Datenschutz und Social Media

Social Media ist für viele Unternehmen ein unverzichtbares Instrument, um Kunden zu erreichen, die Markenbekanntheit zu steigern und Geschäftsbeziehungen zu pflegen. Plattformen wie Facebook, Instagram, LinkedIn, Tik Tok und Co bieten zahlreiche Möglichkeiten für Marketing, Recruiting und Kundenservice.
Gleichzeitig birgt die Nutzung sozialer Netzwerke erhebliche datenschutzrechtliche Herausforderungen. Unternehmen müssen sicherstellen, dass die Verarbeitung personenbezogener Daten auf diesen Plattformen rechtskonform erfolgt, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO).

Warum sammeln Soziale Netzwerke Daten?

Soziale Netzwerke haben ein großes Interesse an den auf ihrer Plattform veröffentlichten Daten. Denn schon mit Name, E-Mail-Adresse oder Telefonnummer können Personen identifiziert werden. Geben die Nutzer der sozialen Netzwerke weitere Dinge von sich preis, wie z. B. Vorlieben, Informationen zum letzten Urlaub oder den Job, können die Netzwerke sehr detaillierte Profile ableiten. Diese Nutzerprofile nutzen sie dann um gezielt Werbung schalten zu können. Mit dieser Werbung wird der eigentliche Umsatz der sozialen Netzwerke erzielt. Dabei sind aber nicht nur die aktiv preisgegebenen Daten von großer Bedeutung, sondern auch Metadaten. Das sind Informationen, die ganz nebenbei beim Posten anfallen, wie z. B. die Art des Endgeräts oder die verwendete Softwareversion.

Rechtliche Vorgaben

Mit den Vorgaben des Datenschutzes sollen die personenbezogenen Daten des Einzelnen geschützt werden. Soziale Netzwerke haben im Grundsatz aber gar kein Interesse daran die Privatsphäre des einzelnen Nutzers zu schützen. Denn sie sind darauf angewiesen möglichst detaillierte Nutzerprofile anzulegen, um Werbung möglichst gezielt auszuspielen. Teilweise wird auch mit den Nutzerprofilen gehandelt.
Damit haben Soziale Netzwerke ein eigenes Interesse an der Datenverarbeitung und werden die Daten auf ihren Plattformen auch für eigene Zwecke verwenden. Möchte nun ein Unternehmen ein soziales Netzwerk selbst für Werbezwecke verwenden, stellt sich neben anderen Fragen auch die der datenschutzrechtlichen Einbindung.
Lagert man Datenverarbeitungen auf einen Dienstleister aus, regelt man die Rechtsverhältnisse üblicherweise mit einem Auftragsverarbeitungsvertrag. Der Dienstleister (Auftragsverarbeiter) darf die Daten aber nicht für eigene Zwecke nutzen. Für den Fall, dass der Dienstleister eigene Zwecke mit den Daten verfolgt, gibt es die sogenannte gemeinsame Verantwortung.
Mit seinem wegweisenden Facebook-Fanpage-Urteil (Urteil vom 5. Juni 2018, Az. C-210/16)hat der Europäische Gerichtshof (EuGH) dies am Beispiel der Facebook-Fanpages klargestellt. Demnach sind Unternehmen, die eine Facebook-Seite betreiben, gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich. Das bedeutet, dass auch die Unternehmen und nicht nur Facebook dafür verantwortlich sind, dass die Datenverarbeitung datenschutzkonform erfolgt – selbst wenn die technische Umsetzung durch den Plattformbetreiber gesteuert wird. Die Ausführungen des EuGH lassen sich auf andere Social Media-Plattformen übertragen.

Datenschutzanforderungen für Unternehmen

Trotz der datenschutzrechtlichen Problematik soll in vielen Unternehmen nicht auf den Social-Media-Auftritt verzichtet werden. Schließlich sollen die (potenziellen) Kunden dort angesprochen werden, wo sie im Internet unterwegs sind. Es empfiehlt sich daher genau zu prüfen, wie die datenschutzrechtlichen Vorgaben möglichst eingehalten werden und dies detailliert zu dokumentieren.
Folgende Punkte sollten beachtet werden:
  • Gemeinsame Verantwortlichkeit klären: Unternehmen sollten prüfen, ob sie mit der Plattform als gemeinsam Verantwortliche betrachtet werden und eine entsprechende Vereinbarung mit dem Plattformbetreiber abschließen.
  • Drittstaatentransfer klären: Viele Anbieter, insbesondere aus den USA, übertragen personenbezogene Daten in Länder außerhalb der EU. Unternehmen müssen sicherstellen, dass angemessene Schutzmaßnahmen bestehen (z. B. Standardvertragsklauseln).
  • Datenschutzhinweise bereitstellen: Nutzer müssen über die Verarbeitung ihrer Daten informiert werden. Ein Link zur Datenschutzerklärung sollte auf den Social Media-Profilen hinterlegt werden.
  • Einwilligungen einholen: Werden Social Media-Plugins oder Tracking-Tools eingesetzt, ist eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.
  • Datenschutz-Folgenabschätzung durchführen: Falls eine Plattform umfangreich personenbezogene Daten verarbeitet, kann eine Datenschutz-Folgenabschätzung notwendig sein.
  • Datenverarbeitung dokumentieren: Unternehmen müssen in ihrem Verzeichnis von Verarbeitungstätigkeiten festhalten, wie sie Social Media einsetzen und welche personenbezogenen Daten verarbeitet werden.

Fazit

Die Nutzung sozialer Netzwerke ist für Unternehmen mit erheblichen Datenschutzpflichten verbunden. Insbesondere die gemeinsame Verantwortlichkeit mit Plattformbetreibern und die Anforderungen an Transparenz und Einwilligungen erfordern eine bewusste Auseinandersetzung mit der Thematik. Unternehmen sollten ihre Social Media-Strategie regelmäßig hinterfragen, technische und organisatorische Maßnahmen ergreifen und die Datenschutzentwicklung aufmerksam verfolgen.

Stand: 28. März 2025