Social Media: Wer posten will, muss informieren
Thierry Burnens
Thierry Burnens, (Rechtsanwalt, M.A. HSG, CIPP/E, ist Managing Associate bei BianchiSchwald GmbH in Zürich. Seine Tätigkeitsschwerpunkte liegen im Technologie-, Datenschutz- und Immaterialgüterrecht).
Sobald Personendaten bearbeitet[1] werden, sind die Vorschriften des Datenschutzrechts zu beachten. Das gilt auch für Social Media. Personendaten sind alle Informationen, welche sich auf eine identifizierbare natürliche Person beziehen. Bei einer Vielzahl von Profilen auf Social Media ist die Identifizierbarkeit gegeben (also es kann festgestellt werden, um welche Person es geht). Dass die Person tatsächlich identifiziert wird, ist nicht erforderlich. Entsprechend sind bei der Nutzung von Social Media durch Unternehmen bereits bei alltäglichen Interaktionen (z.B. Reaktionen oder Kommentare auf Beiträge, Direktnachrichten, etc.) die datenschutzrechtlichen Vorschriften einzuhalten. Umso mehr gilt das, wenn Social Media auf eine Weise genutzt wird, die stärker in die Privatsphäre eingreift (z.B. für Targeting, also die gezielte personalisierte Ansprache).
Dies bedeutet insbesondere, dass die betroffenen Personen transparent informiert werden müssen, was mit ihren Personendaten geschieht.
[1] Der Begriff "bearbeiten" umfasst jeden Umgang mit Personendaten (und damit z.B. auch das blosse Aufrufen von Profilen).
Wer muss informieren?
Die Pflicht zur Information der betroffenen Personen trifft den Verantwortlichen, also jene Organisation, die festlegt, zu welchem Zweck Personendaten bearbeitet werden. Entscheidend sind dabei jeweils die tatsächlichen Verhältnisse (d.h. die konkreten Einflussmöglichkeiten auf die Datenbearbeitung). Es ist nicht möglich, vertraglich eine abweichende Regelung zu treffen.
Wenn ein Unternehmen Social Media nutzt, ist es gemeinsam mit dem Plattformbetreiber (z.B. Meta für Instagram oder Facebook) für die Einhaltung der datenschutzrechtlichen Bestimmungen zuständig (sog. "gemeinsame Verantwortliche" oder "Joint Controller"). In der EU ist dies seit längerer Zeit durch die Rechtsprechung geklärt. In der Schweiz gilt das gleiche (da die massgeblichen Konzepte und Begriffe im Schweizer Recht im Wesentlichen gleich sind).
Im Ergebnis bedeutet die gemeinsame Verantwortlichkeit, dass die involvierten Parteien (also das Unternehmen und die Plattform) die Aufteilung der datenschutzrechtlichen Pflichten zwischen sich regeln müssen. Dies ist zwar in der Schweiz gesetzlich nicht ausdrücklich vorgeschrieben (anders in der EU), ergibt sich jedoch indirekt aus dem Datenschutzgesetz. Nur wenn sich die involvierten Parteien über die Aufteilung der Pflichten einigen (z.B. über die Information der betroffenen Personen), besteht die Gewissheit, dass die Pflichten tatsächlich erfüllt werden.
Diese Pflicht setzen die Plattformbetreiber (wie z.B. Meta) so um, dass sie die Erfüllung der Informationspflicht an die Nutzer (also den Unternehmen) zuweisen[1]. Damit besteht für Unternehmen zusätzlich eine vertragliche Verpflichtung, die betroffenen Personen über die Datenbearbeitung zu informieren.
Sodann stellt sich in der Praxis auch die Frage der Verantwortlichkeit bei der Zusammenarbeit mit Dritten (wie z.B. Influencern). Auch hier sind die tatsächlichen Verhältnisse entscheidend (d.h. es kann nicht vertraglich etwas erreicht werden, was nicht der Wirklichkeit entspricht). Die massgebliche Frage ist wiederum: wer entscheidet über den Zweck und die Mittel der Datenbearbeitung. Je nach Konstellation kann es sich um unabhängige Verantwortliche, gemeinsam Verantwortliche oder gar eine Auftragsdatenbearbeitung handeln. Bei der Auftragsdatenbearbeitung ist zwingend der gesetzlich vorgeschriebene Mindestinhalt in die Vereinbarung aufzunehmen. Erschwerend für die Beurteilung kommt hinzu, dass ein Zugang zu den Daten für eine datenschutzrechtliche Verantwortlichkeit nicht unbedingt erforderlich ist. Man kann Verantwortlicher (im Sinne des Gesetzes) sein, ohne dass man Zugriff auf die Personendaten hat.
[1] Siehe z.B. https://de-de.facebook.com/legal/controller_addendum.
Seminar-Empfehlungen
Welche Informationen sind erforderlich?
Ziel der datenschutzrechtlichen Informationspflicht ist es, dass betroffene Personen nachvollziehen können, was mit ihren Personendaten geschieht und zu welchem Zweck sie bearbeitet werden.
Das Gesetz verlangt, dass der betroffenen Person bestimmte Mindestinformationen mitgeteilt werden:
- Die Identität und die Kontaktdaten (mindestens Adresse und E-Mail) des Verantwortlichen;
- Den Bearbeitungszweck (d.h. zu welchem Zweck werden die Daten bearbeitet);
- Falls die Personendaten an Dritte bekanntgegeben werden: die Kategorie(n) von Empfängern und
- die Zielländer, wenn die Personendaten ins Ausland übermittelt werden (was bei Social Media wohl immer der Fall sein wird).
Über diese Mindestinformationen hinaus müssen zusätzliche Angaben gemacht werden, sofern dies für die Ausübung der Rechte der betroffenen Person oder die Transparenz der Datenbearbeitung erforderlich ist.
Sodann müssen auch die Angaben gemacht werden, welche gemäss der vertraglichen Vereinbarung (also die Nutzungsbedingungen) mit der jeweiligen Plattform erforderlich sind.
"Link in Bio" - Die praktische Umsetzung
Die Informationen müssen "präzis, transparent, verständlich und leicht zugänglich" zur Verfügung gestellt werden. Je leichter die Informationen zu finden sind, desto besser. Gleichzeitig ist klar, dass es Grenzen gibt. Zum Beispiel ist es meistens nicht zumutbar, bei jeder Interaktion auf die Datenschutzerklärung hinzuweisen. Als Kompromiss wird oft ein Link auf die Datenschutzerklärung ("DSE") in der Bio (also im jeweiligen Profil auf Social Media) eingefügt.
Wenn jedoch besondere Aktionen durchgeführt werden (z.B. ein Gewinnspiel), sollte geprüft werden, ob ein zusätzlich ein unmittelbarer Hinweis (z.B. direkt im Beitrag/Post) möglich ist.
Es stellt sich regelmässig die Frage, ob eine separate DSE für Social Media nötig ist oder ob die Informationen in der allgemeinen DSE (z.B. auf der Website) ausreichend ist. Dies muss anhand der konkreten Umstände entschieden werden. Oft dürfte es einfacher sein, die Angaben für Social Media in die bestehende DSE zu integrieren. Es sollte aber dennoch sichergestellt werden, dass die Informationen rasch gefunden werden können (z.B. durch direkte Links auf Unterkapitel statt einem allgemeinen Verweis auf die ganze DSE). In bestimmten Fällen (wie z.B. bei einem Gewinnspiel), kann es jedoch Sinn machen, eine separate DSE zu erstellen.
Das Unternehmen muss bei Bedarf nachweisen können, dass die rechtlichen Anforderungen erfüllt wurden. Deshalb sollte (gesellschafts-intern) dokumentiert werden, wo dass eine Informationspflicht besteht und wie diese erfüllt wurde. Ebenso sollten die massgeblichen Unterlagen (z.B. vertragliche Vereinbarungen mit Plattformen und Dritten) aufbewahrt werden.
Das Wichtigste in Kürze
- Datenschutz auch auf Social Media: Wer ein Unternehmensprofil erstellt, untersteht der Informationspflicht.
- Verständlich und leicht zugänglich: DieInformation muss für die betroffenen Personen leicht auffindbar (z.B. über einen Link im Profil) und verständlich sein.
- Mindestangaben: Verantwortlicher, Bearbeitungszweck, Empfänger und Übermittlungen ins Ausland müssen angegeben werden. Zudem sind die Vorgaben der Plattform zu befolgen.
Interne Dokumentation: Die Massnahmen zur Erfüllung der datenschutzrechtlichen Pflichten sollten angemessen dokumentiert werden (insbesondere zur Risikoreduktion).
