Datenschutz auf Social Media - FAQs
Die Nutzung von Social-Media bietet Unternehmen vielfältige Möglichkeiten zur Kommunikation, Kundenbindung und Markenbildung. Gleichzeitig bringt sie eine Reihe rechtlicher Anforderungen und Verantwortlichkeiten mit sich, die nicht unterschätzt werden dürfen.
Sie möchten Social Media rechtssicher nutzen? Im FAQ finden Sie die wichtigsten Fragen und Antworten rund um DSGVO, Impressumspflicht, Bildrechte und mehr.
- Darf ein Unternehmen eine Facebook-Seite betreiben?
Ja, laut den Nutzungsbedingungen von Facebook dürfen Unternehmen Seiten einrichten, um sich zu präsentieren und Produkte oder Dienstleistungen zu bewerben. Dabei müssen jedoch alle geltenden Gesetze und Vorschriften eingehalten werden.ABERDie Datenschutzkonferenz (DSK) hat im März 2022 festgestellt, dass Facebook-Seiten nicht DSGVO-konform betrieben werden können. Der Grund: Facebook informiert nicht ausreichend darüber, wie personenbezogene Daten verarbeitet werden.
- Wer trägt die Verantwortung für Datenschutz auf Facebook-Seiten?
Laut einem Urteil des Europäischen Gerichtshofs (EuGH) vom 05.06.2018 sind sowohl Facebook als auch der Seitenbetreiber gemeinsam für die Datenverarbeitung verantwortlich. Das bedeutet: Auch der Betreiber haftet für Datenschutzverstöße. Der Seitenbetreiber ermöglicht Facebook die Datenerhebung – auch von Personen ohne Facebook-Konto – und nutzt die Infrastruktur sowie die Auswertungen von Facebook. Ein direkter Zugriff auf die Daten ist nicht erforderlich, um als mitverantwortlich zu gelten. Facebook und der Seitenbetreiber gelten als „gemeinsam Verantwortliche“. Es muss eine Vereinbarung getroffen werden, wer welche datenschutzrechtlichen Pflichten übernimmt. Facebook stellt eine solche Vereinbarung bereit – ob sie rechtskonform ist, ist jedoch noch ungeklärt.
- Welche Pflichten hat der Seitenbetreiber zusätzlich?
Der Betreiber muss:
- Eine eigene Datenschutzerklärung für die Facebook-Seite bereitstellen.
- Eine Rechtsgrundlage für die Datenverarbeitung und -übermittlung an Facebook benennen (Art. 6 Abs. 1 lit. a oder f DSGVO).
- Die Pflichten aus der Vereinbarung mit Facebook erfüllen.
Wer eine Facebook-Seite betreibt, muss das Risiko von Abmahnungen und Bußgeldern in Kauf nehmen, da die rechtliche Lage weiterhin unsicher ist.
- Ist die kommerzielle Nutzung von Instagram erlaubt?
Ja, Unternehmen dürfen Instagram problemlos für Marketing und Werbung nutzen. Verboten sind jedoch Spam sowie der künstliche Aufbau von Likes, Abonnenten oder geteilten Inhalten – etwa durch Kauf oder Tauschbörsen.
- Welche Analysefunktionen bietet Instagram?
Instagram Insights bietet umfangreiche Analysefunktionen:
- Profilaktivitäten: Profilbesuche, Klicks auf den Bio-Link, Abrufe von Kontaktinfos.
- Inhaltsleistung: Likes, Kommentare, Shares, Speicherungen von Posts, Stories und Videos.
- Follower-Daten: Alter, Geschlecht, Standort und Aktivitätszeiten.
- Story-Insights: Ansichten, Reaktionen, Weiter- und Zurückklicks.
- Werbeanalysen: Reichweite, Klicks und Interaktionen bei Anzeigen.
Diese Daten helfen, die Zielgruppe besser zu verstehen und Inhalte gezielt zu optimieren. - Welche Daten sammelt Instagram?
Instagram erhebt eine Vielzahl personenbezogener Daten, darunter:
- Nutzerdaten: Name, E-Mail, Telefonnummer, Profilangaben.
- Nutzungsverhalten: Aktivitäten, Kommentare, Likes, Direktnachrichten.
- Standortdaten: GPS, IP-Adresse, WLAN-Zugangspunkte.
- Geräteinformationen: Betriebssystem, Browsertyp, Geräte-ID.
- Daten von Dritten: Inhalte, auf denen Nutzer:innen markiert sind, sowie externe Dienste wie Social Plugins oder Facebook Pixel.
Unternehmen sollten sich dieser Datenerhebung bewusst sein und ihre Datenschutzmaßnahmen entsprechend anpassen.
- Welche Marketingmaßnahmen sind auf Xing, LinkedIn, X (Twitter) und YouTube erlaubt?
- Xing: Unternehmensprofile dürfen für Marketing genutzt werden. Verboten ist jedoch Multi-Level-Marketing (Schneeballsysteme).
- LinkedIn: Die Plattform ist kommerziell ausgerichtet. Inhalte können über verschiedene Formate verbreitet werden, auch bezahlte Werbung ist möglich.
- X (Twitter): Werbung ist erlaubt, solange Tweets nicht überwiegend aus Links bestehen und Hashtags nicht irreführend verwendet werden.
- YouTube: Unternehmen dürfen für Produkte und Dienstleistungen werben.
- Was ist auf den Plattformen ausdrücklich untersagt?
- Xing: Multi-Level-Marketing, bei dem Privatpersonen in Vertriebssysteme eingebunden werden.
- X (Twitter): Der Kauf von Followern sowie das missbräuchliche Nutzen von Hashtags zu aktuellen Themen.
- YouTube: Der künstliche Aufbau von Abonnenten durch Kauf oder Tauschbörsen.
- Worauf sollten Unternehmen bei der Nutzung achten?
Unternehmen sollten die jeweiligen Plattformrichtlinien sowie rechtliche Vorgaben (z. B. Wettbewerbsrecht) beachten. Besonders bei Werbung und Reichweitensteigerung ist Transparenz und Authentizität entscheidend, um rechtliche Risiken wie Abmahnungen zu vermeiden.
- Darf ich meinen Benutzernamen frei wählen?
Grundsätzlich ja – die Wahl des Benutzernamens ist frei. Allerdings müssen Namens-, Marken- und Wettbewerbsrechte beachtet werden. Wenn ein Name rechtlich geschützt ist, darf er nicht verwendet werden, selbst wenn er noch verfügbar ist.ACHTUNG: Die Nutzungsbedingungen der jeweiligen Plattform können zusätzliche Regeln zur Namenswahl enthalten. Es lohnt sich, diese vor der Registrierung zu prüfen.
- Was muss ich vor der Wahl eines Benutzernamens prüfen?
Du solltest vorab klären, ob:
- eine Marke eingetragen ist,
- der gewünschte Name einer Marke ähnelt,
- es sich um einen fremden Personennamen handelt,
- der Name mit bekannten Publikationen identisch oder ähnlich klingt.
- Was passiert bei einer Rechtsverletzung?
Der Rechteinhaber kann eine Abmahnung aussprechen und Unterlassungs- oder Beseitigungsansprüche geltend machen. Bei bewusstem Handeln – etwa zu Werbezwecken – drohen auch Schadensersatzforderungen.
- Wann braucht mein Social-Media-Profil ein Impressum?
Sobald ein Profil geschäftlich oder journalistisch-redaktionell genutzt wird – z. B. für Marketing, Werbung oder Informationsangebote – ist man gesetzlich verpflichtet, ein Impressum bereitzustellen. Das gilt für Plattformen wie Facebook, Instagram, LinkedIn, X (Twitter), YouTube und andere.
- Welche Angaben müssen ins Impressum?
Laut § 5 TMG und § 18 MStV müssen folgende Informationen enthalten sein:
- Name und Anschrift des Unternehmens
- Rechtsform und vertretungsberechtigte Personen (bei juristischen Personen)
- E-Mail-Adresse und Telefonnummer
- Registereintrag und Registernummer (z. B. Handelsregister)
- Umsatzsteuer-ID oder Wirtschafts-ID (falls vorhanden)
- Hinweis auf die Teilnahme oder Nichtteilnahme am Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle
- Bei journalistisch-redaktionellen Inhalten: Name und Anschrift eines Verantwortlichen gemäß § 18 MStV
- Wo und wie muss das Impressum eingebunden werden?
Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Die Rechtsprechung verlangt, dass es mit maximal zwei Klicks erreichbar ist. Viele Plattformen bieten dafür spezielle Felder an – z. B. im „Info“-Bereich oder über einen Link in der Bio. Es empfiehlt sich, zusätzlich einen sprechenden Link zum Impressum auf der eigenen Website zu setzen.
- Darf ich Fotos von Personen einfach veröffentlichen?
Nein. Sowohl nach dem Kunsturhebergesetz (§§ 22, 23 KunstUrhG) als auch der Datenschutz-Grundverordnung (DSGVO) ist die Veröffentlichung von Personenfotos grundsätzlich nur mit Einwilligung erlaubt. Das gilt auch für Mitarbeiterfotos auf der Website oder in sozialen Medien.Es gibt Ausnahmen aber nur unter bestimmtem Bedingungen:
- § 23 KunstUrhG erlaubt Ausnahmen z. B. bei:
- Bildern aus dem Bereich der Zeitgeschichte
- Personen als „Beiwerk“ in Landschaften oder öffentlichen Orten
- Fotos von öffentlichen Versammlungen oder Veranstaltungen
- Diese Ausnahmen gelten nicht, wenn berechtigte Interessen der abgebildeten Person verletzt werden – etwa bei Werbezwecken
- § 23 KunstUrhG erlaubt Ausnahmen z. B. bei:
- Was gilt seit der DSGVO?
Seit dem 25. Mai 2018 ist die DSGVO vorrangig im nicht-journalistischen Bereich. Fotos gelten als personenbezogene Daten und dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt – z. B.:
- Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
- Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, sofern dieses die Interessen der betroffenen Person überwiegt
Die Einwilligung muss freiwillig, informiert und widerrufbar sein. Unternehmen tragen die Beweislast – eine schriftliche Einwilligung ist daher dringend zu empfehlen.Auch bei Mitarbeiterfotosist eine Einwilligung erforderlich, selbst wenn die Fotos im Rahmen des Arbeitsverhältnisses entstehen. Diese kann z. B. im Arbeitsvertrag geregelt werden, muss aber den Anforderungen der DSGVO und des BDSG entsprechen:- Freiwilligkeit
- Information über Zweck, Ort und Kontext der Veröffentlichung
- Widerrufsmöglichkeit
- Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO
- Was sind die rechtlichen Folgen bei Verstößen?
Die unbefugte Veröffentlichung von Personenfotos kann eine Verletzung des Persönlichkeitsrechts darstellen und mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr geahndet werden (§ 33 KunstUrhG).
- Welche Inhalte sind urheberrechtlich geschützt?
Das Urheberrecht schützt Werke der Literatur, Kunst und Wissenschaft, die eine persönliche geistige Schöpfung darstellen. Dazu gehören z. B.:
- Fotos, Videos, Musik
- Texte, Reden, Computerprogramme
- Zeichnungen, Pläne, Karten, Tabellen
- Werke der bildenden und angewandten Kunst
(§ 2 UrhG)
- Darf ich fremde Bilder oder Texte verwenden oder bearbeiten?
Nein. Nur der Urheber entscheidet, ob und wie sein Werk:
- vervielfältigt
- veröffentlicht
- bearbeitet
werden darf. Auch geringfügige Änderungen sind urheberrechtlich relevant. Eine Nutzung ohne Zustimmung kann eine Urheberrechtsverletzung darstellen.
Das Fotografieren z. B. von Gemälden ist für private Zwecke erlaubt. Für die Veröffentlichung, etwa in sozialen Medien, brauchst du die Einwilligung des Urhebers. Zusätzlich kann das Hausrecht (z. B. in Museen) das Fotografieren untersagen. - Darf ich fremde Textpassagen zitieren?
Ja, aber nur unter bestimmten Bedingungen gemäß § 51 UrhG:
- Das Zitat muss einem besonderen Zweck dienen (z. B. wissenschaftliche Erläuterung).
- Es muss klar als Zitat erkennbar sein (z. B. durch Anführungszeichen und Quellenangabe).
- Es darf nicht verändert werden.
- Es muss eine eigene Auseinandersetzung mit dem Inhalt erfolgen.
- Warum sind Social-Media-Plugins wie der Facebook-Like-Button problematisch?
Beim Einbinden von Plugins wie dem „Gefällt mir“-Button werden personenbezogene Daten (z. B. IP-Adresse) automatisch an Facebook übermittelt – auch wenn der Nutzer nicht eingeloggt oder nicht Mitglied ist.Diese Daten können zur Erstellung von Persönlichkeitsprofilen verwendet werden, was datenschutzrechtlich unzulässig ist.
- Wie kann man Social-Media-Plugins datenschutzkonform einbinden?
Die direkte Einbindung ist nicht zulässig. Stattdessen gibt es zwei empfohlene Alternativen:
- 2-Klick-Lösung: Der Button ist zunächst deaktiviert und wird erst nach einem Klick aktiviert. Erst dann erfolgt die Datenübertragung.
- Shariff-Lösung: Der Kontakt zur Plattform wird erst hergestellt, wenn der Nutzer aktiv auf den Button klickt. Diese Lösung ist besonders nutzerfreundlich und datenschutzfreundlich.
Zusätzlich muss in der Datenschutzerklärung transparent über die verwendeten Plugins und die Datenverarbeitung informiert werden. - Was ist die beste Empfehlung für Unternehmen?
Auf die direkte Einbindung von Like- oder Share-Buttons verzichten. Stattdessen:
- Verlinke auf deine Social-Media-Seiten.
- Nutze datenschutzfreundliche Alternativen wie die Shariff- oder 2-Klick-Lösung.
- Informiere klar und verständlich in deiner Datenschutzerklärung über die Datenverarbeitung.
- Was sind Cookies und welche Arten gibt es?
Cookies sind kleine Datenpakete, die beim Besuch einer Website auf dem Endgerät des Nutzers abgelegt werden. Es gibt verschiedene Arten:
- Session-Cookies (z. B. für Warenkörbe)
- Sicherheits-Cookies (z. B. für Logins)
- Retargeting- und Tracking-Cookies
- Flash-Cookies (für Medieninhalte)
- Third-Party-Cookies (von externen Anbietern, z. B. Werbenetzwerken)
Besonders kritisch sind Third-Party-Cookies, da sie das Surfverhalten über mehrere Websites hinweg verfolgen können. - Wann ist eine Einwilligung erforderlich?
Laut § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO dürfen Cookies nur mit ausdrücklicher Einwilligung gesetzt werden – außer sie sind:
- technisch zwingend erforderlich für die Bereitstellung eines ausdrücklich gewünschten Dienstes
- notwendig für die Übertragung einer Nachricht über ein öffentliches Netz
Die Einwilligungspflicht gilt unabhängig davon, ob die Daten personenbezogen, pseudonymisiert oder anonym sind. - Wie muss ein Cookier-Banner aussehen?
Laut dem Urteil des VG Hannover (März 2025) muss ein Cookie-Banner:
- einen gleichwertigen „Ablehnen“-Button neben dem „Akzeptieren“-Button enthalten
- optisch neutral gestaltet sein (keine „Nudging“-Designs)
- alle Optionen auf der ersten Ebene sichtbar machen – ohne versteckte Klickpfade
Ein Banner, das Zustimmung erleichtert und Ablehnung erschwert, ist rechtswidrig und kann zu Abmahnungen oder Bußgeldern führen.
- Checkliste Website
Auf folgende Punkte sollte bzgl. der DSGVO auf der Website geachtet werden:
- Ist ein SSL Zertifikat vorhanden?
- Ist nur die SSL Variante Ihrer Website aufrufbar (forced SSL)?
- Entspricht die Verschlüsselung dem aktuellen Stand der Technik?
- Haben Sie sog. “mixed-content”?
- Erfolgt auf Server-Ebene eine Absicherung gegen mögliche Hacker Angriffe?
Wird ein Kontaktformular bereit gestellt? Dann müssen Sie darauf achten:- Der Inhalt der übertragenen Daten muss überprüft werden
- Es muss überprüft werden, ob noch weitere/zusätzliche Daten übertragen werden können
- Es muss verhindert werden, dass Daten ungefiltert in die Datenbank geschrieben werden können.
- Es sollte ein Captcha eingesetzt werden
- Haben Sie eine gültige Datenschutzerklärung, insb. ab Inkrafttreten der DSGVO?
- Werden in der Datenschutzerklärung Betroffene über sämtliche Rechte aufgeklärt?
Vorsicht: Je nachdem welche Software eingesetzt wird, kann die Datenschutzerklärung einen erheblichen Umfang haben.Folgende Fragen spielen hierbei eine Rolle:- Setzen Sie Tracking Tools (Google Analytics, Metamo, eTracker) ein?
- Wird Google Maps genutzt?
- Werden Google Web Fonts verwendet?
- Werden Social Media Buttons (Facebook, YouTube, Twitter etc.) genutzt?
- Kommen Cookies zum Einsatz?
- Wird ein Newsletter Eintrag zur Verfügung gestellt?
- Wann und in welchem Umfang werden IP Adressen gespeichert?
- Wann werden die IP Adressen wieder gelöscht?
- Werden weitere Scripte (z.B. doctena) von Drittanbietern eingebunden?
Eine fehlende oder unzureichende Datenschutzerklärung kann überdies zu einer Abmahnung führen, was mit zusätzlichen, erheblichen Kosten verbunden ist!- Ist ein vollständiges Impressum vorhanden?
- Sind Datenschutzerklärung und das Impressum leicht zugänglich?