Social Media-Recht – Teil 3: Datenschutzerklärung und Social Plugins

Die letzten beiden Beiträge unserer Reihe „Social Media-Recht“ standen ganz im Zeichen eines rechtssicheren Impressums. Der heutige Artikel soll Ihnen verdeutlichen, was in datenschutzrechtlicher Hinsicht bei der Nutzung von Social Media zu beachten ist und welche Pflichtangaben in der Datenschutzerklärung nicht fehlen sollten. Außerdem geben wir Ihnen einen kurzen Überblick über das Thema Social Plugins.

Beim Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten im Internet kommt der Datenschutzerklärung eine herausragende Bedeutung zu. Anbieter von Internetdiensten haben eine Pflicht zur Unterrichtung der Nutzer, die mit der Datenschutzerklärung erfüllt wird. Diese Pflicht ergibt sich aus § 13 Abs. 1 Satz 1 TMG.

Die dort geforderten Pflichtangaben müssen aber nur dann bereitgehalten werden, wenn der Anbieter selbst überhaupt dazu verpflichtet ist. Einer Datenschutzerklärung bedarf es nur dann, wenn der Anbieter „verantwortliche Stelle“ im Sinne des § 3 Abs. 7 BDSG ist, das heißt personenbezogene Daten für sich selbst bzw. für eigene Zwecke erhebt, verarbeitet oder nutztoder andere hiermit beauftragt.

Nicht erforderlich ist eine Datenschutzerklärung, wenn die Daten nur rein privat genutzt werden, beispielsweise im Kreise der Familie (§ 1 Abs. 2 Nr. 3 a.E. BDSG). Die Betreiber von Social Media-Plattformen wie Facebook etc. sind verantwortliche Stelle im Sinne des Gesetzes für alle Daten, die von der jeweiligen Plattform erhoben werden. Spannend ist hingegen die Frage, ob das auch für die Betreiber einer einzelnen Social Media-Präsenz wie z.b. einer Facebook-Fanpage gilt. Das Schleswig-Holsteinische Oberverwaltungsgericht entschied 2014, dass Betreiber solcher Seiten in keiner Weise eine Verantwortung für die hierüber ausgelöste Verarbeitung von Nutzungsdaten bei Facebook tragen (OVG Schleswig, Urteil vom 4. September 2014, Az.: 4 LB 20/13).

Der Fall ging schließlich zum Revisionssenat des Bundesverwaltungsgerichtes. Dieser war allerdings der Meinung, dass der Fall unionsrechtlich Zweifelsfragen aufwerfe und legte dem EuGH eine Reihe von Fragen zur Entscheidung vor (BVerwG, Beschluss vom 25. Februar 2016, Az.: 1 C 28.14). Nach aktueller Rechtslage kann also noch davon ausgegangen werden, dass Betreiber einer einzelnen Social Media-Präsenz grundsätzlich keine eigene Datenschutzerklärung vorhalten müssen. In Anbetracht der ausstehenden EuGH- Entscheidung muss hier jedoch die weitere Entwicklung beobachtet werden.

Anders verhält es sich, wenn Betreiber einzelner Social Media-Präsenzen darüber selbst Daten erheben, insbesondere wenn für ein Gewinnspiel oder den Unternehmens-Newsletter Daten mit Personenbezug erhoben werden, die über die normalen „Plattformdaten“ hinausgehen. In diesem Fall sollte der Betreiber eine eigene Datenschutzerklärung bereithalten oder jedenfalls von seiner Social Media-Präsenz aus verlinken.

Was den Inhalt der Datenschutzerklärung nach § 13 Abs. 1 Satz 1 TMG anbetrifft, soll der Anbieter darüber aufklären, welchepersonenbezogenen Daten er erhebt, wie lange er diese speichert und was der Zweck der Datenverarbeitung ist. Im Übrigen muss er den Nutzer darüber informieren, wenn die Verarbeitung der Daten im EU-Ausland stattfinden soll. Wenngleich der konkrete Inhalt einer Datenschutzerklärung einzelfallabhängig ist, finden Sie nachfolgend einige typische Fälle, zu denen unbedingt Angaben in der Datenschutzerklärung gemacht werden sollen:

Newsletter-Anmeldung
Abonnement von Blogbeiträgen etc.
Speicherung von Cookies
Verwendung von Marketing- und Analysetools (z.B. Google Analytics, Piwik)
Durchführung von Gewinnspielen
Social Plugins

Die formalen Anforderungen an die Datenschutzerklärung sind mit denen zu vergleichen, die an das Impressum gestellt werden. Eine schnelle Erreichbarkeit ist daher zu gewährleisten. Im Übrigen muss die Datenschutzerklärung nach § 13 Abs. 1 Satz 1 TMG „in allgemein verständlicher Form“ vorliegen. Es muss daher eine Sprache verwendet werden, die für den durchschnittlichen Nutzer ohne Weiteres zu verstehen ist.

Unabhängig von einer Datenschutzerklärung gibt es noch weitere Einzelfragen, die im Zusammenhang mit Social Media in datenschutzrechtlicher Hinsicht eine Rolle spielen können.

Eine davon hängt mit sogenannten Social Plugins zusammen. Gemeint sind damit vor allem Facebooks „Like-Button“ oder ähnliche Schaltflächen aus anderen sozialen Netzwerken (etwa „Share“ bei XING, „Follow“ bei Twitter oder „+1“ bei Google+), sofern sie per Code in die Website eingebettet sind. Bloße Links zu einzelnen Seiten auf den Plattformen sind damit nicht gemeint. Die Social Plugins werden in Unternehmens-Websites integriert, um das Marketing über Social Media zu erschließen und damit zur Erhöhung der Besucherzahl beizutragen.

Bereits beim Aufrufen einer Seite, die ein entsprechendes Plugin nutzt, kann der Anbieter des sozialen Netzwerkes zahlreiche Informationen über den Nutzer sammeln, mit denen sich sehr genaue Surf-Profile erstellen lassen. Doch genau in diesem Umfang der Datenerhebung liegt für die Unternehmen, die ein Social Plugin verwenden, ein Problem. Denn in welchem Umfang tatsächlich Daten an das soziale Netzwerk fließen, können sie nicht kontrollieren.

Aufgrund dessen haben Datenschutzbehörden die Verwendung von Social Plugins bisher allgemein sehr kritisch gesehen. Von Bedeutung ist außerdem, dass die Nutzer über die Erhebung und weitere Verarbeitung der Daten in der Regel nicht informiert werden. Das ist jedoch nach § 13 Abs. 1 S. 1 TMG bereits zu Beginn des Nutzungsvorgangs zwingend erforderlich.

Der Umstand der fehlenden Nutzerinformation wurde auch von einem vielbeachteten Urteil des Landgerichts Düsseldorfkritisiert (LG Düsseldorf, Urteil vom 9. März 2016, Az.: 12 O 151/15). Im zu entscheidenden Fall sei der Nutzer der Website nicht ausdrücklich und unübersehbar über den Zweck der Erhebung und die Verwendung der übermittelten Daten informiert worden. Diese Praxis des zuvor von der Verbraucherzentrale abgemahnten Unternehmens wurde vom Gericht als Verstoß gegen geltendes Datenschutzrecht gewertet und letztlich als wettbewerbswidrig eingestuft.

Die Folgeinstanz (Berufung anhängig beim OLG Düsseldorf, Az.: I 20 U 14/16) hat jedoch, ähnlich wie das Bundesverwaltungsgericht (siehe oben) schon Zweifel daran geäußert, ob der Website-Betreiber in diesen Fällen überhaupt „verantwortliche Stelle“ im Sinne des § 3 Abs. 7 BDSG ist. Das Verfahren wurde mittlerweile ausgesetzt und wegen anderer Fragen dem EuGH zur Entscheidung vorgelegt.

Wenngleich die rechtliche Bewertung von Social Plugins nicht abschließend höchstrichterlich geklärt ist, sollten die Wertungen der Datenschutzbehörden und des LG Düsseldorfs weiterhin Beachtung finden. Um das rechtliche Risiko bei ihrer Verwendung zu reduzieren, bieten sich mehrere Möglichkeiten an. Mindestvoraussetzung dafür ist, dass in der Datenschutzerklärung auf die Erhebung der Daten durch Social Plugins hingewiesen wird.

Zum einen kann vor Aktivierung des Plugins die konkludente Einwilligung des Website-Besuchers durch eine Zwei-Klick-Lösungeingeholt werden. Hierbei sind die Plugins standardmäßig deaktiviert. Durch einen ersten Klick kann der Nutzer das Plugin aktivieren und damit konkludent erklären, dass er mit der Kommunikation mit dem Social-Media-Anbieter einverstanden ist. Durch das Berühren mit der Maus (sogenanntes Mouse-Over) wird ein kleines Textfeld eingeblendet, das über dieses Vorgehen informiert. Erst durch einen darauffolgenden zweiten Klick kann der Nutzer seine Empfehlung in Richtung des sozialen Netzwerkes schicken.

Verbreitet ist auch die Nutzung einer Ein-Klick-Lösung namens „Shariff“, die vom Computermagazin c’t entwickelt wurde. Die Plugin-Buttons sind dabei einfache HTML-Links, denen aber die Optik der Buttons des jeweiligen Sozialen Netzwerkes verliehen werden kann, wie etwa der „Gefällt mir“-Daumen bei Facebook. Klickt der Nutzer diesen Button an, wird der Inhalt an das soziale Netzwerk übermittelt. Es öffnet sich ein Pop-up, in dem der Nutzer nun noch einmal bestätigen muss, dass er seine Interaktion dem Anbieter des sozialen Netzwerkes mitteilen möchte.

Diese beiden Alternativen stellen derzeit die „best practice“ dar, die nach unserer Auffassung ein überschaubares Risiko bietet. Die größtmögliche Sicherheit wird jedoch bei Social Plugins nur durch das Einholen einer ausdrücklichen und den Vorgaben des § 4a Abs. 1 Satz 2 BDSG entsprechenden, informierten Einwilligung erreicht.

Der nächste Beitrag behandelt das ebenfalls datenschutzrechtlich relevante Thema der Facebook Custom Audiences.

Beitragsreihe Social Media-Recht (Erscheinungsweise: wöchentlich)
Teil 1: Das Impressum in sozialen Netzwerken (Grundlagen, Facebook, Twitter, YouTube)
Teil 2: Das Impressum in Karrierenetzwerken (XING, LinkedIn)
Teil 3: Datenschutzerklärung und Social Plugins
Teil 4: Facebook Custom Audiences
Teil 5: Nutzung von urheberrechtlich geschütztem Material
Teil 6: Nutzung fremder Marken und der Abbildungen von Personen
Teil 7: Risiken beim Sharen, Linken, Liken
Teil 8: Vorgaben für Gewinnspiele
Teil 9: Direkt- und Influencermarketing
Teil 10: Private Social Media-Nutzung und die Kündigung 2.0
Teil 11: Wem gehören Social Media-Kontakte?
Teil 12: Risiken im Social Media-Marketing für den Arbeitgeber
Teil 13: Digitale Unternehmenszugehörigkeit
Teil 14: Recruiting in Social Media
Teil 15: Rechtsfolgen bei Verstößen

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

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
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iSG9mZm1hbm4gTGllYnMgfCBGUFYiIHdpZHRoPSI4MDAiIGhlaWdodD0iNDUwIiBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkLzVabmhIMUc4TUFBP2ZlYXR1cmU9b2VtYmVkJnJlbD0wJmVuYWJsZWpzYXBpPTEmb3JpZ2luPWh0dHBzJTI1M0ElMjUyRiUyNTJGd3d3LmhvZmZtYW5ubGllYnMuZGUmY29udHJvbHM9MSIgZnJhbWVib3JkZXI9IjAiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlOyB3ZWItc2hhcmUiIGFsbG93ZnVsbHNjcmVlbj48L2lmcmFtZT4=
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iSW1hZ2VmaWxtIEhHUCB8IEhvZmZtYW5uIExpZWJzIiB3aWR0aD0iODAwIiBoZWlnaHQ9IjQ1MCIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLW5vY29va2llLmNvbS9lbWJlZC9VOHY1ZDVMN0d1WT9mZWF0dXJlPW9lbWJlZCZyZWw9MCZlbmFibGVqc2FwaT0xJm9yaWdpbj1odHRwcyUyNTNBJTI1MkYlMjUyRnd3dy5ob2ZmbWFubmxpZWJzLmRlJmNvbnRyb2xzPTEiIGZyYW1lYm9yZGVyPSIwIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZTsgd2ViLXNoYXJlIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+