Nicht nur unsere Freizeit, sondern auch die heutige Arbeitswelt ist sehr stark von sozialen Medien und den dazugehörigen Plattformen abhängig. Besonders in Hinblick auf die Bereiche digital Marketing, online Werbung und Public Relations müssen wir uns zwangsläufig mit Social-Media auseinandersetzen. Die Nutzung der sozialen Medien stellt Sie als Website-Betreiberin jedoch wieder vor einige Fragen und Problemen, die Sie als Verantwortlicher stets zu berücksichtigen haben.
Der Betrieb von Fanseiten auf Social-Media Plattformen
Nehmen wir an, Sie erstellen beispielsweise eine Fanpage auf einer dieser Plattformen. Damit unterliegen Sie sofort gewissen Pflichten, da Sie über diese Plattformen bestimmte Informationen Ihrer Nutzer*innen erhalten. Ob diese Daten, die Sie einsammeln, überhaupt datenschutzrechtlich relevant sind, wie Sie den Unterschied erkennen und diesen rechtskonform darstellen, ist Gegenstand dieses Blog Beitrages.
Informationspflichten
Bei der Nutzung entsprechender Social-Media Leistungen und Plattformen gibt es unterschiedliche Verpflichtungen, denen Sie zum Teil nachkommen müssen. Zunächst sollten Sie immer die Informationspflichten gem. § 5 TMG erfüllen und Ihren Nutzerinnen die entsprechenden Informationen zur Verfügung stellen, die insbesondere für die Website geltenden Bedingungen zu beachten sind. Selbstverständlich müssen Sie auch stets die Impressumspflicht erfüllen. Doch das ist nicht alles. Neben der Impressumspflicht haben Sie als Website-Betreiberin auch selbstverständlich datenschutzrechtlichen Informationspflichten zu erfüllen.
Am besten sichern Sie sich in diesem Bereich ab, indem Sie genauestens darlegen, wie die Datenverarbeitung erfolgt. Es ist ein weitverbreiteter Irrtum, dass Sie als Betreiber der Seite nicht für die Datenverarbeitung der Fanseite (also der Seite, die auf der Social-Media-Plattform liegt), verantwortlich sind. Als (fälschliche) Begründung wird hier oft angeführt, dass eine Webseitenbetreiberin gar keine Kontrolle über die Datenverarbeitung haben könnte und dafür stets die Betreiber der Social-Media-Plattformen verantwortlich seien. Das ist nicht richtig. Wir möchten Sie an dieser Stelle noch einmal auf die Definition des datenschutzrechtlichen Verantwortlichen hinweisen: Gem. Art 4 Nr. 7 DSGVO gilt als Verantwortlicher für die Datenverarbeitung u. a eine natürliche oder juristische Person (…) die alleine oder gemeinsam mit anderen über die Mittel und Zwecke der Datenverarbeitung entscheidet. Entscheidend ist hier der Tatbestand, dass eine Verantwortliche*r allein oder gemeinsam mit anderen entscheiden kann.
Fraglich bleibt zwar, ob wir in Bezug auf Zweck und Mittel der Datenverarbeitung gemeinsam mit den Plattformbetreiber*innen entscheiden. Oft wird angenommen, dass kein Tatbestand vorliegt, da Sie als Nutzer der Plattform keinen Einfluss auf die Datenverarbeitung beim Plattformbetreiber haben und die Betreiber der Plattform selbst (an Ihnen vorbei) über die Datenverarbeitung entscheiden. Damit würde dann keine gemeinsame Entscheidungsgewalt vorliegen. Leider sieht das der EuGH anders.
Denn der EuGH hatte mit Urteil vom 05.06.2018 unter dem Aktenzeichen C-210/16 entschieden, dass Personen und Einrichtungen, die den Regularien der DSGVO unterliegen und etwa eine Fanpage bei einer Social-Media-Plattform bereithalten, gemeinsam mit dem Betreiber für die Datenverarbeitung verantwortlich sind.
Deshalb müssen Sie sich unbedingt entsprechend absichern und gut aufstellen. Dazu ist es erforderlich, dass Sie zunächst im Rahmen Ihrer Informationspflichten ausführlich darlegen, dass Sie Social-Media-Seiten nutzen. Dazu empfehlen wir in der eigenen Datenschutzerklärung die entsprechenden Plattformen zu erwähnen.
Soweit der Betreiber hierfür keine explizite Möglichkeit bietet, sollte unter den allgemeinen Seiteninfos ein Link zur Datenschutzerklärung aufgenommen werden.
Absicherung
Aufgrund der gemeinsamen Verantwortlichkeit ist es hier essenziell, dass Sie entsprechende organisatorische Maßnahmen im Sinne von Art. 28 ff. und Art 32 DSGVO ergreifen. D.h. Sie sollten sowohl einen Auftragsdatenverarbeitungsvertrag als auch einen Vertrag zur gemeinsamen Verantwortlichkeit abschließen. In diesen Verträgen müssen Sie ganz genau benennen, wer für was verantwortlich ist und welche Rechte und Pflichten Sie haben. Soweit die Betreiber der Social-Media-Plattformen zudem zu sogenannten Drittstaaten gehören (wie etwa USA, China, Russland etc.), müssen Sie die Standardvertragsklauseln der EU in gültiger Fassung vorweisen können. Wie der EuGH 2018 ebenfalls entschieden hat, sind diese allein allerdings nicht ausreichend. Zusätzlich zu diesen Standardvertragsklauseln müssen Sie, insbesondere was die USA angeht, geeignete Garantien bieten.
Da es leider keine konkreten Angaben gibt, was unter „geeignete Garantien“ zu verstehen ist, setzen Sie sich leider stets einem Restrisiko aus. Wir empfehlen jedoch zunächst alle technischen- und organisatorischen Maßnahmen zu ergreifen, damit die Datenverarbeitungen nicht ungebremst geschieht und Sie diese stets übermitteln können. Dazu wäre es zum Beispiel sinnvoll, eine Zusatzvereinbarung mit den Plattform-Anbietern abzuschließen, in der konkrete Vorgaben gemacht werden, damit die Datenverarbeitung ein Stück sicherer erfolgt und Sie die Risiken eines Datenmissbrauchs senken können.
Es wäre etwa denkbar, gerade mit Blick auf die USA, dass Sie bestimmte Anbieter vertraglich dazu bewegen, in folgende Grundvoraussetzungen einzuwilligen: Bevor eine Datenübermittlung an Dritte erfolgt, muss (aufgrund der ortsgebundenen Gesetze) der Plattform-Anbieter die Datenübermittlung zunächst verweigern und stattdessen Sie um Erlaubnis fragen bzw. Sie zumindest über eine Datenübermittlung in Kenntnis setzen, bevor diese geschieht.
Wir haben die Erfahrung gemacht, dass auch die größeren Firmen wie Google und Facebook nach langem Hin- und Her doch dazu bereit sind, diese Zusatzvereinbarungen zu unterzeichnen. Es dient Ihnen jedoch, auch wenn es nicht unterschrieben ist, erst einmal als Senkung eines Bußgeldrisikos, da Sie nachweisen können, dass Sie sich um eine Vereinbarung bemüht haben.
Ob es allerdings nötig ist, einen Datenschutzbeauftragten an Bord zu holen, ergibt sich nach der Risikoprüfung. Zwar können Sie als Verantwortliche*r die erste Risikoabschätzung selbst vornehmen, allerdings auch hier mit dem Risiko der falschen Einschätzung.
Treffen Sie eine falsche Entscheidung über die Durchführung bzw. „Nicht-Durchführung“ einer Datenschutzfolgeabschätzung, könnte das zu weiteren Problemen führen. Seien Sie bei dieser Entscheidung also sehr bedacht. Die Prüfung sollte am besten durch eine unabhängige, völlig neutrale Person oder Stelle erfolgen, damit ein objektiver Blick auf den Tatbestand gewährleistet ist.
Falls eine Datenschutzfolgeabschätzung (DSFA) notwendig ist
Gerade im Rahmen einer anstehenden DFSA und die Voraussetzungen gem. Art. 35 DSGVO, ist von einer Prüfung durch dendie Verantwortlichen selbst eher abzuraten. Denn zum einem werden datenschutzrechtliche-, aber auch IT-technische Aspekte fehlinterpretiert, da Sie als Verantwortliche*r meist geblendet von subjektiven Empfindungen Ihre Entscheidungen treffen. Zudem fehlt es den meisten Laien an einer ausreichenden sachlichen wie auch fachlichen Expertise.
Besonders bei Nutzung von Social-Media-Plattformen ist von einem hohen Risiko bei der Datenverarbeitung auszugehen, was eine DFSA umso mehr erforderlich macht. Die Auswertungen der aus der Nutzung von Social-Media-Plattformen gewonnenen Informationen hat jedoch weitreichende Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch den jeweiligen Plattformbetreiber zu Werbezwecken. Damit liegt auch ein hohes Risiko für die Verarbeitung der personenbezogenen Daten auch vor, die eine Datenschutzfolgeabschätzung erforderlich macht.
Fazit – Fanpage auf Social-Media-Plattformen: Ja oder Nein?
Soweit Sie sich dennoch dazu entscheiden, eine Fanseite auf entsprechenden Social-Media-Plattformen zu betreiben, sollten Sie bedenken, dass Sie einem erhöhten datenschutzrechtlichen Risiko ausgesetzt sind. Vor allem, wenn Sie nicht nachweisen oder gar beeinflussen können, was die Betreiberfirma hinter der Plattform mit den Daten anstellt. In diesem Fall wird es für Sie schwer werden, Ihre Informationspflichten vollständig erfüllen zu können. Mithin sollten Sie die Leistungen nur dann nutzen, nachdem Sie eine Risiko-Nutzen-Analyse durchgeführt haben.
Sollten Sie das Risiko vollumfänglich senken bzw. vermeiden wollen, können wir Ihnen zum gegenwärtigen Zeitpunkt nur dazu raten diese Art der Verarbeitung, bis zur einheitlichen Klärung durch die Politik und den Aufsichtsbehörden zu unterlassen und gänzlich darauf zu verzichten. Zwar gibt es auch gute und nachvollziehbare Argumente zum Betreiben einer Fanseite, etwa in der Nutzung als weitverbreitetes Marketinginstrument, um mit möglichst vielen potenziellen Kunden und Interessenten in Kontakt zu treten. Allerdings ist dies stets mit einem Risiko verbunden und dessen sollten Sie sich bewusst sein.