Icon Datenschutzbeauftragter
Datenschutz

Social-Media und der Datenschutz

Avatar
Verfasst von: Jessica Henning
Beraterin für Datenschutz und Informationssicherheit

Die meisten Unternehmen sind durch eine eigene Unternehmensseite (zum Beispiel eine Facebook-„Fanpage“) auf Social-Media-Plattformen vertreten – schließlich bieten sie sowohl für die Öffentlichkeitsarbeit als auch für den kundennahen Kontakt besonders gute Kommunikationsmöglichkeiten. Doch schon seit mehreren Jahren stehen Social-Media-Plattformen, darunter insbesondere Facebook beziehungsweise Meta, in der Kritik des Bundesbeauftragten für Datenschutz Ulrich Kelber und der Konferenz der unabhängigen Datenschutzbehörden (DSK).

Gemeinsame Verantwortlichkeit

Wer als Unternehmen auf einer Social-Media-Plattform vertreten ist, muss mit dem jeweiligen Betreiber einen Vertrag über die gemeinsame Verantwortlichkeit gemäß Art. 26 der DSGVO (auch Joint Controllership genannt) abschließen. Gemeinsame Verantwortung bedeutet, dass beide Parteien über die Art und den Zweck der jeweiligen Datenverarbeitung bestimmen und die von der Datenverarbeitung betroffenen Personen ihre Rechte jedem einzelnen der Verantwortlichen gegenüber geltend machen können. Die gemeinsame Verantwortung wird in den Urteilen „EuGH, Urteil vom 05.06.2018 – C-210/16 (Facebook-Fanpages)“ sowie „EuGH, Urteil vom 10.07.2018 – C-25/17 (Zeugen Jehovas)“ so beschrieben, dass eine gemeinsame Verantwortlichkeit schon dann besteht, wenn ein Beteiligter die Datenverarbeitung durch einen anderen Beteiligten veranlasst und von deren Ergebnissen profitiert.

Durch die Social-Media-Fanpage wird dem Anbieter der Plattformen die Möglichkeit gegeben, zum Beispiel durch Setzen von Cookies, personenbezogene Daten der Nutzer zu speichern und weiter zu verarbeiten, auf die er sonst keinen Zugriff hätte.

Rechenschaftspflicht

Verantwortliche müssen vor einer Datenverarbeitung die betroffenen Personen transparent und leicht verständlich informieren, welche Daten zu welchen Zwecken durch die Social-Media-Plattform und dem Fanpage-Betreiber verarbeitet werden.  Dies gilt sowohl für registrierte als auch nicht-registrierte Nutzer.

Datenübertragung ins Drittland

Da die meisten Social-Media-Plattformen ihren Hauptsitz in den USA haben, erfolgt oft eine Datenübermittlung in ein Drittland. Gemäß eines EuGH-Urteils vom Juli 2020 dürfen personenbezogene Daten von EU-Bürgern nur dann außerhalb der EU verarbeitet werden, wenn in dem Drittland ein gleichwertiges Schutzniveau der Datenverarbeitung vorliegt – diese Voraussetzung wurde von Ulrich Kelber in einem Rundschreiben für die USA verneint.

Was ist zu tun?

Jedes Unternehmen mit einer Fanpage auf einer Social-Media-Plattform ist für die Datenverarbeitung durch den Betreiber (mit-)verantwortlich. Daher sollten folgende Punkte beachtet werden:

  1. Vertrag zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO abschließen
  2. Datenverarbeitungen auf den Plattformen minimieren (zum Beispiel durch Einschränkung von Chats und/oder anderer Features)
  3. Dienstvereinbarung zum Umgang mit Social-Media-Plattformen erstellen
  4. Datenschutzhinweise ergänzen und an geeigneter Stelle platzieren
chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.