Datenschutz Social Media

Social Media Plattformen und die Einhaltung der DSGVO-Vorgaben – Alles, was Unternehmen bei dem Betrieb von Social Media-Kanälen beachten müssen.

Alle, die sich heutzutage über diverse Themen informieren möchten, nutzen das Internet als primäre Informationsquelle.

Daraus ergeben sich vielschichtige Möglichkeiten für Unternehmen, um ihre Produkte und Services online zu präsentieren. Dabei gilt eine geeignete Website nur als ein Teil der öffentlichen Darstellung der Unternehmenspersönlichkeit.

Mittels zeitgemäßer Social Media Plattformen setzen immer mehr Unternehmen ihre dialogorientierten Marketingstrategien um, indem sie die Aspekte Zielgruppenrelevanz, Bilder sowie Storytelling miteinander verknüpfen.

Digitalisierung und Datenschutz

Im Zuge der voranschreitenden Digitalisierung müssen Unternehmen Schritt halten und ihre internen Prozesse digitalisieren, um wettbewerbsfähig zu bleiben. Die Entwicklung hin zu digitalen Prozessen bringt dabei sowohl Chancen als auch zunehmende Schwierigkeiten mit sich. Das Zusammenwirken von Digitalisierung und Datenschutz gewinnt daher immer mehr an Bedeutung.

Um dieser umfangreichen Aufgabe bestmöglich gerecht zu werden, ist es hilfreich, auf die Expertise qualifizierter Datenschutzberater zurückzugreifen.

Wieso ist die Einhaltung von Datenschutz-Vorgaben bei der Nutzung von Social Medial Plattformen notwendig?

Sollte ein Unternehmen auf einer Social Media Plattform vertreten sein, werden dort häufig Namen, Bilder und Video von Mitarbeitenden veröffentlicht. Dabei handelt es sich um personenbezogene Daten, die in jedem Fall dem Datenschutz unterliegen. Das bedeutet, dass Unternehmen auch bei einer eigenen Seite in sozialen Netzwerken bestimmte DSGVO-Vorgaben einhalten müssen.

Play Video about Social Media DSE Thumbnail

Welche Datenschutz-Vorgaben gibt es für die Nutzung von Social Media Plattformen?

Viele personenbezogene Daten, die mit der Öffentlichkeit in sozialen Medien wie Facebook, Instagram, Twitter, YouTube, LinkedIn oder anderen geteilt werden, benötigen eine rechtliche Grundlage. In der Regel ist die betroffene Person dazu verpflichtet, eine informierte Einwilligung zu geben.

Außerdem werden in diesem Zusammenhang häufig persönliche Daten in Länder wie die USA übertragen. Es ist erforderlich, dass für die geplanten Datenübermittlungen entweder ein Beschluss über die Angemessenheit für das betreffende Drittland (Art. 45 DSGVO), geeignete Garantien (Art. 46 ff. DSGVO) oder ein Ausnahmetatbestand (Art. 49 DSGVO) vorliegt.

Damit Betreibende dazu verpflichtet, die Nutzenden durch ihre eigenen Datenschutzrichtlinien über die Datenverarbeitung zu informieren. Die Verantwortung für die Bearbeitung von persönlichen Daten auf Ihrem Unternehmensprofil liegt jedoch nicht allein bei den Plattformbetreibenden.

Gemeinsame Verantwortlichkeit

Ein Unternehmen, das einen Social-Media-Account betreibt, muss einen Vertrag über die gemeinsame Verantwortlichkeit gemäß Artikel 26 DSGVO (auch als Joint Controllership bekannt) mit dem Betreiber abschließen. Die von der Datenverarbeitung betroffenen Personen können ihre Rechte gegenüber jedem Verantwortlichen geltend machen, wenn beide Parteien die Art und den Zweck der Datenverarbeitung bestimmen. Laut den Urteilen des EuGH vom 05.06.2018 (Facebook-Fanpages) und des EuGH vom 10.07.2018 – (Zeugen Jehovas) besteht eine gemeinsame Verantwortung, wenn ein Beteiligter die Verarbeitung von Daten durch einen anderen Beteiligten anleitet und von deren Ergebnissen profitiert. Das bedeutet, dass Facebook und die Betreiber von Fanpages gemeinsam für die Erhebung und Verarbeitung von Daten verantwortlich sind.

Wichtig: Diese generelle Rechtsansicht ist auch für alle anderen Social-Media-Plattformen gültig.

Aufsichtsbehörden und Social Media Kanäle

Die Behörden sind insgesamt kritisch gegenüber dem Betrieb von Social-Media-Websites von Unternehmen. Dies gilt insbesondere für die Verwaltung von Facebook-Fanseiten. Laut einem Kurzgutachten der Datenschutzkonferenz (DSK) aus November 2022 verstößt der Betrieb einer Facebook-Fanpage mehrfach gegen das TTDSG und die DSGVO. Die Joint-Control-Vereinbarung zwischen Meta und Facebook-Fanpages ist ein wichtiger Kritikpunkt. Da LinkedIn und Tiktok ähnliche Abkommen haben, ist es wahrscheinlich, dass sie auch bei einer Prüfung durch die Aufsichtsbehörden scheitern werden.

Im Februar 2023 verbot der Bundesbeauftragte für Datenschutz und Informationsfreiheit dem Presse- und Informationsamt der Bundesregierung den Betrieb der Facebook-Fanpage. Bisher gibt es keine Vorschriften für private Unternehmen, die eine Präsenz in Social-Media haben.

Welche Sanktionen drohen Netzwerkbetreibenden bei Verstößen?

Gemäß Artikel 83 Absatz 4 und Absatz 5 DSGVO kann eine Verletzung der genannten Vorschriften mit einem Bußgeld von bis zu 10 Mio. EUR oder bis zu 20 Mio. Euro oder im Fall eines Unternehmens mit einem Bußgeld von bis zu 2 Prozent bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist. Außerdem haben Personen, die betroffen sind, die Möglichkeit, gemäß Artikel 82 DSGVO Schadensersatzansprüche geltend zu machen.

Social Media Datenschutzerklärung

Neben den oben genannten Voraussetzungen müssen die Informationspflichten gemäß Artikel 12 ff. DSGVO auf der eigenen Seite des Unternehmens eingehalten werden. Es ist wichtig, Informationen über die Punkte im Artikel 13 DSGVO zu geben, wie zum Beispiel den Zweck, die Dauer und die rechtliche Grundlage der Datenverarbeitung. Zum Zeitpunkt der Erhebung der personenbezogenen Daten muss die betroffene Person diese Informationen erhalten.

Wann benötigen Unternehmen eigene Datenschutzhinweise auf Social Media Seiten?

Unternehmen müssen ihre eigenen Datenschutzhinweise nur veröffentlichen, wenn sie neben dem Plattformbetreiber für die Datenverarbeitung verantwortlich sind. Dies ist dann der Fall, wenn Daten über Nutzende aktiv über die Unternehmensseite erhoben und mit eigenen Methoden weiterverarbeitet werden. Auch bei gemeinsamer Verantwortlichkeit müssen Datenschutzhinweise bereitgestellt werden.

Welche Informationen muss die Datenschutzerklärung beinhalten?

Folgende Punkte sollten in jeder Social Media Datenschutzerklärung laut Art. 13 DSGVO enthalten sein:

Verantwortliche: Name und Kontaktdaten der verantwortlichen Person (ggf. inklusive Kontaktdaten des Vertreters und des Datenschutzbeauftragten)
Zweck: Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden
Rechtsgrundlagen der Datenverarbeitung
Das konkrete berechtigte Interesse (nur, wenn eine Verarbeitung mit Artikel 6 Abs. 1 lit. f DSGVO begründet wird
Empfänger
Dauer: Speicherungsdauer der personenbezogenen Daten (falls Angabe nicht mögliche: Kriterien für die Festlegung dieser Dauer)
Betroffenenrechte: Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung, Widerruf)
Datenübermittlung in ein Drittland: ggfs. Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu übermitteln
Beschwerderecht einer Person: Betroffene haben das Recht, Beschwerde bei der Aufsichtsbehörde einzureichen
Erforderlichkeit der Bereitstellung personenbezogener Daten: Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss notwendig? Ist die betroffene Person verpflichtet, die personenbezogenen Daten bereitzustellen? Welche Folgen hätte eine Nichtbereitstellung?
Vertrag über gemeinsame Verantwortlichkeit: das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit

Besteht eine Impressumspflicht bei Social Media Kanälen?

Gemäß § 5 Abs.1 TMG sind Dienstanbieter verpflichtet, die Pflichtinformationen des Unternehmens bereitzustellen. Laut Entscheidungen der Rechtsprechung ist die Impressumspflicht nicht beschränkt auf Unternehmenswebsites. Auch auf gewerbliche Facebook-Seiten oder unternehmenseigene Instagram-Profile gilt die Verantwortung.

Unsere One-fits-all-Lösung

Die meisten Unternehmen sind sich nicht bewusst, dass jedes soziale Netzwerk eine eigene Datenschutzerklärung und einen Verweis auf das Impressum erfordert.

Auch Social Media Plattformen unterliegen den Vorschriften der Datenschutzverordnung, die unbedingt befolgt werden müssen. Es ist dabei wichtig, die Social Media Datenschutzerklärungen von der Datenschutzerklärung Ihres Unternehmens auf der Website zu unterscheiden. Dies gilt auch für die Verpflichtung zum Impressum.

Diese Anforderung sind für Unternehmen mit verschiedenen Social Media Kanälen mit einem enormen Arbeitsaufwand verbunden. Anders als erwartet, lässt sich diese Vorgabe allerdings sehr pragmatisch umsetzen.

Statt auf jeder Plattform separate Datenschutztexte zu platzieren oder eine Verlinkung zur eigenen Datenschutzerklärung zu hinterlegen, empfehlen wir die Erstellung einer eigenen Landingpage für alle betriebenen Social Media Plattformen – also one Datenschutzerklärung fits all.

Als Beispiel finden Sie hier den Link zu unserer eigenen one-fits-all-Social-Media-Datenschutzerklärung.

Auf dieser Unterseite unserer Domain haben wir die Datenschutztexte für alle von uns betriebenen Kanäle eingefügt. Die URL, die auf diese Seite führt, kann jetzt an der entsprechenden Stelle des Social-Media-Kanals eingefügt werden – und fertig.

Jegliche Anpassungen (Textänderungen, zusätzliche Kanäle etc.) können fortan an einer Stelle gepflegt und verwaltet werden.

Unnütze und zeitaufwendige Kommunikation über verschiedene Schreibtische und Postfächer hinweg entfallen damit in Zukunft; jede zusätzliche Social Media Datenschutzerklärung kann mit wenig Text und Klicks hinzugefügt werden.

Privacy Hub DSE testen

Stellen Sie jetzt Ihre Datenschutzerklärung mit unserer 10-Tage-Testversion in wenigen Klicks im Privacy Hub zusammen. Einfach Account erstellen und loslegen – no credit card required!

Ihre Vorteile mit der Social Media DSE

Inhaltliche & formale Richtigkeit

Unsere Datenschutzexperten sorgen für die inhaltliche und formale Richtigkeit Ihrer Datenschutzerklärung. Dazu gehört die individuelle Anpassung der Inhalte nach einem Deep Dive Audit der gesamten Website und das Hosting auf einem DSGVO-konformem Server.

10+ Sprachen & Barrierefreiheit

Sie haben die Möglichkeit, die Datenschutzerklärung in mehr als 10 verschiedene Sprachen zu übersetzen: Deutsch, Englisch, Niederländisch, Russisch etc. Zudem ist ein barrierefreier Zugang für alle Nutzenden garantiert.

Einfache Integration

Unsere Datenschutzerklärung lässt sich kinderleicht mittels JavaScript in Ihre Website einbinden und ist mit sämtlichen CMS du Shopsystemen kompatibel.

Automatische Updates

Nach initialer Erstellung Ihrer Datenschutzerklärung wird diese fortan gepflegt und auf dem aktuellsten Stand gehalten. Sollten sich bspw. Datenschutzrelevante Vorgaben ändern, werden diese automatisch ohne Ihr Zutun aktualisiert und in Ihrer DSE angepasst.

Insights inklusive

Sie erhalten Zugriff auf unsere Insights, die in regelmäßigen Abständen Ihre Website mittels Scans kontrollieren und analysieren. Dabei wird darauf geachtet, ob darauf informationspflichtige Services oder Technologien hinzugekommen sind. In solch einem Fall wird die Datenschutzerklärung auch dahingehend inhaltlich angepasst.

CMP-Live-Sync

Die Datenschutzerklärung synchronisiert sich live mit den im CMP vorgenommenen Einstellungen Ihrer Nutzenden.

Jörg ter Beek

Datenschutzexperte & DSB

Social Media Datenschutzerklärung gefällig?

Das Privacy Hub ermöglicht Ihnen (schnell und stressfrei) Cloud-basierte Datenschutzerklärungen für Ihre Social Media Kanäle zu erstellen und zu verwalten.

Ihre Vorteile mit dem Privacy Hub

Mit dem Privacy Hub erhalten Sie Zugang zu allen Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen. Mittels Dashboard können Sie das Ergebnis Ihres DSGVO-Scores auf einen Blick erfassen und alle Datenschutzerklärungen zentral verwalten.