Maksim Kabakou - Fotolia
DSGVO/GDPR: Der richtige Umgang mit sozialen Netzwerken
Soziale Netzwerke sind seit langem ein Datenschutzthema. Für Behörden wurde ein Handlungsrahmen für Social Media veröffentlicht, der auch Unternehmen eine Orientierung bieten kann.
Soziale Netzwerke verbinden Menschen, die darüber Daten austauschen können. Alleine diese Tatsache macht deutlich, dass Facebook & Co. ein Thema für den Datenschutz sind. In den letzten Jahren und Monaten hat es maßgebliche Entscheidungen rund um Facebook und den Datenschutz gegeben, darunter die gemeinsame Verantwortung von Facebook und Fanpage-Betreibern (PDF). Es gibt also einiges zu beachten, wenn sich Unternehmen oder Behörden innerhalb von sozialen Netzwerken wie Facebook präsentieren wollen.
Die Aufsichtsbehörden für den Datenschutz stellten zum Beispiel im April 2019 fest: Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.
Doch was sollen Unternehmen und Behörden beachten, wenn sie in sozialen Netzwerken aktiv sind und die DSGVO (Datenschutz-Grundverordnung) nicht verletzen wollen? Für Behörden haben nun Aufsichtsbehörden für den Datenschutz einen Leitfaden veröffentlicht. Diese Hinweise darin sind aber auch für Unternehmen interessant und können weitere Orientierung geben.
Soziale Netzwerke sind relevante Kommunikationskanäle
Soziale Netzwerke wie Facebook, Twitter, Instagram oder YouTube sind zu einem wesentlichen Bestandteil im beruflichen und privaten Informations- und Kommunikationsverhalten vieler Nutzerinnen und Nutzer geworden, erklärt zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Für öffentliche Stellen bilden sie demnach relevante Kommunikationskanäle. Durch das Betreiben von Auftritten in sozialen Netzwerken tragen öffentliche Stellen aber auch dazu bei, dass personenbezogene Daten der Nutzerinnen und Nutzer ihrer Angebote an die jeweiligen Plattformbetreiber gelangen, die sie häufig (auch) zu eigenen, von der Nutzung unabhängigen Zwecken weiter verarbeiten.
Diese Feststellung gilt natürlich auch für Unternehmen, die sich in Facebook & Co präsentieren und dort kommunizieren.
Verantwortung für den Datenschutz wahrnehmen
Öffentliche Stellen, die eine Facebook-Fanpage betreiben, sind selbst als datenschutzrechtlich Verantwortliche zu sehen, so auch der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 5. Juni 2018. Das gilt natürlich auch für Unternehmen. Die Fanpage-Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen.
Mit Urteil vom 11. September 2019 stellte das Bundesverwaltungsgericht (BVerwG) klar, dass die Datenschutzaufsichtsbehörden gegen die Betreiber von Facebook-Fanpages selbst vorgehen können, wenn bei dem Betrieb von Facebook-Fanpages Datenschutzverstöße begangen werden.
Damit es möglichst zu keinen Datenschutzverstößen kommt, sollten sich Behörden den aktuellen Handlungsrahmen für die Nutzung von Social Media genau ansehen und diesen beherzigen. Unternehmen können sich darin auch informieren.
Datenschutz bei Online-Präsenzen in sozialen Netzwerken
Wer sich (als öffentliche Stelle) mit einer Seite in einem sozialen Netzwerk präsentiert, soll laut Aufsichtsbehörden für den Datenschutz unter anderem diese Punkte beachten:
- Jeder Seitenbetreiber muss eine datenschutzrechtliche Rechtsgrundlage vorweisen können.
- Vor der Nutzung eines sozialen Netzwerks muss die öffentliche Stelle ein Konzept erstellen, welches Zweck, Art und Umfang der vorgesehenen Nutzung Sozialer Netzwerke durch die öffentliche Stelle beschreibt, die Gründe der Entscheidung für das gewählte soziale Netzwerk darstellt sowie Verantwortlichkeiten für die redaktionelle/technische Betreuung und die Wahrnehmung der Rechte der Betroffenen nach DSGVO festlegt. Dabei muss erkennbar sein, welche Vorteile sich die jeweilige Stelle für ihre Aufgabenerfüllung durch die Nutzung erhofft beziehungsweise welche Nachteile durch einen Verzicht entstehen würden.
- Die datenschutzrechtlichen Transparenzgebote müssen eingehalten werden (Stichwort Datenschutzerklärung, Impressum).
- Soweit Seitenbetreiber mit dem Plattformbetreiber zusammen gemeinsam verantwortlich für Datenverarbeitungen sind, muss dazu eine vertragliche Vereinbarung getroffen werden.
- Behördliche Stellen müssen alternative Informations- und Kommunikationswege anbieten, damit die Nutzer nicht in Soziale Netzwerke hineingezwungen werden. (Unternehmen sollten sich daran sicherlich ein Beispiel nehmen)
- Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Nutzer muss respektiert werden (zum Beispiel Einstellungen zu Cookies, Do-Not-Track, Deaktivierung von Standortdaten).
- Im Rahmen des Konzepts ist auch eine Abschätzung der Konsequenzen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten vorzunehmen.
- Das Konzept sollte anhand der gemachten Erfahrungen regelmäßig, mindestens jährlich auf Erforderlichkeit und Ausmaß der Nutzung des Sozialen Netzwerks evaluiert werden.
Sind diese Anforderungen aktuell bei der Nutzung Sozialer Netzwerke durch Behörden nicht erfüllt, so muss jetzt umgehend nachgebessert werden, so die Aufsichtsbehörden. Dies setzt die Kooperation des jeweiligen Plattformbetreibers voraus. Kooperiert der Plattformbetreiber mit der Behörde nicht und gelingt es dieser nicht, die einschlägigen Vorgaben zu erfüllen, so ist die Plattform zu verlassen. Auch hieran sollten sich Unternehmen nicht nur ein Beispiel nehmen, sie müssen es auch.
Den Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen findet man im Internet zum Beispiel hier (PDF).