Im Social-Media-Marketing werden die Anforderungen der DSGVO oft missachtet, teure Abmahnungen sind die Folgen.

Häufige Fehler beim Einsatz von Social Media.

  1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart
  2. Nutzer werden unzureichend informiert
  3. Die Anforderungen des TTDSG werden nicht erfüllt
  4. Missachtung der DSGVO bei der Übermittlung von Daten an Drittländer

Dieser Blog nennt häufige Beispiele aus der Praxis für Social-Media-Marketing und die hierfür geltenden Datenschutz-Vorschriften

Zu 1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart.
Auftragsverarbeitung für die Verarbeitung von personenbezogenen Informationen (AVV), (Art. 28 DSGVO).

3 Beispiele von Datenverarbeitung, welche in die AVV´s gehören und für die Betroffene einwilligen müssen.

Erstes Beispiel: Custom Audiences über Datendatei mit Facebook

Als Custom Audiences bezeichnet man Zielgruppen, die Werbetreibende für Marketing-Maßnahmen bei Facebook erstellen können. Durch dieses Targeting wird eine zielgerichtete Ansprache vereinfacht; die Nutzer profitieren von der Einblendung relevanter Anzeigen.

Die Daten, mit denen die Zielgruppen definiert werden, lädt der Werbetreibende selbst hoch.

Durch diese Möglichkeit ist Facebook als Werbeplattform wesentlich interessanter geworden – zuvor waren Anzeigen breit gestreut, das einzige Targeting war die Teilhabe der Nutzer an der Plattform selbst.

Zweites Beispiel:  Messungen und Analysen

Messung der Performance und Reichweite einer Werbekampagne.

Drittes Beispiel: Workplace by Meta (Facebook)

Workplace ist ein von Meta Platforms entwickeltes kollaboratives Online-Softwaretool. Es erleichtert die Online-Gruppenarbeit, Instant Messaging, Videokonferenzen und den Austausch von Nachrichten.

Zu beachten ist auch, ob die Verantwortung für die Datenverarbeitung andere Unternehmen mit einbezieht.

Gemeinsame Verantwortung

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der Verarbeitung fest sowie deren Mittel, so sind sie gemeinsam Verantwortliche (Art. 26 DSGVO).

Urteil zu Facebook Insights
EuGH vom 5. Juni 2018 (Az. C-210/16):
Mit Facebook-Insights kann der Betreiber der Fanpage anonymisierte statistische Daten der Page-Nutzung einsehen, wobei Facebook aber die Möglichkeit hat, die Besucher zu identifizieren.

Gemeinsame Verantwortlichkeit. Auf die richtige Einstellung bzw. die richtige Formulierung kommt es an.

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und vereinbaren Sie entsprechend datenschutzrechtlichen Verträge mit den Social Media Unternehmen.

Für die meisten liegen fertige Vertrags-Texte vor.

Fazit: Sobald ein Unternehmen die Verarbeitung eines anderen Verantwortlichen veranlasst und dadurch von den Ergebnissen profitiert, ist auch ohne Zugang zu den verarbeiteten Informationen eine gemeinsame Verantwortlichkeit gegeben!

zu 2: Nutzer wird unzureichend informiert

Bei der Direkterhebung von personenbezogenen Daten, müssen die Betroffenen informiert werden. Diese Informationen müssen für die Betroffenen klar formuliert werden:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters, ggf. Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck und Rechtsgrundlage
  • Bestehen einer gesetzlichen oder vertraglichen Pflicht zur 
Bereitstellung der Daten,

ggf. Empfänger
ggf. Drittlandübermittlung
ggf. berechtigtes Interesse
ggf. Speicherdauer
ggf. Betroffenenrechte
ggf. Widerrufsrecht

  • Beschwerderecht gegenüber Aufsichtsbehörde
  • Automatisierte Entscheidungsfindung („Profiling“)

Bei Dritterhebung müssen diese Informationen zusätzlich gegeben werden:

  • Kategorien der verarbeiteten Daten
  • Herkunft der Daten

 Tulos Experten können prüfen welche Informationen erhoben und verarbeitet werden und dafür Mustertexte für die Informationen zur Verfügung stellen.

 zu 3. Die Anforderungen des TTDSG werden nicht erfüllt

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit dem 1. Dezember 2021 in Kraft, sie gilt für alle.
Also jede natürliche oder juristische Person die Telemedien anbieten, zum Beispiel auf Webseiten. Relevant sind eigene oder fremde Telemedien sein. Auch bei der Mitwirkung an der Erbringung oder die Vermittlung eines Zugangs zur Nutzung von eigenen oder fremden Telemedien fällt unter die Regelung der TTDSG.

Beispiel: Betreiber/innen von Facebook‐Fanpages sind als Telemedienanbieter zu betrachten.

Das Speichern und Auslesen von Cookies im Endgerät des Nutzers ist nur mit einer Einwilligung erlaubt.

 Wenn Sie Betreiber einer Facebook-Fanpage sind, sind Sie für Cookie-Banner mitverantwortlich. Wenn dieser nicht die Anforderungen des TTDSG erfüllt, riskiert das Unternehmen hohe Strafen. Ein Verstoß kann zum Beispiel die Erschwerung für Nutzer, den Einsatz von Cookies auf den Webseiten abzulehnen sein.

zu 4. Bei der Übermittlung von Daten an Drittländer

Ein Drittland ist ein Land in dem die DSGVO kein geltendes Recht ist. Also Länder wie USA, Großbritannien, Indien, wo viele Anbieter von „Software-as-a-Service (SAAS)“ ihre Server haben.
Die Regel ist einfach: Das europäische Schutzniveau muss auch bei Datenübermittlungen in Drittländer eingehalten werden.

Das ist bei großen amerikanischen Social Media Konzernen oft ein Problem, denn

  1. Neue Standardvertragsklauseln der EU-Kommission müssen bis 27.12.2022 abgeschlossen sein. Sie werden aber nicht von allen Social Media Anbietern zur Verfügung gestellt.
  2. Viele Social Media Anbieter stellen keine Informationen zu durchgeführten Transfer Impact Assessment (TIA) zur Verfügung.

Social-Media-Plattformen mit Drittlandübermittlung

Fazit

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und erledigen Sie die hierfür alle Maßnahmen, welche die DSGVO und TTDSG vorschreiben. Das ist in vielen Fällen gar nicht so schwierig. Für die meisten liegen fertige Vertrags-Texte vor.

Tulos Datenschutz-Pakete, auf die Sie sich verlassen können, Erstgespräch kostenlos