Florian Padberg
Datenschutzbeauftragter
Aus Marketingsicht sind die Aktivitäten eines Unternehmens auf Social Media Plattformen eigentlich „nur“ die Bespielung eines weiteren Kanals neben den klassischen Medien TV/Radio/Print, der Unternehmenswebsite und Maßnahmen des modernen Marketing-Mix. Natürlich gelten für diesen Kanal bestimmte Regeln und Aufgaben (gerade die Interaktivität und kurze Reaktionszeiten machen so manchem Unternehmen durchaus Probleme), aber die wenigsten machen sich Gedanken, wie eigentlich die datenschutzseitige Gemengelage konkret aussieht: Wer hat welche „Rolle“, wer ist wie weit für welche Daten verantwortlich usw.
Das vielbeachtete Urteil des EuGH zu Facebook Fanpages und Facebook Insights aus dem Juni 2018 hat einen gewissen Präzedenzcharakter, auch wenn es nicht explizit zu anderen Plattformen Stellung bezieht. Dennoch kann man davon ausgehen, dass die Grundaussagen für die meisten dieser Netzwerke entsprechend abgeleitet werden können. Im Wesentlichen regelte dieses Urteil, dass Facebook zum einen eben KEIN einfaches Technik-Portal ist, das die Aufgabe eines neutralen „Schwarzen Bretts“ übernimmt und die Daten des verantwortlichen Fanpage-Betreibers zu seinen Kunden und Interessenten einfach nur „durchleitet“.
Genauso wenig wird Facebook aber als Auftragsverarbeiter angesehen, der einen klaren Auftrag des Verantwortlichen zur Datenverarbeitung rein weisungsgebunden ausführt. Für viele überraschend wurden Facebook und die Fanpagebetreiber als jeweils gemeinsam Verantwortliche gem. Art. 26 DSGVO eingestuft, denn beide Seiten verarbeiten personenbezogene Daten der Betroffenen zusammen mit individuellen Zielen und Zwecken: Der Fanpage-Betreiber erhält über die öffentlich sichtbaren Postinhalte seiner Besucher sowie über die statistischen Auswertungen, die Facebook liefert, detaillierte Informationen über seine Zielgruppe.
Zudem kann Facebook mit den zahlreichen auf den diversen Fanpages gesammelten Verhaltensdaten seine eigenen Werbeaktivitäten immer weiter optimieren. Folgerichtig sind beide zuständig, dass der Datenschutz bei dieser Verarbeitung ausreichend berücksichtigt wird und müssen entsprechende Vereinbarungen treffen. Bei Anfragen, Beschwerden oder Problemen können sich Betroffene an beide Vertragsparteien wenden und haben Anspruch auf zeitnahe Rückmeldung.
Kritiker halten entgegen, dass die Fanpage-Betreiber eigentlich gar keine richtige Verfügungsgewalt über die von Facebook verarbeiteten Daten haben, die Richtigkeit der bereitgestellten Analysen nicht überprüfen können und auch nicht über die angewendeten technischen Mittel von Facebook informiert sind. Sie stecken mit in der Verantwortung, haben aber nur einen Bruchteil der Handlungsmöglichkeiten. Bei anderen Networks sieht es nicht viel besser aus – man ist dem Technologieanbieter in gewisser Hinsicht ausgeliefert. Keine bequeme Situation.
Im Rahmen des unternehmerischen Risikomanagements stellt sich also nun die Frage: Was kann ich tun, um das Risiko beherrschbar zu machen, und lohnen sich meine Social Media-Aktivitäten angesichts des zu erwartenden Rest-Risikos noch?
Wie in vielen Bereichen kann man eine 100%ige Rechtssicherheit beim Betrieb einer Socialmedia-Präsenz nicht garantieren, dazu reichen die zuvor beschriebenen begrenzten Durchgriffs- und Steuermöglichkeiten einfach nicht aus. Wer also das Risiko komplett ausschalten will, muss die meisten dieser Plattformen links liegen lassen. Bisweilen sind solche eher radikal erscheinenden Aussagen aber für das Unternehmen auch durchaus hilf- und lehrreich, da sie das Thema Socialmedia sowieso nicht fokussiert, strategisch und ernsthaft betrieben haben und die Marketingwirkung kaum messbar ist und ein Abschied daher faktisch gar nicht so sehr schmerzt.
Die Mehrheit der B2C- und nicht wenige der B2B-Anbieter sehen jedoch in Social Media eine durchaus lohnende Aktivität und wollen sie auch nutzen.
Diese sollten zum einen die Formalien sauber erfüllen:
sind Pflicht. Eine Handlungsempfehlung für Facebook Fanpages finden Sie hier.
Daneben sollte der Prozess des Umgangs mit Betroffenenanfragen im Haus im Vorfeld klar definiert sein, damit man nicht erst hektisch nach der richtigen Kontaktadresse des Network-Betreibers wenn die Anfragen bereits einlaufen. Schließlich muss auch die Datenschutz-Dokumentation im Verzeichnis der Verarbeitungstätigkeiten diesen Geschäftsprozess ausreichend transparent abbilden.
Daneben sollten auch die Konfigurationsmöglichkeiten der Präsenz dahingehend untersucht werden, wie die Erhebung und Verarbeitung ungewollter personenbezogener Daten so weit wie möglich verhindert werden können. Aktive Moderation, die transparente Vorgabe von „Spielregeln“ für die Nutzer bis hin zu technischen Einschränkungen für Userpostings und Bilduploads sind je nach den individuellen Kontrollanforderungen des Unternehmens auszugestalten.
Mit den hier beschriebenen technischen und organisatorischen Maßnahmen rund um die Social Media-Präsenz ist es aber noch nicht getan, wenn es um ein möglichst optimiertes Datenschutzmanagement dieses Kanals geht.
Eine weitere reelle Gefahr sind menschliche Fehler, die bei allen Kodizes und Sicherheitsnetzen eben nun mal passieren können, wie etwa die ungewollte Veröffentlichung von personenbezogenen Informationen auf der Plattform: Sei es die unbeabsichtigte Offenlegung einer Teilnehmerliste an einem eigentlich auf eine bestimmte Gruppe beschränkten Event, der über das Eventmanagement der Plattform organisiert wird, oder die Nutzung nicht für die Öffentlichkeit bestimmter Informationen bei der Reaktion auf einen offenen Kundenposting, das man versehentlich als individuellen Chat misinterpretiert hat – die Möglichkeiten für einen Fauxpas sind zahlreich.
Überdies sind Social Media-Plattformen auf Grund der Vielzahl an wertvollen Profildaten immer wieder Ziel von Angriffen krimineller Banden, die sich dieser Daten bemächtigen wollen, um über Phishing-Mails, Trojaner und Ransomware Profit daraus zu schlagen.
Wie bereits beschrieben, ist das offiziell mitverantwortliche Unternehmen aber nicht in der Lage, Einfluss auf die technischen Schutzmaßnahmen des Plattformbetreibers zu nehmen, bisweilen sind diese Maßnahmen nicht einmal eindeutig kommuniziert und bekannt. Problematisch ist das übrigens eher nicht bei den großen, etablierten Social Media-Playern, die Millionen in ihre Infrastruktur und deren Absicherung stecken, sondern bei den kleineren Plattformen, die meist auf spezielle Zielgruppen ausgerichtet sind und gerade daher für manche Unternehmen besonders attraktiv sind, die genau diese Zielgruppe bedienen. Wenn hier Nutzerdaten mit Bezug zu einer eigenen Unternehmensseite auf der Plattform verloren gehen, kann der Imageschaden immens sein, obwohl der offizielle Seiteninhaber gar nicht Schuld daran ist.
Angesichts der durchaus relevanten Risiken sollte eine Socialmedia-Präsenz also im Vorfeld gut analysiert und durchdacht werden und auch die Datenschutz-Fallstricke ausreichend Berücksichtigung finden.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!