IT + Kommunikation -

Facebook, Instagram, Google Maps Social Media im Datenschutz-Check: 11 Rechtsfragen zu DSGVO & Co.

Mittelständler machen ihre Facebook-Seiten dicht. So manchem Betrieb ist das Social-Media-Pflaster nach der DSGVO und dem Urteil des EuGH datenschutzrechtlich zu heiß. Zu Recht? Datenschutz-Experte Alexander von Chrzanowski erklärt die neuen Spielregeln auf Facebook, Instagram & Co. und gibt praxisnahe Tipps.

Die Datenschutzgrundverordnung (DSGVO) sorgt noch immer für große Rechtsunsicherheit – insbesondere bei kleinen und mittleren Betrieben. Hinzu kommt ein Urteil des Europäischen Gerichtshofs (EuGH), das die Sorgen des Mittelstands noch weiter verschärft. Die Richter entschieden, dass Betreiber von Facebook-Seiten für etwaige Datenschutzverstöße des sozialen Netzwerks mithaften. Das Bundesverwaltungsgericht muss zwar noch ein endgültiges Urteil sprechen, dennoch fliehen bereits jetzt erste Betriebe aus den sozialen Medien.

Wie ernst die Betriebe das Abmahnungsrisiko nehmen, verdeutlicht eine Umfrage des Bundesverbands mittelständische Wirtschaft (BVMW). Diese ergab, dass 44 Prozent der kleinen und mittleren Betriebe ihre Online-Aktivitäten "etwas" und weitere 26 Prozent "sehr" eingeschränkt haben. Knappe drei Prozent zogen einen kompletten Schlussstrich und verabschiedeten sich gänzlich aus der digitalen Welt.

Doch sind solche drastischen Maßnahmen überhaupt notwendig? Rechtsanwalt und Datenschutz-Experte Alexander von Chrzanowski nennt im Interview mit der Deutschen Handwerks Zeitung die wichtigsten Spielregeln im Umgang mit Social Media und gibt praxisnahe Tipps, wie Handwerksbetriebe datenschutzrechtliche, aber auch urheberrechtliche Probleme umgehen können.

Welche grundsätzlichen Regeln gibt die DSGVO bei der Verarbeitung personenbezogener Daten vor?

von Chrzanowski: Die DSGVO enthält in Art. 6 Abs. 1 insgesamt sechs gleichberechtigte Gründe, die eine Datenverarbeitung gestatten. Mindestens eine der Bedingungen muss erfüllt sein. In Social Media dürften vor allem die Buchstaben a und f maßgeblich sein. Es muss also zumindest eine Einwilligung oder ein berechtigtes Interesse vorliegen, damit der Betrieb personenbezogene Daten verarbeiten darf.

Worin liegen die Unterschiede zwischen einer Einwilligung und einem berechtigten Interesse?

von Chrzanowski: Liegt eine Einwilligung vor, kann grundsätzlich alles gemacht werden. Es muss allerdings sehr präzise darüber informiert werden, welche Daten wofür verwendet werden. Eine Nutzung für andere Zwecke ist ausgeschlossen. Zudem muss die Einwilligung freiwillig gegeben werden und ist jederzeit für die Zukunft widerrufbar.

Einwilligungen sind meiner Meinung nach der unpraktischste Weg. Ich würde daher stets prüfen, ob mit einem berechtigten Interesse argumentiert werden kann. Der Abwägungsparagraph besagt: Solange die Interessen und die Beeinträchtigung der Freiheiten des Betroffenen nicht die Interessen des Betriebs an der Verwendung überwiegt, ist die Verarbeitung personenbezogener Daten erlaubt. Da hierzu vor der DSGVO noch deutlich präzisere Vorgaben galten, ist jetzt deutlich mehr möglich als vorher. Im Gegensatz zur Einwilligung birgt das berechtigte Interesse jedoch ein gewisses Risiko, da keine konkreten Voraussetzungen für die Abwägung gelten und der Sachverhalt somit unterschiedlich beurteilt werden könnte. Es bleibt abzuwarten, wie hierzu in Einzelfällen entschieden werden wird.

Könnten Sie ein konkretes Beispiel für ein berechtigtes Interesse in der Praxis nennen?

von Chrzanowski: Betriebe müssen sich Gedanken machen, aus welchem Grund bestimmte personenbezogene Daten erhoben werden und welche Beeinträchtigungen dadurch bei der jeweiligen Person entstehen könnten. Entsteht eine solche Beeinträchtigung, muss geprüft werden, ob diese nicht abgemildert werden kann. Ein Beispiel: Ein Handwerksunternehmer knipst ein Foto von der Baustelle, um dieses zu Marketing-Zwecken zu verwenden. Auf dem Bild ist auch ein Mitarbeiter zu sehen. Das Interesse in diesem Fall wären die Werbeabsichten des Unternehmers. Die Beeinträchtigung wäre, dass der Mitarbeiter mit seinem Gesicht veröffentlicht wird.

Dabei sind verschiedene Varianten denkbar: So könnte etwa die Baustelle als Hauptmotiv und der Mitarbeiter als bloßes Beiwerk dienen. Alternativ könnte der Unternehmer seinen stärker auf dem Foto präsenten Mitarbeiter unkenntlich machen oder ihn von hinten fotografieren. Ist eine Person dagegen das Hauptmotiv, so rate ich dazu, eine Einwilligung einzuholen – zumindest, wenn das Gesicht zu erkennen ist. Ein Friseursalon, der etwa die Hochsteckfrisur einer Kundin von hinten fotografiert, erhebt dagegen meist keine personenbezogenen Daten. In diesem Fall ist ein Rechtfertigungsgrund nicht erforderlich. Eine Verknüpfung des Fotos mit dem etwaigen Facebook-Profil der Kundin sollte dann aber ohne Einwilligung der Kundin nicht erfolgen.

Wie ist die Rechtslage, wenn der Betrieb ein Foto teilt, das vorher von einem anderen Kanal, einem Kunden oder Mitarbeiter hochgeladen wurde?

von Chrzanowski: Wer fremde Inhalte verbreitet, kann durchaus Ärger bekommen. Das gilt auch dann, wenn Inhalte geteilt, retweetet oder repostet werden. Allerdings sind das eher urheberrechtliche als datenschutzrechtliche Probleme. Unkritisch ist die Rechtslage, wenn der geteilte Beitrag vom Abgebildeten selbst stammt. Anders ist der Fall, wenn die Abbildung von einem Dritten angefertigt wurde. Teilt der Betrieb ein Foto, das urheberrechtswidrig hochgeladen wurde, unterstützt er damit die Verbreitung von Raubkopien. Wer jedoch Hyperlinks von einer geschäftlichen Internetseite aus setzt, für den wird vermutet, dass er eine etwaige Rechtswidrigkeit des geschützten Werkes kannte. So hat der EuGH im September 2016 in einem Urteil zwischen der niederländischen Zeitung GeenStijl und dem Playboy-Magazin entschieden. Damit werden dann mit der Linksetzung bewusst Urheberrechtsverstöße begangen, was zu Schadenersatzverpflichtungen führen kann. Dasselbe gilt übrigens, wenn ein Beitrag auf Facebook mit "Gefällt mir" markiert wird. Auch hier wird ein Link gesetzt.

Brauche ich ein Impressum auf all meinen Social-Media-Kanälen?

von Chrzanowski: Ein Social-Media-Kanal ist im Endeffekt nichts anderes als eine Internet-Präsenz. Sobald eine Facebook-Seite geschäftlich genutzt, gilt die Impressumspflicht nach § 5 Telemediengesetz.

Müssen eingebettete Social-Media-Buttons oder Google-Maps-Karten von der Website entfernt werden?

von Chrzanowski: Nein, die Elemente müssen nicht zwingend entfernt werden. Betriebe sollten sich aber Gedanken machen, wie die Funktionen datensparsam auf der Website eingesetzt werden können. Das Problem vieler Social-Media-Buttons liegt darin, dass sie bereits beim Laden der Website Daten an die sozialen Netzwerke übermitteln. Nach Auffassung der Datenschutz-Aufsichtsbehörden muss dafür eine Einwilligung zu dieser Datenverarbeitung eingeholt werden, bevor die Übermittlung erfolgt, also schon vor Laden der kritischen Inhalte. Eine datensparsamere Variante wäre daher eine Zwei-Klick- oder Shariff-Lösung. Dabei willigen die Besucher in das Nachladen der Inhalte ein. Ist eine solche Lösung integriert, werden Daten erst dann an die sozialen Netzwerke übermittelt, wenn der Nutzer aktiv auf den Social-Media-Button klickt.

Eine eingebettete Google-Maps-Karte stellt hingegen tatsächlich ein Problem dar. Sofern keine Einwilligung vorliegt halte ich es für risikoreich, sie weiterhin auf der Homepage zu behalten, da es der derzeitigen Auffassung der Aufsichtsbehörden widerspricht. Um dennoch nicht auf die Funktion verzichten zu müssen, könnte statt der Karte ein statischer Link auf Google Maps gesetzt werden. Die Alternative wäre, eine Seite vorzuschalten, in der auf die Datenverarbeitung hingewiesen und eine wirksame Einwilligung eingeholt wird.

Auf einigen Websites sind sogenannte Facebook-Pixel integriert. Ist der Tracking-Code DSGVO-konform?

von Chrzanowski: Nach Auffassung der Datenschutzkonferenz bedarf es einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen. Dasselbe gilt bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung im Sinne der DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss. Es müsste also auch beim Einsatz eines Facebook-Pixels eine Seite vorgeschaltet werden, auf der vorab die Einwilligung zur Datenverarbeitung eingeholt wird.

Wer einen Social-Media-Kanal betreibt muss diesen auch im Verarbeitungsverzeichnis listen. Was ist dabei zu beachten?

von Chrzanowski: In welcher Detailtiefe das Verarbeitungsverzeichnis geführt werden muss, ist derzeit noch unklar. Die Aufsichtsbehörden vertreten die Meinung, dass es sehr detailliert sein muss. Das steht aber nicht in der Verordnung. Was auf jeden Fall erfasst sein sollte, ist der jeweilige Kanal, welche Daten zu welchem Zweck verarbeitet werden und ob diese Daten zusätzlich noch anderweitig genutzt werden.

Ist es weiterhin erlaubt, potenziellen Bewerbern einen Job via Xing oder LinkdedIn anzubieten?

von Chrzanowski: Man könnte darüber streiten, ob es sich bei Xing und LinkedIn eher um Visitenkarten- oder Jobbörsen handelt. Meiner Meinung trifft eher Letzteres zu. Wenn ein Arbeitgeber also Kontakt zu einer Person aufnimmt, um ihm einen Job vorzuschlagen, dann ist das auch erlaubt – es ist ja gerade auch der Zweck dieses Netzwerkes. In privaten Netzwerken wie Facebook ist das nach den Nutzungsbedingungen dagegen untersagt. Was außerdem in Privatnetzwerken nicht geht: Recherchen über die Bewerber anstellen.

Vielfach wurde darüber berichtet, dass die Nutzung von WhatsApp gegen geltendes Datenschutzrecht verstößt – was ist dran?

von Chrzanowski: Das Problem hierbei ist, dass die auf dem Telefon gespeicherten Kontaktdaten an WhatsApp übertragen werden, ohne dass die Kontakte dem zugestimmt haben. Somit begehen Nutzer von WhatsApp datenschutzrechtliche Verstöße, da die im eigenen Telefonbuch gespeicherten Kontakte bzw. die dahinterstehenden Personen einem solchen Upload regelmäßig nicht zugestimmt haben. Das trifft also Unternehmen, bei denen Kontaktdaten im Adressbuch enthalten sind. Für Privatpersonen gilt das dagegen nicht, da es eine "Haushaltsausnahme" gibt: ausschließlich persönliche oder familiäre Tätigkeiten natürlicher Personen fallen nicht unter die Datenschutz-Grundverordnung. Es gibt aber Möglichkeiten, den Datenschutzverstoß zu umgehen. Etwa indem keine Telefonnummern in das Telefonbuch gespeichert werden oder durch den Einsatz von Container-Lösungen. Allerdings lässt es sich auf diese Weise nicht sonderlich gut mit WhatsApp arbeiten.

>>> WhatsApp und WhatsApp Business: Das gilt rechtlich beim Datenschutz <<<

Was bedeutet das EuGH-Urteil für Handwerker mit eigenem Facebook-Auftritt und wie sollten sie jetzt reagieren?

von Chrzanowski: Sie sollten einen Vertrag mit Facebook schließen, der das Verhältnis im Hinblick auf die Datenverarbeitung regelt. Dabei sollte insbesondere Facebook sich verpflichten, die Informations- und Auskunftspflichten gegenüber den Nutzern zu erfüllen, also insbesondere welche Daten wie für welche Zwecke erhoben und verarbeitet werden. Diese Informationen hat der Betreiber einer Fanpage selbst gar nicht. Außerdem sollte jedenfalls eine Haftungstragung im Innenverhältnis vereinbart werden. Facebook bietet derzeit solche Verträge nicht an, hat aber in der Folge des EuGH-Urteils eine datenschutzkonforme Vereinbarung bereits angekündigt. Kann in absehbarer Zeit – etwa in den nächsten zwei bis drei Monaten – keine zufriedenstellende Vereinbarung mit Facebook geschlossen werden, sollte eine Abschaltung der Fanpage ins Auge gefasst werden.

© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten