Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25.05.2018 und stellt für viele Unternehmen immer noch ein rotes Tuch dar. Neben Fragen zu den Anforderungen und Abläufen innerhalb des Unternehmens (Stichwort: Verarbeitungsverzeichnis, Informationspflichten, Auftragsverarbeitung etc.) tauchen in der Praxis immer wieder Probleme im Onlinemarketing auf. Was muss alles auf meiner Webseite stehen? Was ist auf den Social Media Kanälen des Unternehmens zu beachten? Und muss ich als Influencer auch ein Impressum und eine Datenschutzerklärung vorhalten?
von Rechtsanwältin und externe Datenschutzbeauftragte
Anna Rehfeldt, LL.M.
Hintergrund
Die DSGVO ist seit ihrer Geltung (und auch schon davor) in aller Munde und soll im Ergebnis ein europaweit einheitliches Datenschutzniveau schaffen. Die DSGVO gilt als Verordnung grundsätzlich unmittelbar in allen Mitgliedstaaten und bedarf somit eigentlich keiner nationalen Umsetzung (z.B. in Form von nationalen Gesetzen).
Achtung: Die DSGVO enthält jedoch eine Vielzahl von sogenannten „Öffnungsklauseln“ sodass faktisch viele Bereiche doch wieder national
geregelt werden. Weitere Informationen geben ich als externe Datenschutzbeauftragte hier.
Was bedeutet die DSGVO für mich als Unternehmen und Influencer?
Die DSGVO umfasst insbesondere alle Datenverarbeitungsvorgänge, die
- personenbezogene Daten betreffen und die
- nicht ausschließlich privat sind.
Das heißt, Unternehmen und Influencer müssen die Vorgaben der DSGVO bereits dann beachten, wenn sie eine eigene Webseite, einen eigenen Blog (z.B. mit Kommentarfunktion und/ oder Kontaktformular) oder aber einen eigenen Social-Media-Kanal betreiben.
Achtung: Personenbezogene Daten können neben dem Namen etwa auch die IP-Adresse des jeweiligen Nutzers sein.
Es geht hierbei um die personenbezogenen Daten, die auf der jeweiligen Webseite bzw. dem jeweiligen Social-Media-Account erhoben (= verarbeitet) werden. Das gilt unabhängig davon, ob dies aktiv oder passiv durch den Unternehmer/ Influencer erfolgt. Zu sagen „Ich habe ja keinen Einfluss darauf, wie Facebook, Instagram, Twitter & Co. die Daten verarbeiten“ hilft nicht, um sich der datenschutzrechtlichen (Mit-) Verantwortung zu entziehen.
Was können Unternehmen und Influencer jetzt tun?
Datenschutzrechtlich sollten Unternehmer und Influencer zunächst grundsätzlich folgende, nicht abschließende Punkte beachten:
-
Datenschutzerklärung auf der Webseite, dem Onlineshop, dem Social Media Kanal oder dem
Blog prüfen und bei Bedarf datenschutzkonform anpassen;
-
Auftragsverarbeitungsverträge mit externen Dienstleistern/ Tools überprüfen/ abschließen, die personenbezogene Daten (z.B. Userdaten) für das
Unternehmern/ den Influencer verarbeiten (= erheben, weitergeben, auswerten);
-
Erstellung/ Ergänzung des Verarbeitungsverzeichnisses
Achtung: Das Verarbeitungsverzeichnis ist (vereinfacht gesagt) eine Art Protokoll/ Gefährdungsbeurteilung hinsichtlich der Datenverarbeitungsvorgänge: Wann werden aus welchem Grund und auf welcher Rechtsgrundlage Daten verarbeitet? Wer erlangt Kenntnis von den Daten, an wen werden die Daten weitergegeben und warum, von wo stammen die Daten, etc.? – siehe Art. 30 DSGVO;
-
ggf. Bestellung eines/ einer (externen) Datenschutzbeauftragten
-
sämtliche weitere Webpräsenzen und Social Media Auftritte prüfen und bei Bedarf datenschutzkonform anpassen;
- Im Zweifel die Webseiten und Social Media Kanäle prüfen lassen
Praxistipp: Für Unternehmen und Influencer sind die Punkt 1 und 2 besonders wichtig. Das heißt, Unternehmen und Influencer sollten unbedingt ihre Webseite, den Blog, den Onlineshop sowie den Social Media Account prüfen und bei Bedarf anpassen, einschließlich der Auftragsverarbeitungsverträge.
Geht man die vorstehende Checkliste einmal durch, findet man auch die Social Media Präsenz als einen Punkt aufgelistet, der datenschutzrechtlich geprüft werden
soll. Hier kommt die Frage auf:
Brauche ich als Unternehmer oder Influencer überhaupt eine Datenschutzerklärung für meinen Social Media Account?
In einem viel diskutierten Urteil hatte der Europäische Gerichtshof bereits 2018 entschieden, dass der Betreiber einer Fanpage bei Facebook zusammen mit Facebook als „gemeinsamer Verantwortlicher“ im datenschutzrechtlichen Sinn anzusehen ist. Das hat zur Folge, dass der Betreiber (= Unternehmer/ Influencer) insbesondere auch die datenschutzrechtlichen Informationspflichten einzuhalten hat.
Achtung: Das Urteil bezog sich zwar explizit nur auf die „Facebook Fanpage“, kann aber auch entsprechend auf die anderen Dienste aus dem Haus Facebook (z.B. Instagram) übertragen werden, da auch hier etwa Seiten-Insigths erstellt werden.
Das bedeutet für Unternehmer und Influencer in der praktischen Umsetzung zusammengefasst nun, dass der (unternehmerische) Instagram Account und die Facebook Fanpage eine Datenschutzerklärung brauchen. Die Datenschutzerklärung muss die Nutzer wiederum über die unternehmensbezogenen Datenverarbeitungsvorgänge bezüglich des jeweiligen Netzwerks informieren.
Wie kann man die Datenschutzerklärung auf dem Social Media Kanal einbinden?
Bei der praktischen Umsetzung der Vorgaben zur Datenschutzerklärung stößt man an technische Grenzen. Zwar gibt es bei Facebook mittlerweile entsprechende Informations-Felder, bei Instagram fehlen derartige Möglichkeiten aber bislang. Insbesondere kann die Datenschutzerklärung aufgrund der begrenzten Zeichen auch nicht vollständig in die Profilbeschreibung aufgenommen werden, unabhängig von der Frage, ob eine solche Erklärung in der Profilbeschreibung marketingtechnisch überhaupt gewollt ist.
-
Verlinkung
Um trotz begrenztem Platzangebot die Datenschutzerklärung (sowie das Impressum – siehe unten) auf seinem Instagram Account einzubinden, können Unternehmer und Influencer innerhalb ihrer Profilbeschreibung oder unter dem Reiter „Webseite“ auf die jeweiligen Rechtstexte auf ihrer Webseite verlinken.
Achtung: Der Link muss „aktiv anklickbar“ sein, um den gesetzlichen Anforderungen zu genügen.
Der Nachteil an dieser Lösung ist aus Marketingsicht aber, dass der Nutzer direkt auf die Unterseite weitergeleitet werden muss, um der „2-Klick-Anforderung“ zu genügen. Instagram erlaubt nach aktuellem Stand zudem auch nicht, mehrere Links einzubinden.
-
Weiterleitungslinks
Viele geschäftliche Social Media Profile haben die Problematik mittels Weiterleitungslinks gelöst. Das heißt, die Unternehmen und Influencer haben einen Weiterleitungslink eingerichtet, der mit den Begriffen „Impressum“ und „Datenschutzerklärung“ bezeichnet ist und der die User dann auf die Webseite des Unternehmens weiterleitet, wo die entsprechenden Rechtstexte zu finden sind.
-
Landingpage
Eine andere Lösung ist die Erstellung einer eigenen Landingpage, auf der alle Links enthalten sind, auf die der Unternehmer oder Influencer seine Unser hinweisen will/ muss. Das können zum Beispiel der Onlineshop, die Hauptseite und eben auch die Datenschutzerklärung und das Impressum sein. Der Link zur Landingpage kann dann wiederum auf dem Social Media Account (z.B. bei Instagram) eingebunden werden.
Achtung: Es existieren unterschiedliche Anbieter (z.B. Linktree, Linkfly etc.) für die Erstellung einer solchen Landingpage. Ob diese Anbieter datenschutzkonform sind, muss im jeweiligen Einzelfall geprüft werden.
Exkurs: Impressumpflicht auf Social Media Kanälen?
Die Impressumspflicht gilt für alle Unternehmen und Influencer, die geschäftlich im Telemedienbereich aktiv sind, § 5 TMG. Das heißt, neben dem Impressum auf der eigenen Webseite, dem Onlineshop und dem Blog muss ein Impressum grundsätzlich auch für den Social Media Account vorgehalten werden. Die Einbindung kann dann entsprechend der vorgenannten Beschreibung zur Datenschutzerklärung erfolgen.
Fazit
Unternehmen und Influencer sind verpflichtet die gesetzlichen Informationspflichten gemäß den datenschutzrechtlichen Bestimmungen umzusetzen, sofern personenbezogene Daten zu nicht ausschließlich privaten Zwecken verarbeitet werden. Das gilt auch für die Social Media Kanäle. Für die Umsetzung haben sich in der Praxis unterschiedliche Lösungsansätze etabliert, die im jeweiligen Einzelfall dahingehend geprüft werden sollten, ob die Anbieter auch datenschutzkonform agieren. Denn insbesondere Unternehmen mit Sitz in den USA sind (datenschutzrechtlich) mit Vorsicht zu genießen.
Anna Rehfeldt, LL.M.
Rechtsanwältin und externe Datenschutzbeauftragte