Beschäftigtendatenschutz: Social Media und E-Mail-Nutzung / 1.4 Datenschutzrechtliche Pflichten bei eigener Social Media-Präsenz

Kaum ein Unternehmen kommt heute noch ohne Social Media-Präsenz aus. Vielmehr sind Social Media-Seiten für viele Unternehmen ein wichtiger Faktor, um von ihrer Zielgruppe (Bewerber, Kunden) gefunden zu werden. Auch das Datenschutzrecht stellt an den Betrieb solcher Social Media-Präsenzen ("Fanpages", "Unternehmensprofile", "Businesspofile") Anforderungen.

1.4.1 Datenschutzrechtliche Rolle beim Betrieb einer Fanpage

Lange Zeit war in der Literatur umstritten, welche Rollen den Unternehmen beim Betrieb eines Unternehmensprofils oder einer Fanpage einerseits und den Anbietern sozialer Netzwerke andererseits zukommen.

Spätestens mit der Entscheidung "Fashion-ID"^[1] hat der Europäische Gerichtshof diese Frage beantwortet. In dem Urteil betont der EuGH, dass der Betreiber einer Website grundsätzlich für alle Verarbeitungen personenbezogener Daten verantwortlich ist, auch wenn diese nicht von ihm selbst, sondern vom Betreiber des Netzwerks durchgeführt werden.

Der Europäische Datenschutzausschuss (EDSA) fordert in seinen "Leitlinien 07/2020 zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" in der DSGVO"^[2], dass "der Begriff "Verantwortlicher" hinreichend weit ausgelegt werden [soll]". Damit soll erreicht werden, dass "ein möglichst wirksamer und vollständiger Schutz der betroffenen Personen gefördert werden soll."

Vor diesem Hintergrund sind Unternehmen, die eine Fanpage betreiben, und Anbieter sozialer Netzwerke als "gemeinsam Verantwortliche" einzustufen. Die Einstufung erfordert den Abschluss einer entsprechenden Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

[1] EuGH, Urteil v. 29.7.2019, C-40/17, abrufbar unter https://curia.europa.eu/juris/document/document.jsf?text=[docid]=216555[pageIndex]=0[doclang]=de[mode]=lst[dir]=[occ]=first∂=1[cid]=883833.

[2] Abrufbar unter https://edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.

1.4.2 Erfordernis der Einwilligung

Mit der Bereitstellung einer Fanpage oder eines Unternehmensprofils übernehmen die Unternehmen als Betreiber die Rolle eines Anbieters von Telemedien nach § 2 Abs. 2 Nr. 1 TTDSG. Werden beim Besuch dieser Seite Informationen auf den Endgeräten der Endnutzer gespeichert oder aus diesen ausgelesen (wie dies z. B. bei der Verwendung von Cookies der Fall ist), bedarf dies nach § 25 Abs. 1 TTDSG der vorherigen Einwilligung der Endnutzer, wenn die Speicherung bzw. das Auslesen nicht unbedingt erforderlich ist.

Die Unternehmen müssen also sicherstellen, dass beim Betrieb des Unternehmensprofils durch den "Cookie-Consent-Manager" des sozialen Netzwerks eine entsprechende Einwilligungserklärung von den Nutzern eingeholt wird. Dies dürfte in der Praxis jedoch selten der Fall sein, da die meisten Anbieter von sozialen Netzwerken nicht gerade mit Transparenz glänzen. Für das soziale Netzwerk facebook stellte die Deutsche Datenschutzkonferenz in einem Kurzgutachten^[1] fest, dass zum Zeitpunkt der Untersuchung keine ausreichende Einwilligungserklärung eingeholt wird.

[1] https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK-Kurzgutachten-Facebook.pdf?__blob=publicationFile&v=3.

1.4.3 Datenschutzhinweise für Fanpage

Beim Betrieb der Fanpage oder eines Unternehmensprofils werden zwangsläufig personenbezogene Daten verarbeitet. Daher ist der Betreiber einer Fanpage nach Art. 13 DSGVO verpflichtet, die Nutzer in transparenter Art und Weise über die Verarbeitung der personenbezogenen Daten aufzuklären.

Auch dies dürfte sich in der Praxis als schwer zu erfüllen darstellen, da dies eine vorherige Transparenz der Anbieter sozialer Netzwerke erfordert.

1.4.4 Zusammenfassung

Der Betrieb einer Fanpage oder eines Unternehmensprofils stellt für Unternehmen ein gewisses datenschutzrechtliches Risiko dar. Um den oben skizzierten Anforderungen gerecht zu werden, bedarf es der Unterstützung durch den Anbieter des jeweiligen sozialen Netzwerks.

Die Datenschutzkonferenz geht in ihrem "Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages"^[1] davon aus, dass zumindest der Betrieb einer facebook-Fanpage nicht mit den Vorschriften aus der DSGVO bzw. dem TTDSG in Einklang zu bringen ist. Folglich wäre der Betrieb einer solchen Fanpage unzulässig und könnte demzufolge mit einem entsprechenden Bußgeld geahndet werden. Allerdings scheinen sich die Aufsichtsbehörden mit möglichen Unterlassungsansprüchen schwerzutun, konkrete Unterlassungsverfügungen gegen Unternehmen sind dem Autor nicht bekannt.

Betreiber sollten jedoch alle risikominimierenden Maßnahmen ergreifen, insbesondere entsprechende Verträge mit den Endnutzern abschließen und eine entsprechende Datenschutzerklärung vorhalten.

[1] A. a. O.