Datenschutz in den sozialen Medien: Wo sind mögliche Stolpersteine?

in Legal, 03.05.2018

An der Konferenz «Social Media Trends 2018» von Internet-Briefing hat sich gezeigt, dass auch im Bereich der sozialen Medien und des digitalen Marketings vermehrt rechtliche Fragen aufkommen. In diesem Beitrag zeige ich auf, welche Aspekte des Datenschutzes bei der Nutzung von Social Media zu beachten sind.

Die diesjährige Konferenz war dieses Jahr von sehr spannenden und lehrreichen Beiträgen vor allem aus dem Bereich Marketing geprägt. Auch ich war einer der Referenten und durfte mich zum Thema Konkrete Umsetzung des neuen Datenschutzrechts in den sozialen Medien äussern.Dabei habe ich aufgezeigt, dass auch im Bereich Marketing und Soziale Medien vermehrt rechtliche Aspekte zu beachten sind. Diese kommen z.B. aus dem Bereich des unlauteren Wettbewerbs, der Werberegulierung, des Markenrechts und – an diesem Anlass besonders hervorgehoben – des neuen EU- Datenschutzrechts (DSGVO / GDPR). Dieses ist auch für die Schweiz relevant und muss insbesondere bei Marketingaktivitäten wie in Social Media beachtet werden.

Aktivitäten auf Social Media: Hier ist Vorsicht geboten

  • Reputationsrisiko: Bei Facebook, Twitter, LinkedIn etc. gelten für alle Nutzer die entsprechenden Privacy Policies und Nutzungsvereinbarungen. Die Verantwortung für die Umsetzung dieser Policies liegt grundsätzlich beim jeweiligen Social Media Unternehmen. Wie der aktuelle Fall bei Facebook im Zusammenhang mit Cambridge Analytica zeigt, kann aber nicht zweifelos von der Sicherheit und dem angemessenen Schutz von Personendaten durch diese Unternehmen ausgegangen werden. Hier kann also durchaus ein Reputationsrisiko bestehen.
  • Erwähnung von Personen: Vorsicht ist geboten, wenn in Beiträgen/Posts andere Personen erwähnt werden (gilt i.d.R. nicht für Erwähnung von Unternehmen, denn diese haben keine Rechtspersönlichkeit im Sinne der DSGVO/GDPR). Die Erwähnung kann z.B. zu Rückschlüssen führen, die für eine betroffene Person ungünstig sind. Es ist daher besser, Personen nur dann zu erwähnen, wenn diese ausdrücklich damit einverstanden sind – transparente Kommunikation ist hier wichtig.
  • Fremder content: Wenn Personen Inhalte sharen/retweeten, kann der fremde Inhalt zu ihrem eigenen Inhalt werden, für welchen die jeweiligen Personen selber verantwortlich sind. Dabei ist auch das automatisierte Teilen von Inhalten, bspw. durch Bots, zu bedenken.

Oftmals wird über Social Media ein Link zu einer Webseite kommuniziert, die wiederum Angebote enthält. Dabei müssen folgende Punkte beachtet werden:

  • Online-Tracking: Nutzt eine Webseite Cookies, um das Verhalten der Besucher zu messen oder zu analysieren, so handelt es sich um eine Datenverarbeitung zum Zweck das «Verhalten der betroffenen Person zu beobachten». Die DSGVO / GDPR ist anwendbar, wenn diese Person in der EU ist – ein Umstand der allerdings schwierig feststellbar ist. In den meisten Fällen muss angenommen werden, dass Personen in der EU beobachtet werden.
  • Cookie-Hinweis: Eine entsprechende Cookie-Erklärung auf der Webseite ist notwendig. Diese muss u.a. Zweck, Grund und Art der Verarbeitung der Daten beschreiben. Auch zu beachten ist die E-Privacy Richtlinie der EU, welche jedoch noch nicht endgültig verabschiedet wurde.
  • Datenschutzerklärung: Die Webseite sollte eine Datenschutzerklärung mit den zwingenden Punkten gemäss DSGVO/GDPR enthalten.
  • Checkboxes: Eine Zustimmung zur Privacy Policy z.B. bei einer Bestellung muss ausdrücklich erfolgen –bereits ausgefüllte Checkboxes sind nicht mehr zulässig und können sogar Bussen nach sich ziehen.
  • Differenzierte Einwilligungen: Die erteilte Einwilligung muss möglichst granular sein – es sollte kein «Alles oder nichts»-Prinzip gelten. Es sollte also möglich sein, dass z.B. die Einwilligung für den Newsletter unabhängig von der Einwilligung zur Weiterverarbeitung der eigenen Personendaten erteilt werden kann, beispielsweise indem hier zwei separate Checkboxes verwendet werden.
  • E-Mail Marketing: Bei Newslettern sollte ein Double Opt-In-Verfahren gewählt werden, um zu gewährleisten, dass die betroffene Person mit dem Erhalt des Newsletters ausdrücklich einverstanden ist. Auf dem Newsletter muss zudem eine Möglichkeit z.B. mittels Link bestehen, um die Zustellung des Newsletters zu beenden (Opt-Out).

Die oben aufgeführten Punkte sind zwar komplex, dürfen jedoch nicht ausser Acht gelassen werden. Nur so können mögliche Verfahren und Bussen – oder gar Reputationsschäden – vermieden werden.

Bestehen bei Ihnen mögliche Risiken? Folgende Fragen bringen Aufschluss über Ihren Stand:

  • Ist bei uns ein betrieblicher Datenschutzbeauftragter gemäss DSGVO/GDPR notwendig? Falls ja, mit welchen Rollen und Verantwortlichkeiten? Wer übernimmt diese Aufgabe?
  • Sind die Webseiten mit entsprechenden Policies/Pop-ups ausgestattet? Ist das Opt-In für Policies korrekt ausgestaltet?
  • Wie gehen wir mit Datenschutzverletzungen um? Besteht ein Notfallkonzept?
  • Welche Personendaten verarbeiten wir wo, mit wem, wozu und wie?
  • Achten wir bei der Entwicklung von Apps und Online Services von Anfang an auf die Prinzipien Privacy by Design & Default?
  • Können wir einer betroffenen Person darlegen, welche Daten wir von ihr verarbeiten, wenn sie danach fragen würde?
  • Werden Newsletter mittels Double-Opt-In angemeldet? Ist in jedem Newsletter die Möglichkeit der Abbestellung (Opt-Out) enthalten?

Sind die Antworten auf diese Fragen unklar oder bestehen sogar Lücken, kann dies darauf hinweisen, dass bei Ihnen noch nicht genügende Vorkehrungen getroffen wurden, um mit der DSGVO / GDPR im Bereich Marketing konform zu sein. In diesem Falle sollten Sie die Situation im Detail analysieren und geeignete Massnahmen treffen.

 

 

Unsere Dienstleistungen und weitere Informationen: