Suchen

Social Media als Unternehmen und Datenschutz

Social-Media-Präsenz von Unternehmen – so geht’s datenschutzkonform

von Franziska Schumann (Kommentare: 0)

Sichtbar in Social Media? Ja, gerne, aber nur datenschutzkonform.

Social-Media bietet Ihrem Unternehmen enorme Chancen. Sie wollen die Social-Media-Präsenz Ihres Unternehmens verbessern? Wie präsentieren Sie Ihr Unternehmen in sozialen Netzwerken? 80 Prozent der deutschen Unternehmen sind bereits auf Social-Media-Plattformen aktiv. Diese steigern die Bekanntheit, verbessern das Image oder bieten Kundenservice an. Das geht, aber bitte datenschutzkonform!

Warum Datenschutz Ihren Social-Media Erfolg mitbestimmt

Sie haben es sicher auch schon öfter gehört: Social-Media-Plattformen und Datenschutz passen nicht immer gut zusammen. Viele Datenschutz-Experten sprechen vom „Privatsphären-Dilemma“. Man steht zum einen vor der Herausforderung, dass man das eigene Unternehmen präsentieren möchte, andererseits muss man aber auch die Rechte der eigenen Kundinnen und Kunden sowie Mitarbeitenden schützen.

Welche datenschutzrechtlichen Aspekte sind zu beachten, wenn Sie Ihr Unternehmen wirksam auf Social-Media voranbringen wollen? Was ist mit Anzeigen, Gewinnspielen oder einfach nur einer Kontaktaufnahme über Social Media? Wir zeigen Ihnen, welche Aspekte unbedingt beachtet werden sollten.

Rechtsgrundlagen der Verarbeitung

  • Jede Verarbeitung personenbezogener Daten im Rahmen des Social-Media-Auftritts muss auf einer gültigen Rechtsgrundlage basieren, etwa der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Werbe-, Analyse- oder Tracking-Zwecke oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei eine Interessenabwägung und Widerspruchsmöglichkeit erforderlich ist.
  • Bei der Veröffentlichung von Mitarbeiterfotos ist zusätzlich eine Einwilligung nach §§ 22, 26 BDSG erforderlich.

Mehr über das Thema Fotos finden Sie in unseren Blogartikeln: „Fotos von Mitarbeitenden auf der Unternehmens-Website" oder „Darf man einfach so jemanden fotografieren ohne um Erlaubnis zu fragen?"

Transparenz und Informationspflichten

  • Auch auf Social-Media-Plattformen müssen Datenschutzerklärung und Impressum leicht auffindbar sein – nicht nur auf der Unternehmenswebsite.
  • Betroffene müssen umfassend und verständlich über die Verarbeitung ihrer Daten informiert werden, insbesondere mittels einer aktuellen und leicht auffindbaren Datenschutzerklärung, die die Einbindung von Social-Media-Diensten, Art, Umfang, Zweck und Empfänger der Datenverarbeitung klar darstellt (Art. 13, 14 DSGVO).
  • Auch Social-Media-Profile benötigen ein vollständiges Impressum gemäß § 5 DDG (ehemals TMG).

Gemeinsame Verantwortlichkeit

  • Bei Nutzung von Social-Media-Plattformen (z. B. Facebook, Instagram, LinkedIn) besteht regelmäßig eine gemeinsame Verantwortlichkeit mit dem Plattformbetreiber (Art. 26 DSGVO). Es ist eine Vereinbarung abzuschließen, die wesentlichen Inhalte müssen veröffentlicht werden und die Betroffenen müssen entsprechend informiert werden.

Einwilligungserfordernisse

  • Ein DSGVO-konformes Consent-Management-Tool (z. B. Cookie-Banner) muss bei Integration auf der eigenen Website eingesetzt werden.
  • Für Tracking und Analyse durch Tools (z. B. Facebook Pixel, Cookies, vergleichbare Technologien) ist vor Beginn der Verarbeitung eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bzw. § 25 TDDDG einzuholen. Dies gilt auch für Profilbildung und individualisierte Ansprache.

Rechte der Betroffenen

  • Es müssen klare Prozesse zur Ausübung der Betroffenenrechte (Art. 15 – 22 DSGVO) bestehen: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Die Umsetzung dieser Rechte ist auch auf Social-Media-Plattformen sicherzustellen.

Auftragsverarbeitung

  • Wird ein externer Dienstleister z. B. eine Agentur für die Content-Erstellung oder Social-Media-Management eingebunden, ist ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO erforderlich.

Speicherfristen: Kontaktaufnahme und Kommunikation über Social Media

  • Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Nach Wegfall des Zwecks oder auf Verlangen des Betroffenen (Art. 17 DSGVO) sind die Daten zu löschen.
  • Bei Kontaktaufnahme durch Nutzer über Social Media müssen die Daten vertraulich behandelt und nach den gesetzlichen Fristen gelöscht werden. Aufbewahrungsfristen sind je nach Inhalt zu beachten (z. B. 6 Jahre nach § 257 HGB, 10 Jahre nach § 147 AO, Löschung nach Zweckerreichung gemäß Art. 17 DSGVO).
dacuro Männchen Datenschutz Idee

Datentransfer in Drittländer

  • Bei Nutzung von US-basierten Diensten (z. B. Meta, Google) ist die Übermittlung personenbezogener Daten in Drittländer gemäß Art. 44 ff. DSGVO zu prüfen. Erforderlich sind Angemessenheitsbeschluss, Standardvertragsklauseln oder andere geeignete Schutzmaßnahmen.

Datensicherheit

  • Es sind angemessene technische und organisatorische Maßnahmen zum Schutz der Social-Media-Konten zu treffen. Die Social-Media-Aktivitäten sollten nach dem Prinzip „Privacy by Design & by Default“ gestaltet werden. Folgende Sicherheitsmaßnahmen sind zu treffen:
    • Minimierung der Datenverarbeitung
    • sichere Passwörter & Zwei-Faktor-Authentifizierung
    • Zugriffsbeschränkungen für Admins
    • Rollen- und Berechtigungskonzepte 

Besondere Kategorien personenbezogener Daten

  • Die Veröffentlichung sensibler Daten (z. B. Gesundheitsdaten, politische Meinungen) ist grundsätzlich untersagt bzw. nur unter engen Voraussetzungen nach Art. 9 DSGVO zulässig.

Gewinnspiele und Kampagnen

  • Die Verarbeitung von Teilnehmerdaten darf nur nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erfolgen. Die Speicherung ist auch nur bis zum Abschluss des Gewinnspiels möglich, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Schulung der Mitarbeitenden

  • Alle, die mit Social-Media arbeiten, sollten regelmäßig zu Datenschutzthemen geschult werden.

Rechtsprechung und behördliche Hinweise

  • Der EuGH hat im Urteil vom 5.6.2018 (C-210/16) und weiteren Entscheidungen die gemeinsame Verantwortlichkeit von Unternehmen und Plattformen bei Social Media-Präsenzen bestätigt.
  • Die Urteile des LG Köln (Az. 15 O 148/20) und des OLG Dresden (4 U 1050/21) verdeutlichen die Anforderungen an Datenschutzinformationen und an die Impressumspflicht auf Social Media.
  • Die Datenschutzkonferenz (DSK) und weitere Behörden fordern die datenschutzkonforme Einbindung von Drittanbieter-Tools und weisen auf Abmahnrisiken bei Verstößen hin.

Fazit

Was sollten Sie jetzt tun? Schauen Sie, ob in Ihrem Unternehmen die Themen Datenschutz und Social-Media bereits im Einklang sind. Prüfen Sie Ihre aktuellen Aktivitäten und Profile auf rechtliche Risiken.

Sie sind sich nicht sicher, ob Sie den Check alleine umsetzen können? Dann holen Sie sich bei Untersicherheiten professionelle Unterstützung, damit Sie Social-Media ohne unnötige Risiken nutzen können.

Wir helfen gerne mit einem Check auf Datenschutzkonformität Ihrer Social Media Kanäle und Website. Kontaktieren Sie uns direkt!

 

 

Quellen:

1) https://curia.europa.eu/juris/document/document.jsf;jsessionid=86E5EEC6F20B47C7AB811A6993B5EA0A?text=&docid=195902&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=3620286

2) https://nrwe.justiz.nrw.de/lgs/koeln/lg_koeln/j2023/14_O_41_22_Urteil_20230511.html

dacuro GmbH

Datenschutz umfasst, neben den technisch-organisatorischen Maßnahmen, die grundlegender Bestandteil der IT-Sicherheit sind, weitere Themenschwerpunkte, bei denen die dacuro GmbH ihre Kunden unterstützt. Hierunter fallen, neben den klassischen Verzeichnissen der Verarbeitungstätigkeit, alle weiteren Themen wie Pflichtinformationen, die Prüfung von AV-Verträgen und die Sensibilisierung und Schulung der Mitarbeiter. Auch die Prüfung von Webseiten ist ein Schwerpunkt-Bereich von uns, der nicht nur den Datenschutz abdeckt, sondern auch das Vertrauen Ihrer Kunde und die damit verbundene Kundenzufriedenheit und Kundenbindung stärkt (z. B. bei Online-Shops oder Vergleichsportalen). Wir betreuen unterschiedliche Branchen vollumfänglich zum Datenschutz und stellen für diese den externen Datenschutzbeauftragten. Tatsächlich ist auch die dacuro GmbH gem. DIN EN ISO/IEC 17024 zertifiziert, wodurch wir unsere fortlaufende Weiterqualifizierung gewährleisten. Sollten Sie Fragen zum Thema haben, sprechen Sie uns an.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 5 und 3.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.