insbesondere die direkte Verknüpfung der übertragenen Daten mit einer realen Person. Während beispielsweise IP-Adressen nur mittelbar und mit einigem Aufwand einem Klarnamen und/oder einer Adresse zugeordnet werden können, ist dies den sozialen Netzwerken durch die Anmeldedaten des Nutzers bereits unmittelbar möglich.
Berücksichtigt man bei der Bewertung dieser Informationen den bisherigen Umgang der sozialen Netzwerke mit den Daten ihrer Nutzer, so ist davon auszugehen, dass auch die auf oben skizzierte Weise gesammelten Daten von den Netzwerken vollumfänglich (aus)genutzt werden. Auch eine Weitergabe an Dritte oder der Verkauf der Daten kann angesichts einschlägiger Erfahrungen nicht ausgeschlossen werden.
Viele Juristen sind deswegen der Ansicht, dass das System einen Verstoß gegen das Datenschutzrecht darstellt, weil Nutzer nicht zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verarbeitung personenbezogener Daten sowie über sein Widerspruchsrecht unterrichtet werden und keine Einwilligung zur Datennutzung erteilt haben.
Die Seitenbetreiber, die das Plugin bei sich eingebunden hatten, standen jedoch regelmäßig vor dem Dilemma, nicht zu wissen, was Facebook eigentlich mit den erhobenen Daten macht. Wie aber sollten sie Betroffene dann umfassend über die Datenverarbeitung informieren und darauf basierend eine möglicherweise erforderliche Einwilligung einholen? Die Entscheidung des Europäischen Gerichtshofs (EuGH) im Verfahren der Verbraucherzentrale NRW gegen Fashion ID (Peek & Cloppenburg) hat nun zumindest etwas mehr Klarheit gebracht (Urt. v. 29. Juli 2019, C-40/17). Allerdings wurde hier nur über die gemeinsame Verantwortlichkeit entschieden und nicht darüber, ob die Webseitenbetreiber nun eine Einwilligung der Nutzer einholen müssen oder nicht.
EuGH-Urteil zum Facebook-Like-Button
Website-Betreiber, die den Facebook-Like-Button verwenden, sind nach dem alten Datenschutzrecht zwar mitverantwortlich für die Erhebung und Weitergabe durch Übermittlung der Daten und müssen für diesen Teil auch alle datenschutzrechtlichen Pflichten erfüllen. Im Hinblick auf die weitere Datenverarbeitung durch Facebook muss dann aber der US-Konzern allein die Verantwortung übernehmen. Die datenschutzrechtlichen Pflichten treffen einen also nur für den Bereich, den man auch tatsächlich im Griff hat. Über diese Verwendung der personenbezogenen Daten soll der Seitenbetreiber die Nutzer dann auch informieren. Das gelingt in der Regel über die Datenschutzerklärung. Dabei ist er – wie schon bei den Facebook-Fanpages – auf die Mithilfe von Facebook angewiesen.
Die Konsequenzen der gemeinsamen Verantwortlichkeit sind in der DSGVO zwar etwas anders ausgestaltet als im alten Recht. Klar ist jedoch, dass daraus zahlreiche Pflichten erwachsen. So benötigen Seitenanbieter auch zukünftig eine Erlaubnisnorm nach der DSGVO, um das Facebook Plugin einzubinden. Außerdem müssen sie ihre Datenschutzerklärung entsprechend erweitern.
Die Frage, ob Website-Betreiber nach dem früheren Datenschutzrecht nun eine explizite vorherige Einwilligung des Nutzers benötigen oder ob sie sich auf ein wie auch immer geartetes berechtigtes Interesse zur Einbindung dieses Buttons berufen können, hat der EuGH offen gelassen. Der EuGH hat lediglich für jeden der beiden Fälle die Frage der Verantwortlichkeit geklärt: Sollte eine Einwilligung erforderlich sein, muss der Seitenbetreiber diese nur für seinen Bereich einholen, Facebook hingegen für die anschließende Verarbeitung. Sollte es auf eine Interessenabwägung hinauslaufen, muss jeder der Verantwortlichen jeweils ein eigenes berechtigtes Interesse vorweisen können.
Welche Rechtsgrundlage nach dem Datenschutzrecht nun tatsächlich erforderlich ist, muss erst das Oberlandesgericht (OLG) Düsseldorf klären. Verlangt das OLG tatsächlich eine Einwilligung für den Facebook Like Button, ist nach dem EuGH-Urteil der Seitenbetreiber dafür zuständig, diese einzuholen.
Anleitung: Die „Zwei-Klick-Lösung“ für Social Media Plugins
Derzeit ist nach dem Stand der juristischen Diskussion davon auszugehen, dass das OLG eine Einwilligung verlangen wird. Ein berechtigtes Interesse des Werbetreibenden wird wohl nicht anzunehmen sein, da nicht davon auszugehen ist, dass der Nutzer per se damit rechnen muss, dass Plug-Ins bei jedem Betreten einer Webseite Daten sammeln und auf diese Weise detaillierte Persönlichkeitsprofile erstellen können.
Doch wer auf Social Plug-ins verzichtet, muss befürchten, im Wettbewerb den Kürzeren zu ziehen. Webseiten-Betreibern wäre dann (weiterhin) zu empfehlen, auf die bereits bekannte Zwei-Klick-Lösung zu setzen. Dabei wird zunächst nur ein Bild des Buttons eingebunden, erst nach erfolgter Einwilligung wird der komplette Facebook Like Button nachgeladen.
Eine Alternative bietet da die sogenannte „Zwei-Klick-Lösung“:
- Zunächst wird der Button ohne Funktionalität als reines Bild eingebunden. Nutzerdaten werden dabei nicht übermittelt, wenn die gewünschte Seite geladen wird.
- Hierbei bietet es sich an, den Nutzer durch ein sogenanntes Mouseover, also ein Textfeld das bei Mauskontakt automatisch erscheint, bereits vor dem ersten Klick über die datenschutzrechtliche Problematik „aufzuklären“.
- Durch einen Klick können die Nutzer diese Platzhalter-Bilder aktivieren.
- Aktiviert der Nutzer den Button dann durch einen ersten Klick, wird der eigentliche Button nachgeladen und eine Serververbindung mit dem sozialen Netzwerk hergestellt.
- Ein weiterer Klick führt dann die eigentliche Funktion des Buttons aus. Es öffnet sich ein neues Fenster und die Nutzer müssen sich in dem sozialen Netzwerk einloggen, woraufhin ihre Daten übermittelt werden.
Auf diese Weise kann eine rechtskonforme Einbindung sichergestellt werden.
Möchten Sie die Zwei-Klick-Lösung anwenden, so ist zudem eine Anpassung der Datenschutzerklärung notwendig. Denn dort müssen Sie dann auch auf den Einsatz von Facebook und Co. hinweisen.
Social Media Checkliste: So sind Sie immer rechtssicher unterwegs!
Vom Datenschutz bis zur korrekten Werbekennzeichnung – unsere umfassende kostenlose Checkliste hilft Ihnen, rechtliche Stolpersteine in sozialen Netzwerken zu vermeiden.
Checkliste Social Media
Facebook Fanpages
Neben einem Impressum sollte zumindest eine Facebook-Fanpage auch eine Datenschutzerklärung enthalten.
Denn der Europäische Gerichtshof (EuGH) hat bereits 2018 klargestellt, dass Betreiber von Facebook-Fanpages für die Verarbeitung der personenbezogenen Daten mit Facebook gemeinsam verantwortlich sind (Urt. v. 5. Juni 2018, Az. C-210/16).
Deswegen hat Facebook im vergangenen Jahr eine erste Vereinbarung namens „Page Controller Addendum“ (deutsch: „Insights-Ergänzung“) als Teil der Nutzungsbedingungen vorgelegt. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Das Problem war aber:
Die Datenschutzbehörden waren der Ansicht, dass diese Vereinbarung nicht ausreicht, um die Anforderungen des Datenschutzrechts zu erfüllen.
EuGH zur gemeinsamen Verantwortlichkeit bei Facebook Fanpages
Sie könnten Fanpage-Betreiber theoretisch unter Androhung von Bußgeldern aufgeben, ihre Seite abzuschalten (BVerwG, Urt. v. 11.09.2019, Az. 1 C 28.14). Dagegen müsste man dann gerichtlich vorgehen. Derzeit ist das aber noch nicht passiert. Das mag daran liegen, dass es hierzu noch ein offenes Verfahren gibt. Vielleicht dient das Droh-Szenario gegenüber Fanpage-Betreibern aber auch primär dazu, Druck auf Facebook auszuüben.
Nun hat Facebook reagiert und eine neue Version der Seiten-Insights-Ergänzung vorgestellt. Offen ist, wie die Datenschutzbehörden diese bewerten werden.
Wer als Betreiber nicht vorsorglich seine Fanpage abschalten will, um jedem rechtlichen Ärger aus dem Weg zu gehen, kann derzeit nur folgendes tun: Sich an die vorhandene Vereinbarung mit Facebook halten und alle weiteren datenschutzrechtlichen Pflichten zu erfüllen, die sich aus der Datenschutzgrundverordnung (DSGVO) ergeben. In der Vereinbarung erklärt sich Facebook Ireland zum primär Verantwortlichen und übernimmt die meisten datenschutzrechtlichen Pflichten wie z.B. Auskunfts-, Sicherheits-, Informations- und Meldepflichten.
Was sollten Fanpage-Betreiber jetzt tun?
Betreiber müssen aber darüber hinaus eine Datenschutzerklärung hinterlegen. Darin sollte Folgendes angegeben werden:
- Namen und Kontaktdaten des Verantwortlichen für die Seite
- Die Rechtsgrundlage, nach der man personenbezogene Insights-Daten verarbeitet. Eine Möglichkeit hierfür bietet Art. 6 Abs. 1 lit. f DSGVO, die überwiegenden berechtigten Interessen. Es dürfte ein berechtigtes betriebswirtschaftliches und kommunikatives Interesse daran bestehen, einen Informations- und Kommunikationskanal anzubieten, um sich zu präsentieren, den Erfolg der Maßnahmen zu messen und das eigene Angebot an den Interessen der Besucher auszurichten.
- Für die Verarbeitung weiterer personenbezogener Daten muss im Einzelfall möglicherweise aber auf eine Einwilligung der Nutzer abgestellt werden.
- Schließlich muss man darauf hinweisen, dass alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden direkt an den Fanpage-Betreiber gerichtet werden können. Dieser muss diese dann mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.
- Auch sollte man die Nutzer über ihre Rechte aufklären, die ja zunächst auch gegenüber dem Seiten-Betreiber geltend gemacht werden können, auch wenn diese intern dann an Facebook weitergeleitet werden.
- Zusätzlich sollte man die Nutzer darüber aufklären, welche Verantwortung Facebook für die Insights-Daten übernimmt. Hierfür sollte man sowohl auf die Zusatzvereinbarung selbst als auch auf die Facebook-Datenrichtlinie verlinken.
- Schließlich sollte man auch über andere als die betroffenen „Insights“-Daten, die gesammelt werden, vollumfassend informieren.
Die Datenschutzerklärung kann man bei Facebook selbst im Infobereich im Feld „Datenrichtlinie“ als Link auf die Datenschutzerklärung der eigenen Webseite eintragen. In der Datenschutzerklärung sollte dann ein entsprechender Abschnitt für Social Media und insbesondere Facebook stehen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Datenschutzerklärung in sozialen Medien empfehlenswert
Unklar bleibt die Übertragbarkeit des EuGH-Urteils auf andere soziale Plattformen wie etwa Instagram, Twitter oder YouTube und ob auch hier eine Mitverantwortung für die Datenverarbeitung anzunehmen ist. Dann müsste man auch mit den Betreibern dieser Plattformen entsprechende Vereinbarungen treffen. Derzeit tut dies abgesehen von Facebook aber kein Anbieter.
Abseits von der Frage der gemeinsamen Verantwortlichkeit verarbeiten Sie im Rahmen Ihrer Onlinepräsenzen in sozialen Netzwerken regelmäßig Daten der Nutzer z.B. über Privatnachrichten oder Kommentarfunktionen. Daher ist es durchaus empfehlenswert, neben den Datenschutzinformationen des sozialen Netzwerks selbst auch eine eigene Datenschutzerklärung bzw. einen sprechenden Link auf die eigene Datenschutzerklärung für Onlinepräzensen in sozialen Netzwerken vorzuhalten. Darin sollten Sie dann transparent alle Informationspflichten der DSGVO erfüllen, soweit es Ihnen möglich ist und nicht in den alleinigen Bereich des sozialen Netzwerkes selbst fällt.
Wir helfen Ihnen bei Datenschutz in Social Media
Wir stehen Ihnen für alle datenschutzrechtlichen Fragen rund um Ihre Präsenz in Social gerne zur Verfügung und freuen uns auf Ihren Anruf unter 0221 / 951 563 0 (Beratung bundesweit)