Social Media und DSGVO: 7 Tipps für die Umsetzung

Social Media-Kanäle nehmen auch im Stadtmarketing eine immer wichtigere Rolle ein. Mit dem Inkrafttreten der DSGVO wurden neue Regelungen geschaffen, die Anpassungen in Hinblick auf die Nutzung von Facebook & Co. mit sich gebracht haben.

Wie man die Umsetzung der DSGVO aktuell beim Social Media Marketing handhabt, erfahren Sie im Folgenden.

1. Einbindung von Social Media Plugins

Die Einbindung von Social Media-Buttons auf Websites über unterschiedlichste Plugins ist laut ExpertInnen der Wirtschaftskammer weiterhin möglich, wenn man in der Datenschutzerklärung auf der Website über die Datensammlung der einzelnen Social Media-Dienste informiert.

Dieses Vorgehen ist nicht zur Gänze neu, da bereits vor der DSGVO auf Social-Plugins hingewiesen werden musste. Nachfolgend der Datenschutzhinweis der Stadtgemeinde Weiz als Beispiel für die Umsetzung des Datenschutzhinweises.

Viele Datenschutz-ExpertInnen, insbesondere in Deutschland, bewerten Social Media-Buttons allerdings insofern als problematisch als bereits das Laden der Website Daten an die sozialen Netzwerke übermittelt.

Man müsse daher streng genommen eine Einwilligung zu dieser Datenverarbeitung einholen, bevor die Übermittlung erfolgt, also schon vor Laden der kritischen Inhalte.

Eine Lösung für dieses Problem bietet die Zwei-Klick- oder Shariff-Lösung (Ein-Klick). Dabei werden Daten erst dann an die sozialen Netzwerke übermittelt, wenn der/die NutzerIn aktiv auf den Social Media-Button klickt.

Die eigene Aktivität gilt nach allgemeiner Auffassung als Einwilligung in die Datenübertragung. Wer also neben dem Datenschutzhinweis auf der Website die Plugins datensparsam gestalten möchte, kann auf diese Lösung zurückgreifen.

Wie ein Hinweis auf Shariff aussehen könnte, zeigt nachfolgender Passus, der mittels eines Generators für DSGVO-konforme Muster-Datenschutzerklärungen erstellt wurde:

2. Einbindung von Posts und Social Widgets

Neben Social Media-Buttons werden auf einer Website oft auch Inhalte von Social Media-Plattformen eingebunden. Vom einzelnen Facebook-Post oder Tweet bis hin zu ganzen Social-Widgets, bei denen alle Einträge zu einem bestimmten Hashtag angezeigt werden.

Es gibt derzeit hierzu zwar keine konkrete Richtlinie, folgende Vorgangsweise gilt aber als zulässig:

Die Einbindung ist grundsätzlich gestattet, wenn man dabei nur öffentlich einsehbare Postings anzeigt. Wenn also personenbezogene Daten öffentlich und für jedermann vom Betroffenen selbst öffentlich zugänglich gemacht wurden, dürfen diese in aller Regel auch verwendet werden.

Die Veröffentlichung von Beiträgen, die durch die Privatsphäreeinstellungen nur einem eng definierten Personenkreis zugänglich sind, ist nicht erlaubt.

3. Facebook Fanpage

Große Unsicherheit herrscht derzeit aufgrund des EuGH-Urteils vom 5.6.2018 im Hinblick auf Facebook Fanpages, wonach FanpagebetreiberInnen gemeinsam mit Facebook für die Verarbeitung der NutzerInnendaten verantwortlich sind.

Denn das bedeutet, dass BetreiberInnen einer Fanpage umfangreiche datenschutzrechtliche Pflichten erfüllen müssen und für Datenschutzverstöße durch Facebook haften könnten.

Im Verfahren ging es um eine Fanpage der Wirtschaftsakademie Schleswig-Holtstein GmbH. Im Rahmen dieser Fanpage verarbeitet der Betreiber (über Facebook Insights, und ohne die Möglichkeit, dies zu unterbinden) personenbezogene Daten der BesucherInnen der Fanpage.

Die zuständige deutsche Aufsichtsbehörde vertrat die Meinung, dass die Nutzung der Fanpage datenschutzrechtlich nicht korrekt erfolgt. Facebook bietet jedoch keine Möglichkeit, die Datenerhebung von Fanpages anzupassen. Aus diesem Grund wollten viele Unternehmen ihre Fanpages stilllegen oder löschen.

Als Ergebnis der kürzlich erfolgten Bestätigung des Urteils durch den EuGH, hat das Unternehmen nun eine Vereinbarung über Datenverarbeitungsaktivitäten veröffentlicht, die darauf abzielt, diesem Urteil nachzukommen.

Auch gibt es jetzt bei Facebook Fanpages die Möglichkeit die Datenschutzerklärung von Facebook zu verlinken. Datenschutz-ExpertInnen bewerten diese Maßnahmen allerdings als unzureichend.

Vor diesem Hintergrund hat Facebook bereits angekündigt, die notwendigen Schritte zu unternehmen, um Fanpage BetreiberInnen eine Möglichkeit zu bieten, ihren rechtlichen Verpflichtungen nachzukommen.

Vermutlich wird sich Facebook nicht auf einzelne Vereinbarungen einlassen, sondern Fanpage-BetreiberInnen künftig ein universelles Vereinbarungsformular und eventuell ein eigenständiges, DSGVO-konformes Nutzungsmodell gegen Entgelt anbieten.

Bis dahin bleibt die Nutzung von Facebook-Fanpages in der aktuellen Form also vorerst DSGVO-widrig, sodass die einzige hundertprozentig rechtssichere Lösung nur in der vorübergehenden Deaktivierung der Fanpage liegen würde. Firmen mit einer Facebook-Präsenz sollten das Thema jedenfalls aufmerksam verfolgen.

Update 26.9.2018: Facebook hat inzwischen reagiert und stellt mit dem page controller addendum Informationen zu Insights zur Verfügung. Informatioen zur weiteren Vorgangsweise finden Sie in einer Stellungsnahme des Datenschutzexperten Dr. Mag. Thomas Schweiger.

4. Auswirkungen des Urteils auf andere Social Media

Auch wenn das Urteil des EuGH eine Facebook-Fanpage zum Gegenstand hatte, lassen sich die die Entscheidung tragenden Argumente auch auf andere soziale Netzwerke wie z.B. WhatsApp, YouTube, Twitter, Instagram, etc. übertragen. Sofern Unternehmen zwecks Marketing durch die zur Verfügung gestellten Tools personenbezogene Daten erheben.

5. Einsatz von Facebook Pixel zur Zielgruppenanalyse

Der Facebook-Pixel ist ein Website-Plugin, mit dem man den Erfolg einer Facebook-Werbeanzeige messen kann. Das Tracking selbst erfolgt per Cookie, also nicht über den Facebook-Pixel selbst.

Wenn das Ziel einer Facebook-Kampagne beispielsweise die Bekanntmachung einer Veranstaltung ist, dann kann man über den Facebook Pixel nachvollziehen, welche NutzerInnen die Anzeige angeklickt haben und sich z.B. die Veranstaltungsdetails auf der Website angesehen oder den Veranstaltungsfolder downgeloadet haben.

Der Website-Betreiber kann also detailliert tracken, welchen Weg der/die Facebook-NutzerIn auf der Website genommen und was er dort getan hat.

Das bedeutet aber auch, dass keine anonymen oder pseudonymisierten Daten, sondern personenbezogene Daten erfasst werden, die an Facebook in die USA übertragen und mit den Profildaten des Nutzers bei Facebook verknüpft werden. Die daraus gewonnenen Informationen stellt Facebook dann wieder WerbekundInnen zur Verfügung.

Da diese Datenübertragung ohne Wissen und Zustimmung des Facebook-Nutzers geschieht, ist aus DSGVO-Sicht das Facebook-Pixel heikel. Laut WKO darf man das Facebook-Pixel zwar nutzen, muss in der Datenschutzerklärung aber darauf hinweisen und detailliert angeben, welche Daten Facebook sammelt.

Der Hinweis in der Datenschutzerklärung ist allerdings lediglich eine Mindestanforderung. Zusätzlich sollte man dem/r BesucherIn eine Möglichkeit zum Opt-Out geben (ähnlich wie bei Google Analytics). Und eine direkte Einwilligung zum Einsatz von Zielgruppen-Listen (Custom Audience, Lookalike Audience) abholen:

• Opt-in: Wenn Sie die Datenbasis bei Facebook durch eigene Kundendaten anreichern (Custom Audiences oder Look-Alike-Audiences) benötigen Sie eine Einwilligung (Opt-In). Auf eine einfache Weise lässt sich das z.B. im Cookie Hinweis oder durch die Einblendung eines Einwilligungstextes auf der Website umsetzen.

• Opt-out: Wenn Sie Facebook ohne Audiences nutzen, ist ein Opt-out Link in der Datenschutzerklärung ausreichend. In diesem Fall setzt man mittels Javascript ein „Opt-Out“-Cookie.

Zu beachten ist hierbei, dass ein Opt-Out bzw. Opt-In vom Website-Betreiber selbst erstellt werden muss.

6. Verarbeitungsverzeichnis

Wer einen Social Media-Kanal betreibt muss diesen auch im Verarbeitungsverzeichnis listen. Wie detailliert man dieses Verzeichnis führen muss, ist in der DSGVO nicht angeführt und derzeit daher auch noch unklar.

Auf jeden Fall sollte der jeweilige Social Media-Kanal erfasst sein, welche Daten man zu welchem Zweck verarbeitet und ob man diese Daten zusätzlich noch anderweitig nutzt.

7. Impressumspflicht in den sozialen Medien beachten

Für geschäftlich genutzte Social Media-Profile gilt unabhängig von der jeweiligen Plattform fast überall eine Impressumspflicht. Die Kontaktdaten bei einem geschäftlich genutzten Profil müssen daher jederzeit hinterlegt und einsehbar sein.

Hintergrund dieser Regelung ist, dass bei Verstößen gegen den Datenschutz Betroffene und Datenschützer die Möglichkeit haben müssen, den Verursacher eines möglichen Schadens zu benennen und zu kontaktieren.

Zudem können Betroffene gegenüber Unternehmen, die personenbezogene Daten erheben, nun von einem Auskunftsrecht bezüglich der zu ihrer Person gespeicherten Daten Gebrauch machen.

Fazit: Graubereiche bei Umsetzung der DSGVO

Aktuell herrscht erwartungsgemäß in vielen Bereichen noch rechtliche Unsicherheit bzw. wurden seitens der PlattformbetreiberInnen die Voraussetzungen diesbezüglich noch nicht geschaffen. Insbesondere Facebook steht unter Zugzwang, eine DSGVO-konforme Verwendung von Fanpages zu ermöglichen.

In einem weiteren Beitrag werden wir uns unter anderem den Themen Foto, Video und Social Media-Monitoring widmen sowie auf verschiedene Social Media-Plattformen noch näher eingehen.