Social Media und die europäische Datenschutzverordnung

Photo by Kelly Sikkema on Unsplash

Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) ist bereits seit 25. Mai 2018 in Kraft. Auch Schweizer Unternehmen müssen sich an die EU-DSGVO halten, sofern sie personenbezogene Daten von EU-Bürgern verarbeiten mit dem Ziel Dienstleistungen/Waren anzubieten und/oder deren User-Verhalten zu tracken.
Nähere Infos hierzu findest du auf der Seite des Staatssekretariats für Wirtschaft SECO.

Während die meisten Unternehmen die Verordnung in Bezug auf ihre Website bereits korrekt umsetzen, gibt es noch große Unsicherheiten in Bezug auf das Thema Social Media. Oft wird dieser Bereich vernachlässigt oder gar vergessen. Das Fehlen entsprechender Maßnahmen kann teure Folgen haben.

EU-Datenschutz: Diese Punkte sind zu beachten

Laut EU-DSGVO ist die Verarbeitung von Daten zur Reichweitenmessung oder zu Onlinemarketingzwecken gestattet, wenn diese sich in einem üblichen Rahmen bewegen und den Nutzer nicht beeinträchtigen.
Dabei sind nachfolgende Punkte zwingend zu beachten:

  • Alle Daten müssen pseudonymisiert werden, d.h. es dürfen keine personenspezifischen Daten wie z.B. Name, Telefonnummer, E-Mailadresse erfasst werden. Vorsicht ist geboten, da sich dies auch auf Aspekte wie Cookies, IP-Adressen oder Digital Fingerprints bezieht.
  • Viele Social-Media-Dienste verwenden Tracking-Tools / -Pixel, um Daten zu erfassen. Darüber muss der User auf der Seite klar unterrichtet werden. Es reicht also nicht aus, nur über die generelle Datenerfassung zu unterrichten, sondern Dienste wie Google, Facebook und Co. sollten explizit in der Datenschutzerklärung genannt werden.
  • Ein User muss die Option haben, der Datenverarbeitung zu widersprechen, also eine sogenannte Opt-Out-Funktion verfügbar sein.

 

Datenschutz und Social Media in der Praxis

  • Sobald eine Social-Media-Präsenz geschäftlich genutzt wird, gilt die Impressumspflicht nach § 5 Telemediengesetz. Prüfe daher all deine Kanäle auf die Vollständigkeit deiner Angaben.
  • Social Media Buttons übermitteln meist bereits beim Laden einer Website Informationen, was der EU-DSVGO widerspricht. Gehst du z.B. auf die Website eines neuen Kinofilms und verteilst dort ein Facebook-Like, so wird deine IP-Adresse und deine URL ausgewertet. Loggst du dich später bei Facebook ein, so kannst du Werbung für genau diesen Film sehen, etwa zum Kauf einer Kinokarte. Um dieses Problem zu umgehen gibt es zwei Optionen:
  1. Du kannst einen zweistufigen Klickmechanismus einführen, sodass vor dem Abgeben eines Likes der Button erst aktiviert werden muss, z.B. durch vorheriges Anklicken eines Aktivierungskästchens mit entsprechender Einverständniserklärung der Datenübertragung. Diese Variante ist sehr sicher – aber nicht sexy. Der zusätzliche Klick stellt eine kleine, zusätzliche Hürde in der Customer Journey dar. Des Weiteren ist z.B. der Like-Button von Facebook bereits als gelerntes Instrument in den Köpfen der User verankert. Eine veränderte Mechanik mit anderem Design kann daher zu einer weiteren Reduzierung der Interaktionsquote der User führen. Die Funktion ist tadellos, hier liegt es am jeweiligen Betreiber, diese entsprechend userfreundlich und attraktiv umzusetzen.
  2. Eine elegante Lösung bietet Shariff, ein Logo Shariff pen-Source-Programm, das von c’t und heise online entwickelt wurde. Dabei wird der User nicht direkt beim Besuch der
    Website getrackt, sodass keine personenbezogenen Daten erfasst werden. Erst wenn der User aktiv auf einen Button klickt, wird das Tracking aktiviert. Der Vorteil zu Option 1 besteht also darin, dass es optisch und in Bezug auf die Usability für den User nach der gelernten, alten Methode anmutet, technisch dahinter aber ein Tool arbeitet, das DSVGO-konform ist.
  • Das Einbinden von Posts oder ganzen Social-Widgets ist grundsätzlich gestattet, sofern dabei keine Beiträge veröffentlicht werden, die nur einem vordefinierten Personenkreis zur Verfügung gestellt wurden, sondern öffentlich einsehbare Informationen.
  • Wenn du einen Social-Media-Kanal betreibst, so musst du diesen auch im Verarbeitungsverzeichnis listen. Dort wird erläutert, welche Daten erfasst, zu welchem Zweck verarbeitet und genutzt und wie lange diese gespeichert werden.
  • Während eine Personenrecherche und Anfragen auf Geschäftsplattformen wie Xing und LinkedIn regelmäßig kein Problem darstellen, sollte dies in privaten Netzwerken wie Facebook dringend vermieden werden.
  • Exkurs WhatsApp: Auf dem Geschäftstelefon gespeicherte Kontakte werden ohne Einwilligung der Person an WhatsApp übertragen, was einen Verstoß gegen die EU-DSVGO darstellt. Möchtest du diesen Dienst geschäftlich nutzen, so sollte von der jeweiligen Person eine explizite Einwilligung eingeholt werden.

 

Social Media kann Stolperfallen bezüglich der richtigen Umsetzung der EU-DSVGO beinhalten. Überprüfe alle deine Kanäle und führe ggf. Korrekturen durch, damit auch in Zukunft deine Like- und Share-Buttons von den Usern zum Glühen gebracht werden können.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here