Allgemein

Im Mai 2018 wurden neue, verschärfte Regeln im Datenschutz für Unternehmen eingeführt. In diesem Jahr jährte sich die „neue“ DSGVO. Sie zog einige befürwortende, aber auch einige kritische Stimmen nach sich. Es ist schon länger bekannt: Gerade die in der Praxis relevanten Faktoren im Regelwerk wurden außer Acht gelassen und nicht mit wirklicher Sorgfalt behandelt. Ein wichtiger Aspekt ist hier die Kommunikationsverschlüsselung.

Um wirkliche Sicherheit zu gewährleisten, ist eine einheitliche Datenschutz-Verordnung für national und global tätige Unternehmen notwendig. Genau diesen Zweck sollte und soll die DSGVO erfüllen. Doch wie verhält es sich in der Praxis?

Komplexität und Interpretationsspielraum verhindern Umsetzungskonkretisierung

Wirtschaftsjuristen sehen im Regelwerk der Datenschutzgrundverordnung, kurz DSGVO, einen zu großen Aktionsradius. In insgesamt 99 Einzelverordnungen besagen 45 Punkte nichts wirklich Konkretes zum Datenschutz. Bereits die 70 Klauseln zur Eröffnung der DSGVO sorgen dafür, dass die Struktur komplex und die Anwendung in der Praxis eine Hürde anstatt einer Hilfe ist. Fakt ist, dass das Regelwerk zum Datenschutz für alle EU-Unternehmen gilt. Doch von Einheitlichkeit kann keine Rede sein. Im Gesetz ist nämlich direkt verankert, dass jeder Nationalstaat seine eigenen Regularien erlassen und umsetzen kann.

In ihrem Ursprung war die DSGVO als verbindliches und einheitliches Regelwerk für alle Unternehmen gedacht. Doch in der Praxis führt die Grundverordnung zum Datenschutz durch die Möglichkeit von Abstraktionen am eigentlichen Ziel vorbei. So macht sie die Einhaltung von Vorschriften eher schwieriger als einfacher. Es gibt einige Punkte, so die Meinung der Wirtschaftsjuristen, die nur in der Theorie durchdacht wurden. In der Umsetzung der DSGVO seien sie nur leere Drohungen ohne praktizierte Durchsetzung. Auf dieser Basis ist eine wirkliche Verbesserung im Datenschutz kaum erzielbar. Und Probleme haben vor allem kleine und mittelständische Unternehmen. Diese nahmen viel Geld an die Hand und investierten in die Datensicherheit ihrer Firma.

Abmahnungen bei Verstoß im Datenschutz existieren nur auf dem Papier

Schon vor der Einführung der DSGVO breiteten sich Angst und Schrecken vor Abmahnungen aus. Denn diese sollten mit mehrstelligen Beträgen bei kleinsten Verstößen erfolgen. Dadurch stellten sie vor allem für kleine Unternehmen ein hohes existenzielles Risiko dar. Doch in der Realität liegt die Menge der unternehmerischen Selbstanzeigen im letzten Jahr deutlich höher als die Anzeigen von Bürgern und Bürgerinnen. Während 7.293 Unternehmen eigene Verstöße im Datenschutz anzeigten, fühlten sich nur 3.064 Bürger in ihren datenschutzrechtlichen Belangen bedroht. Bei der zuständigen Behörde eingehende Beschwerden bezogen sich explizit auf Videoüberwachungen sowie auf Werbung per Telefon und E-Mail.

In nur 75 Fällen wurde überhaupt eine Strafe verhängt, die laut BDI in ihrer Gesamtheit nicht mehr als 450.000 EUR betrug. Im Großen und Ganzen lässt sich daher festhalten: In den Androhungen von Abmahnungen bei Verstößen gegen die DSGVO ging es eher um das Schüren von Angst als um einen wirklichen Gedanken an eine Abstrafung bei Zuwiderhandlung. Ein nicht durchgesetztes Gesetz kann noch so innovativ sein: In der Praxis bringt es keinen Mehrwert, wenn es nur auf dem Papier existiert.

Die Verschlüsselung bei Kommunikationen ist in der Praxis angekommen

Auch wenn einige Paragraphen der DSGVO unverständlich und breitgefächert interpretierbar sind: Ein wichtiger Punkt hat sich in der Praxis durchgesetzt. Wenn es um die Verschlüsselung von E-Mails geht, ist die Grundverordnung im Datenschutz in der Gesellschaft angekommen. Banken und andere Finanzunternehmen sowie Versicherungen und sensible Branchen haben die Vorschriften zur Verschlüsselung des E-Mail-Verkehrs schon lange vor Einführung der DSGVO vorgenommen. Seit einiger Zeit gibt es immer mehr Interessenten im Handel, in der lebensmittelverarbeitenden Industrie, bei Juristen und Ärzten.

Auch freiberuflich Tätige der erwähnten Branchen und Kleinunternehmen interessieren sich für den Bereich End-to-End-Verschlüsselung nach den Regeln der DSGVO. Ein Grund hierfür könnte die immer stärker werdende Orientierung des Hostings in einer Cloud sein. Um in diesem Bereich absolute Diskretion und Datenschutz zu bieten, ist eine hochwertige Verschlüsselung unerlässlich. Der BDI sieht in der DSGVO einen Grundstein für mehr Datenschutz und sieht dem Verschlüsselungsinteresse mit größter Aufmerksamkeit zu.

Durch die Einführung der DSGVO hat man die Rechte von Verbrauchern im Hinblick auf den Schutz ihrer Daten seit Mai 2018 erheblich erweitert. Zwar bestand auch zuvor bereits ein Recht auf Löschung sowie ein Recht auf Auskunft nach deutschem Datenschutzrecht. Die DSGVO hat diese Rechte jedoch konsequent erweitert. Außerdem war bisher nicht in jedem Mitgliedsland der Europäischen Union ein Recht auf Auskunft bzw. ein Recht auf Löschung der eigenen Daten in gleicher Weise gegeben. Diesem Umstand trug man durch die der Verordnung zugrundeliegenden Richtlinie Rechnung. Daher schuf man ein europaweit einheitliches Recht auf Auskunft bzw. Recht auf Löschung.

Ein europäisches Grundrecht

Das Grundgesetz sieht das Recht auf informationelle Selbstbestimmung als Teil der allgemeinen Handlungsfreiheit. Im Gegensatz dazu gibt es in der Menschenrechtscharta der Europäischen Union mit Art. 8 ein eigenes Grundrecht auf Datenschutz.

Diesem Prinzip trägt man durch zwei Punkte Rechnung: Erstens erweiterte man das Recht auf Löschung wie auch das Recht auf Auskunft im Rahmen der DSGVO jeweils erheblich. Zusätzlich schuf man neue Rechte für Verbraucher. Zielsetzung der Europäischen Union war dabei, das Recht der Verbraucher an den eigenen Daten nachhaltig zu stärken. Konkret stellen sich diese neuen Rechte folgendermaßen dar:

Recht auf Auskunft nach DSGVO

Ein Recht auf Auskunft darüber, welche Daten ein Unternehmen speichert, bestand für Verbraucher auch bereits vor Einführung der DSGVO. Allerdings wurde das Recht auf Auskunft im Zuge der Neuerung erweitert. Verbraucher haben nicht nur ein einfaches Recht auf Auskunft über die gespeicherten Daten. Sie können auch die Überlassung einer Kopie dieser Daten verlangen. Außerdem geht es beim Recht auf Auskunft nicht nur darum, die eigenen Daten an sich mitgeteilt zu bekommen.

Auch die Zwecke, zu denen sie gespeichert und verarbeitet werden, müssen Unternehmen angeben. Verbraucher haben außerdem Recht auf Auskunft darüber, welchen Dritten gegenüber die Daten offen gelegt wurden oder wem sie gegebenenfalls überlassen wurden. Insofern hat die DSGVO das Recht auf Auskunft in entscheidender Weise zum Vorteil von Verbrauchern ausgebaut.

Recht auf Löschung nach DSGVO

Neben dem Recht auf Auskunft besteht eine Reihe weiterer Rechte zugunsten von Verbrauchern gegenüber Unternehmen. Neuerungen hat dabei auch das Recht auf Löschung erfahren. Dieses geht zurück auf eine Entscheidung des Europäischen Gerichtshofs. In dieser stellte das Gericht fest, dass es ein „Recht auf Vergessenwerden“ gibt. Dieses Recht auf Vergessenwerden ist am einfachsten zu erzielen durch ein möglichst weitgehendes Recht auf Löschung persönlicher Daten. Entsprechend umfangreich hat man das Recht auf Löschung in der DSGVO. Dies betrifft vor allem die Verpflichtung zur Löschung von Daten ohne besondere Aufforderung durch den Inhaber derselben.

Dies betrifft nach 17 Abs. 1 DSGVO etwa den Fall, dass der Zweck, für den die Daten ursprünglich erhoben wurden, inzwischen weggefallen ist. Selbst wenn dann ein neuer Grund für die Fortführung der Speicherung besteht: Es bedarf einer erneuten Einwilligung durch den betroffenen Verbraucher. Anderenfalls hat eine Löschung ohne besondere Aufforderung automatisch zu erfolgen. Gleiches gilt, wenn der Verbraucher die Einwilligung zur Speicherung und Nutzung der persönlichen Daten widerruft. In diesem Fall haben Unternehmen nur eine Möglichkeit, die Daten weiterhin gespeichert zu halten: Wenn für die Speicherung ein entsprechend berechtigtes Interesse vorliegt. Anderenfalls greift das Recht auf Löschung.

Beispiel:

Die berechtigten Interessen des Unternehmens auf Fortführung der Speicherung der Daten gehen etwa dann dem Recht auf Löschung des Verbrauchers vor, wenn eine durch den Verbraucher bestellte Ware bereits geliefert aber noch nicht gezahlt wurde. In diesem Fall hat das Unternehmen ein vitales Interesse daran, die Adresse des Kunden gespeichert zu lassen. Diese ist für die Einleitung zivilrechtlicher Schritte nämlich zwingend notwendig. Ohne Speicherung müsste man sie erst auf komplizierte Weise neu beschaffen.

Fazit:

Für Unternehmen ist der Datenschutz durch die DSGVO deutlich komplizierter geworden. Rechte von Verbrauchern wie das Recht auf Auskunft oder auch das Recht auf Löschung wurden gestärkt und zum Teil entscheidend erweitert. Dies betrifft insbesondere ein deutlich umfangreicheres Recht auf Auskunft, welches sich nicht nur auf die Daten als solche, sondern auch auf die Zwecke der Nutzung bezieht. Einhergehend mit der steigenden Komplexität des Datenschutzes für Unternehmen ist natürlich auch das Risiko zur Abmahnung bei Dateschnutzverstoß gestiegen.

Eine Patientenakte unterliegt in Deutschland dem Datenschutz, während Ärzte sich zugleich an ihre Verschwiegenheitspflicht halten müssen. Schließlich geht es hier um den Patientenschutz. Die Weitergabe von Daten aus diesen Unterlagen ist ohne eine Einverständniserklärung deshalb nur in Ausnahmefällen und unter strengen Voraussetzungen möglich. Medizinische Einrichtungen sind grundsätzlich zum Schutz der Akten verpflichtet.

Gesundheitliche Interessen als Zweck und Voraussetzung der internen Datennutzung

Die Speicherung und Nutzung einer Patientenakte erfüllt in erster Linie den Zweck, Diagnosen sowie Behandlungen zu erleichtern. Es gilt innerhalb einer Arztpraxis als entscheidend, ob die Datenerhebung den gesundheitlichen Interessen eines Menschen dient. Solange Ärzte die Daten lediglich intern für Therapien oder die Vorsorge verwenden, ist daher in der Regel keine wiederholte Einverständniserklärung erforderlich.

Wegen der Schweigepflicht dürfen sich Patienten üblicherweise darauf verlassen, dass Mediziner nicht gegen den Willen des Betroffenen mit Unbefugten über Inhalte der Akte reden. Die Rede ist hier von Patientenschutz. Bei der Datenweitergabe an Dritte gelten besonders strenge Regelungen, die im Bundesdatenschutzgesetz festgehalten wurden.

Strenge Bestimmungen zur vereinzelten Datenweitergabe an Dritte ohne Einverständniserklärung

Daten aus einer Patientenakte dürfen in Deutschland nur an wenige Organisationen und Behörden trotz einer fehlenden Einverständniserklärung unter bestimmten Voraussetzungen weitergegeben werden. Dabei ist aber meistens nicht die komplette Akte von der Datenweitergabe betroffen. Ohne Einverständniserklärung erhält der Empfänger in der Regel lediglich Informationen aus dem Teil der Patientenakte, den er aus einem triftigen Grund einsehen muss.

Viele empfangsberechtigte Einrichtungen sind vor der Weitergabe dazu verpflichtet, im Detail die Gründe für den Anspruch auf einzelne Daten darzulegen und den Umfang der angeforderten Akteninhalte genau zu definieren. Solange keine Einverständniserklärung vorliegt, bleibt der Kreis der potenziellen Anspruchsberechtigten sehr klein. Es hängt zudem immer vom jeweiligen Einzelfall ab, ob das Anrecht auf die Weiterleitung der Patientendaten in der speziellen Situation tatsächlich besteht.

Beispiele für anspruchsberechtigte Einrichtungen in Einzelfällen

Zum Teil darf beispielsweise die eigene Krankenversicherung des Betroffenen für Ausschnitte der Patientenakte die Datenweitergabe verlangen. Der medizinische Dienst der Krankenkassen braucht wegen der Erstellung eines Gutachtens manchmal Informationen aus der Patientenakte. Ohne Einverständniserklärung erfahren Gutachter aber im Normalfall maximal von Krankheiten und Behandlungen, die dafür tatsächlich relevant sind.

Wenn es zu Berufskrankheiten kommt, besteht eventuell auch für Berufsgenossenschaften ein Anspruch auf Inhalte der Patientenakte. Während eine Datenschutzbehörde die Einhaltung von Vorgaben überprüft, ist eventuell ebenfalls eine Datenweitergabe erforderlich.

In außergewöhnlichen Einzelfällen erhalten darüber hinaus die Polizei oder die Staatsanwaltschaft Zugang zu einer Patientenakte, obwohl keine Einverständniserklärung vorliegt. Dazu kommt es häufig insbesondere, sobald die Behörden im Interesse von gefährdeten Personen handeln. Die Verhinderung zukünftiger Straftaten ist ein weiterer möglicher Grund für eine Datenweitergabe ohne Einverständniserklärung.

Verpflichtung zum Patientenschutz und Schutz der Patientenakten im Krankenhaus und der Arztpraxis

Krankenhäuser sind in Hinsicht auf Patientenschutz ebenso wie eine Arztpraxis dazu verpflichtet, eine Patientenakte vor dem Zugriff von Unbefugten zu schützen. Für handschriftliche oder gedruckte Unterlagen gelten im Vergleich zu einer digitalen Akte dabei unterschiedliche Vorgaben. Es muss beispielsweise durch Sicherheitsmaßnahmen sichergestellt sein, dass Dritte in einer Klinik nicht einfach auf Computer mit den Daten zugreifen oder Papierakten entwenden. Bei Erhebungen für Forschungszwecke ist wiederum eine zuverlässige Anonymisierung zumindest ohne ausdrückliche Einverständniserklärung alternativlos.

Die meisten medizinischen Einrichtungen wenden sich an Datenschutzbeauftragte, um bei der Erfüllung der präzisen Vorschriften Missverständnisse zu verhindern. Wenn keine Einverständniserklärung vorliegt, führt die unbefugte Weitergabe einer Patientenakte für die Verantwortlichen oft zu Geldstrafen, Abmahnungen oder schwerwiegenderen Konsequenzen. Es ist allerdings häufig kaum möglich, einen verbotenen Datenhandel nachzuweisen.

Voraussetzungen für eine wirksame Einverständniserklärung und Möglichkeiten des Auskunftsrechts

Eine Einverständniserklärung zur Übertragung von Informationen aus einer Patientenakte gilt nur, insofern der Betroffene über die Datenweitergabe zuvor umfassend aufgeklärt wurde. Dabei muss ein Arzt dem Patienten alle Empfänger nennen und den konkreten Zweck der Datennutzung erläutern. Wer beispielsweise selbst ein Gutachten erstellen lassen möchte, darf dafür seinen Arzt auch schriftlich von der Schweigepflicht entbinden. Es ist zwingend erforderlich, dass jede Einverständniserklärung die Absichten des Patienten unmissverständlich ausdrückt. Erklärungen mit ungenauen Formulierungen bleiben unwirksam.

Durch das Auskunftsrecht besteht die Gelegenheit, die eigene Patientenakte selbst zu überprüfen. Daraufhin dürfen Patienten die Löschung von unzulässig erhobenen Informationen verlangen. Ein Anspruch auf die Sperrung oder Berichtigung einzelner Inhalte entsteht manchmal ebenso. So können die Patienten teils selber den Patientenschutz gewährleisten.

Nicht ganz zu Unrecht ist WhatsApp in Unternehmen nicht unbedingt die erste Wahl für eine schnelle und sichere Kommunikation. Denn der Messenger, der inzwischen Facebook gehört, ist zwar komfortabel und blitzschnell, allerdings beim Datenschutz mangelhaft.

Das stößt schon so manchem Privatuser sauer auf. Doch bei Unternehmen stehen potentiell Interna auf dem Spiel. Entsprechend sollten Firmen sich nach einer WhatsApp Alternative umsehen, die WhatsApp im Unternehmen obsolet macht.

Einige passende Messenger verrät dieser kompakte Überblick.

Warum WhatsApp in Unternehmen nur zweite Wahl ist – Datenschutz und Datensicherheit auf dem Prüfstand

Zunächst einmal ist festzuhalten, dass WhatsApp funktional einer der besten Instant Messenger ist. Dafür sorgt alleine die hohe Verbreitung, die jedoch bei Messengern – anders als etwa bei Social Media – de facto keine Monopolisierung ausgelöst hat.

Dass WhatsApp in Unternehmen und bei privaten Nutzern also Probleme mit dem Datenschutz aufweist, ist in diesem Fall nicht ganz so kritisch. Schließlich kann sich jeder User selbst entscheiden, zu einer WhatsApp Alternative zu wechseln.

Zu den beschriebenen, zuwenigst problematischen Punkten zählen beispielsweise das

• Speichern (und die potentielle Weitergabe) von Telefonnummern,
• Geräten und Betriebssystemen, Registrierungsdatum,
• letztem Log-In
• und häufig genutzten Funktionen.

Die Weitergabe bezieht sich vor allem auf Werbezwecke, auch Daten aus den Adressbüchern kann der Messenger weitergeben. Das ist bei WhatsApp in Unternehmen natürlich besonders kritisch, etwa dann, wenn die WhatsApp Daten von Kunden an die Werbepartner von WhatsApp und Facebook weitergegibt.

Zudem, auch das ist besonders kritisch, kann WhatsApp die Userdaten  in die USA schicken. Die Daten sind somit nicht an inländische Server und deren hohe Sicherheitsstandards gebunden.

Dass WhatsApp auch Unternehmen mit Features wie der Ende-zu-Ende-Verschlüsselung locken will, ist zwar nett gemeint. Dies schützt aber Firmendaten vor der eigentlichen Gefahr nicht. Denn natürlich ist es lobenswert, dass WhatsApp Unternehmen einen zusätzlichen Schutz der Nachrichten vor dem Zugriff Dritter bietet. Gefährdet sind die Daten aber zunächst einmal durch WhatsApp selbst.

Das lässt sich mit einer WhatsApp Alternative natürlich leicht umgehen. Sichere und mit dem Datenschutz konforme Apps bietet die folgende Liste.

Threema – deutlich sicherer als WhatsApp in Unternehmen

Der Messenger Threema wurde ursprünglich in der Schweiz entwickelt und bietet gleich mehrere Verifizierungsverfahren. Um etwa die Identität eines Nachrichtenempfängers sicher festzustellen, ist ein QR-Code auf dessen Gerät zu scannen.

Personenbezogene Daten werden überhaupt nicht übermittelt und alle gesendeten und empfangenen Daten verschlüsselt. Diese Verschlüsselung macht sich tatsächlich auch in einer winzigen Verzögerung dieser WhatsApp Alternative bemerkbar. Weiter störend ist das nicht, allerdings ist die App auch nicht kostenlos.

Ideal ist Threema damit vor allem für kleinere Unternehmen mit zentral verwalteter IT und für die interne Kommunikation.

Teamwire – ein Messenger für Unternehmen

Anders als WhatsApp, das für Unternehmen doch nur ein zweckentfremdeter Messenger für private User ist, ist Teamwire eine App für die Firmenkommunikation.

Das bedeutet, dass man beispielsweise Team-Kanäle einrichten kann, was die Kommunikation in Unternehmen doch deutlich erleichtert. Mit Umfragen, Admin-Funktionen, Anbindung an IoT-Systeme und maßgeschneiderten Team-Alarmen bietet Teamwire zusätzliche Tools, die WhatsApp einem Unternehmen nicht bieten kann.

Auch die Basics stimmen und Teamwire ist mindestens eine vollkommen funktionale WhatsApp Alternative . Das anpassbare Design erlaubt zudem etwas mehr Flexibilität.

Außerdem ist das Messaging absolut konform mit der neuen Datenschutzgrundverordnung (DSGVO).

Telegram – ein leichter Umstieg

Telegram ist nicht nur als Ersatz von WhatsApp in Unternehmen reizvoll, sondern auch für private User. Die Verschlüsselung erfolgt zwischen Sender, Server und Client, so dass nur Sender und Empfänger Nachrichten lesen können. Eine Ende-zu-Ende-Verschlüsselung und automatisches Löschen der Nachrichten kann zudem auf Wunsch aktiviert werden. (Der Fairness halber: WhatsApp bietet diese Funktion für mehr Datenschutz auch.)

Über Telegram kann man auch große Dateien verschicken und muss Bildanhänge nicht komprimieren. Das macht Telegram auch zu einer guten Wahl für einen schnellen Datenaustausch zwischen Smartphone und Desktop-Client.

Das Unternehmen selbst ist aber etwas intransparent, bedenkenlos kann Telegram daher nicht empfohlen werden.

Datenschutz und schnelles Messaging für Unternehmen

Wie dieser Überblick zeigen sollte, muss es nicht immer WhatsApp sein. Natürlich haben viele User die App bereits installiert. Dies macht es so komfortabel, sie auch im professionellen Kontext zu nutzen – aus Datenschutzgründen ist davon allerdings abzuraten.

Telegram, Threema, Teamwire oder auch ginglo, Signal und Hoccer sind veritable Alternativen, die mehr Datenschutz bieten, aber Komfort und Funktionen nicht vermissen lassen.

Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von rechtlichen Konsequenzen gehabt. Eine dieser Änderungen betrifft die so genannte Datenschutz Folgenabschätzung (DSFA). In dieser Hinsicht wurden die gesetzlichen Vorgaben gegenüber der alten Fassung des BDSG deutlich ausgeweitet.

Wann ist eine Datenschutz Folgenabschätzung notwendig?

Bei der Datenschutz Folgenabschätzung geht es, wie der Name bereits sagt, um die Abschätzung der Folgen von Maßnahmen im Hinblick auf den Datenschutz. Hierzu lauten die entsprechenden Ausführungen in Art. 35 Abs. 1 S. 1 der DSGVO wie folgt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Wie bereits auf den ersten Blick erkennbar ist, handelt es sich um keine Kann- oder Soll-, sondern um eine Mussbestimmung. Immer wenn ein hohes Risiko in Sachen Datenschutz besteht, ist daher eine DSFA durchzuführen. Andererseits handelt es sich gleichwohl um eine Vorschrift, die eine Ermessensausübung durch den Datenschutzbeauftragten in Form einer Abwägung notwendig macht. Im Rahmen einer vorausschauenden Betrachtung der Sachlage muss er die Wahrscheinlichkeit eines Eintritts von Problemen beim Datenschutz überprüfen. Nur sofern hier ein hohes Risiko besteht, ist die DSFA zwingend vorgeschrieben.

Worum geht es bei der Datenschutz Folgenabschätzung inhaltlich?

Nachdem der gesetzliche Rahmen für die Notwendigkeit der Durchführung einer DSFA damit abgesteckt ist, geht es im nächsten Schritt um deren Durchführung. Die Datenschutz Folgenabschätzung erfolgt in mehreren Abschnitten. Dabei handelt es sich um folgende drei Phasen:

• Vorbereitung:
  Definition des Gegenstands der Prüfung sowie der Akteure und rechtlichen Grundlagen
• Bewertung:
  Einschätzung der bestehenden Risiken in Sachen Datenschutz
• Maßnahmen:
  Implementierung von Regeln und Maßnahmen zur Prävention von Datenschutzverletzungen

Wichtig ist dabei, sämtliche Schritte gut zu dokumentieren, um einen Nachweis über die Durchführung der Datenschutz Folgenabschätzung zu haben. Dies ist nicht zuletzt deshalb wichtig, weil Art. 35 Abs. 1 S. 2 der DSGVO festlegt, dass bei ähnlichen Bearbeitungsvorgängen eine einzige DSFA für alle diese Vorgänge vorgenommen werden kann. Durch die Dokumentation sind daher auch kurze Zeit später auftretende Probleme verwandter Art mit abgedeckt.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Wie bereits ausgeführt, obliegt dem durchführenden Organ der DSFA die Pflicht einer Abwägung der Risiken. Hier können die Ergebnisse naturgemäß je nach Charakter der Verantwortlichen variieren. In bestimmten Fällen gibt jedoch der Gesetzestext der DSGVO vor, dass eine DSFA zwingend durchzuführen ist. Die entsprechenden Regelbeispiele lassen sich in Art. 35 Abs. 3 DSGVO finden. Diese Fallbeispiele lauten:

1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10, oder
3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Eine DSFA ist demnach aufgrund von Fallgruppe eins immer dann notwendig, wenn das Maß an Verarbeitung persönlicher Daten in einen Bereich gelangt, in dem die Erstellung persönlicher Profile möglich ist. Fallgruppe zwei betrifft dagegen die Notwendigkeit der Durchführung einer DSFA, wenn die gespeicherten personenbezogenen Daten sich sensible strafrechtliche Informationen beziehen. Fallgruppe drei schließlich betrifft die Erstellung und Speicherung von Fotos und Videoaufzeichnungen, die im öffentlichen Raum gemacht wurden.

Im Zweifel immer eine DSFA durchführen

Die genannten Beispiele zeigen, dass es dem Gesetzgeber bei der Datenschutz Folgenabschätzung darum geht, besonders heikle Aspekte des Datenschutzes besser in den Griff zu bekommen. Entsprechend der Beispiele fällt es deutlich einfacher, die gesetzlichen Anforderungen besser zu verstehen, da dass erforderliche hohe Risiko auf diese Weise deutlich besser begreifbar ist. Festzuhalten bleibt aber, dass die Latte zwecks Meidung von Risiken im Zweifel immer eher zu niedrig als zu hoch aufgelegt werden sollte, wenn es um die Frage der Notwendigkeit einer DSFA geht.

Durch das Inkrafttreten der DSGVO im Frühjahr 2018 haben sich die gesetzlichen Rahmenbedingungen für personalisiertes Marketing entscheidend verändert. Die Rechte von Verbrauchern in Bezug auf die Erlangung, Speicherung und Löschung von Daten wurden stark ausgeweitet.

Dem müssen Unternehmen beim Umgang mit persönlichen Daten Rechnung tragen, da auch die Sensibilität von Verbrauchern im Hinblick auf einen effektiven Datenschutz in den letzten Jahren stärker geworden ist. Daher sind die relevanten Faktoren regelmäßig anhand einer Checkliste zu überprüfen, um einen möglichst sicheren und transparenten Schutz von Daten dauerhaft zu gewährleisten. Folgende Aspekte sind dabei von besonderer Relevanz:

Kontaktformulare

Ob es um die Beantwortung von Fragen, die Bestellung von Waren oder das Abonnieren eines Newsletters geht: Kaum eine Firmenseite im Internet kommt ohne Kontaktformular aus. Damit eine Antwortmöglichkeit gegeben ist und der Kunde persönlich angesprochen werden kann ist die Erhebung bestimmter persönlicher Daten unumgänglich. Sofern mit den Daten personalisiertes Marketing betrieben werden soll, bedarf es einer entsprechenden expliziten Einwilligung durch den Nutzer.

Anderenfalls stellt die Verwendung der Daten für personalisiertes Marketing einen Verstoß gegen die DSGVO dar. Aufgrund der möglichen hohen Bußgelder ist an diesem Punkt eine klare Darlegung des Verwendungszwecks der Daten unumgänglich. Weiterhin kommt es darauf an, Daten möglichst sparsam zu erheben und damit nur die Daten, die für den jeweiligen Zweck unerlässlich sind. Darüber hinaus sollte die Verschlüsselung höchsten technischen Ansprüchen genügen.

Newsletter- und E-Mail-Marketing

Wie bereits erklärt, kommt es insbesondere in Bezug auf personalisiertes Marketing mittels Newsletter oder E-Mail entscheidend auf eine explizite Einwilligung des Nutzers an. Auch wenn die DSVGO hierzu keine verbindlichen Vorgaben macht, gehört auf die Checkliste, dass personalisiertes Marketing nur nach einem Double-Opt-In-Verfahren zulässig sein sollte.

Der Nutzer sollte daher nicht nur auf der Seite angeklickt haben, dass er personalisiertes Marketing wünscht, sondern außerdem per E-Mail zusätzlich seine Einwilligung für personalisiertes Marketing erteilt haben. Weiterhin sollte jeder Newsletter bzw. jede E-Mail einen Link enthalten, über den sich der Bezug von Werbung, bei gleichzeitiger Löschung der Daten gemäß DSGVO, beenden lässt.

Cookies

Im Hinblick auf die Einhaltung der Grundsätze der DSGVO haben auch Cookies eine Relevanz, die durch die Seiten eines Unternehmens automatisch auf den Rechnern von Nutzern platziert werden. Auch wenn es sich hierbei nicht um personalisiertes Marketing handelt, ist dieser Punkt auch im Rahmen dieses Artikels notwendig, da auch insoweit eine Aufklärungspflicht sowie die Notwendigkeit der Einholung einer Erlaubnis durch den Nutzer besteht.

Auftragsverarbeitung

Auf die Checkliste zur Einhaltung der DSGVO gehört außerdem der Unterpunkt Auftragsverarbeitung. Da es sich dabei um die Weitergabe von persönlichen Kundendaten an Dritte zwecks Bearbeitung von Aufträgen handelt, ist dieser Bereich besonders sensibel und entsprechend gut technisch wie formal abzusichern.

Social Plugins

Social Plugins für Plattformen des Web 2.0 sollten ebenfalls Teil der Checkliste für eine regelmäßige Überprüfung der Datensicherheit nach der DSGVO sein. Personalisiertes Marketing auf diesem Wege zu betreiben ist in der einfachen Form nach der DSGVO ohnehin nicht mehr zulässig. Vielmehr ist eine 2 Klick Lösung notwendig, bei welcher der Nutzer den Sharing Button zunächst aktiv freischaltet, ehe er diesen anklickt.

Recht auf Vergessenwerden

Unerlässlich für die Checkliste ist außerdem ein Unterpunkt im Hinblick auf eine effektive Löschung von Daten. Im Hinblick auf die Nutzung, Änderung und Löschung von Daten wurden die Rechte von Verbrauchern durch die DSGVO entscheidend ausgeweitet. Daher sollten die technischen Grundlagen so ausgestaltet sein, dass jeweils eine vollständige Löschung vollzogen wird und eine versehentliche Nutzung für personalisiertes Marketing sicher ausgeschlossen werden kann.

Überprüfung der Bestandsdaten

Neben der zukünftigen Weiterentwicklung des Datenschutzes im Sinne der DSGVO geht es auch um die Überprüfung der in der Vergangenheit gesicherten Bestände von persönlichen Daten. Deren Speicherung und Nutzung sind anhand der neuen rechtlichen Rahmenbedingungen zu überprüfen. Eventuell notwendige Genehmigungen sind nachträglich einzuholen.

Cloudsicherheit – Datenschutz in der Cloud

Die Speicherung von Daten in der Cloud gilt als sicher und praktisch. Die Daten können quasi von jedem Ort der Welt abgerufen werden. Einzige Voraussetzung ist eine funktionierende Internetverbindung. Da die Daten in der Cloud einer Verschlüsselung unterliegen, sind die Bestimmungen zum Datenschutz zunächst gewährleistet.

In der Praxis ist es aber so, dass jedes Land eigene Datenschutzbestimmungen hat. Dies ist dann ein Problem, wenn Daten, die ein Unternehmen gespeichert hat, in einem anderen Land abzurufen sind. Es gilt, die Cloudsicherheit für personenbezogene Daten in der Cloud in jedem Land der Welt zu garantieren. Doch in diesem Bereich gibt es noch Nachholbedarf.

Cloudbasierte Lösungen von verschiedenen Anbietern

Die Möglichkeit der Datenspeicherung in der Cloud wird häufig als sogenannte Software-as-Service Leistung angeboten. Dies bedeutet, dass ein Anbieter die Oberfläche zur Verwaltung der Daten sowie den Speicherplatz zur Verfügung stellt. Für das Unternehmen ergibt sich der Vorteil, dass es sich nicht selbst um die Sicherung der Daten kümmern muss. Dies übernimmt der Anbieter. Das Unternehmen pflegt die Daten ein. Für die notwendige Sicherheit der Daten und die Verschlüsselung ist der Anbieter verantwortlich. Somit können sich Unternehmen auf ihr Kerngeschäft konzentrieren und brauchen sich um die Cloudsicherheit nicht zu kümmern.

Es gibt verschiedene Anbieter auf dem Markt, die Lösungen für die Cloudsicherheit anbieten. Bei der Auswahl des Anbieters ist es nicht nur wichtig, auf die einzelnen Leistungskomponenten zu achten. Auch der Datenschutz ist ein wichtiges Kriterium. Sitzt der Anbieter im Ausland, können womöglich andere Bestimmungen gelten als hierzulande.

Ablage von personenbezogenen Daten im Cloudspeicher

Eine hohe Cloudsicherheit ist sehr wichtig, um die im Cloudspeicher hinterlegten personenbezogenen Daten zu schützen. Dabei handelt es sich im Kern um Namen und Adressen. Aber auch E-Mail-Adressen sind bei Datendieben sehr begehrt und sollten deshalb mit einer Verschlüsselung versehen werden. Sitzt der Anbieter für den Cloudspeicher im Ausland oder werden Daten international abgerufen, gilt für die Verwaltung häufig der Datenschutz des Landes, in dem der Anbieter sitzt. Der Kunde sollte wissen, dass in Europa sehr strenge Datenschutzbestimmungen gelten. In anderen Staaten gibt es Vorschriften, die häufig nicht so streng ausgelegt werden.

Zu diesen Ländern gehören beispielsweise die USA. Viele cloudbasierte Anwendungen arbeiten eng mit Google zusammen. Das Unternehmen sitzt in den USA, und so gelten zunächst die Bestimmungen des Landes. Da sich der Datenschutz in Deutschland und in anderen europäischen Ländern von den US-amerikanischen Vorschriften unterscheiden, werden für die Gewährung der Cloudsicherheit in Europa sogenannte Auftragsverarbeitungsverträge geschlossen.

In einem solchen Vertrag werden alle relevanten Maßnahmen zur Cloudsicherheit festgehalten. Somit kann der Datenschutz auch dann nach europäischem Recht zugesichert werden, wenn das Unternehmen in einem Drittland registriert ist, in dem andere Bestimmungen gelten.

Verschlüsselung der Daten gemäß Datenschutzverordnung

Bei der Auswahl eines Anbieters für eine cloudbasierte Speicherlösung ist es wichtig, dass auf die Inhalte geachtet wird, die in dem Auftragsverarbeitungsvertrag festgelegt wurden. Unternehmen, die ihren Firmensitz im nichteuropäischen Ausland unterhalten, sollten sich verpflichten, die Bestimmungen nach Artikel 46 DSGVO einzuhalten. Speziell handelt es sich um das EU-US-Privacy-Shield-Zertifikat sowie Standarddatenschutzklauseln, die europäischem Recht entsprechen. Hat sich der Anbieter zur Einhaltung dieser Vorschriften in Bezug auf die Cloudsicherheit verpflichtet, kann der Kunde sicher sein, dass der Datenschutz nach europäischem Recht gesichert ist.

Trusted Cloud Logo für den Speicherort der Daten

Die Datenspeicherung für die Daten deutscher Kunden kann auch auf ausländischen Servern erfolgen. Auch hier ist es wichtig, dass trotz der Datenspeicherung im Ausland die Cloudsicherheit nach europäischem Recht sichergestellt wird. Kunden sollten bei der Auswahl des Anbieters auf des Trusted Cloud Logo achten. Hierbei handelt es sich um ein Zertifikat, das die Cloudsicherheit nach den Vorgaben sicherstellt, die vom Bundesministerium für Wirtschaft und Energie und der Stiftung Datenschutz erarbeitet wurden.

Trägt der Anbieter dieses Siegel, hat der Kunde die Sicherheit, dass sowohl die Verschlüsselung der Daten als auch die Cloudsicherheit deutschem und europäischem Recht entsprechen. Viele Anbieter unterhalten darüber hinaus Server in Deutschland. Ist dies sichergestellt, gibt es in Bezug auf den Datenschutz keine Unklarheiten und die Rechtslage ist klar. Bei der Wahl des Anbieters ist es somit unabdinglich, auf diese sicherheitsrelevanten Aspekte für den Datenschutz zu achten.

Es ist nicht unbekannt, dass es beim Datenschutzverstoß zu hohen Bußgeldzahlungen kommen kann. Seien Sie auf der sicheren Seite und stellen Sie sicher, dass sie die folgenden 6 Fehler im Sinne der DSGVO nicht machen werden.

Fehler 1 – Keine Dienstleisterliste

Ihr Unternehmen besitzt keine geführte Liste über Lieferanten, Kunden und Beschäftigen, die personenbezogene Daten erheben und verarbeiten.

Nach Art. 30 DSGVO ist der/die Verantwortliche dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In dieser Liste sind sämtliche Informationen zu Datenverarbeitungstätigkeiten zusammengefasst, vor allem Angaben zum Zweck der Verarbeitung und über die Art der personenbezogenen Daten.

Das Verzeichnis von Verarbeitungstätigkeiten ähnelt inhaltlich der alten Verfahrensverzeichnisse nach dem BDSG.

Fehler 2 – Datenschutzrichtlinie nicht vorhanden

Es fehlt eine klar definierte Datenschutzrichtlinie, welche auch „meldepflichtige“ Ereignisse festhält.

Meldepflichtige Fälle wären zum Beispiel:

• Beschwerden von Betroffenen, z.B. ihrer Webseitennutzer
• Einsatz eines neuen Dienstleisters, der personenbezogene Daten verarbeitet
• Werbemaßnahmen, z.B. Versand von Newslettern
• Online Marketingmaßnahmen, z.B. Conversion Tracking, Google AdWords
• Einführung eines neuen Tools oder Systems
• Verkauf von Teilen des Unternehmens

Eine solche Liste dient als Handlungshilfe für ihre Mitarbeiter und sollte stets aktualisiert werden.

Fehler 3 – Meldung von Datenschutzverstoß nach 72 Stunden

Überschreiten der gesetzlich vorgeschriebenen Meldefrist von 72 Stunden, bei einer Verletzung des Schutzes personenbezogener Daten.

Nach Art. 33 Abs.1 DSGVO sind Unternehmen verpflichtet, im Fall einer Verletzung des Schutzes personenbezogener Daten, diese unverzüglich bei der zuständigen Aufsichtsbehörde registrieren zu lassen. Jedoch kann von der Meldung abgesehen werden, wenn klar ist, dass kein Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.

Fehler 4 – Betroffene werden nicht informiert

Betroffene werden nach dem Fall eines datenschutzrechtlichen Verstoßes nicht informiert.

Nach Art. 34 DSGVO müssen Betroffene informiert werden, wenn gegen den Schutz ihrer personenbezogenen Daten verstoßen wurde oder ein hohes Risiko für die Rechte und Freiheiten besteht.

Fehler 5 – Datenschutz- Folgeabschätzung nicht vorhanden

Ihr Unternehmen hat keine Risikoabschätzung von (besonders) sensiblen personenbezogenen Daten durchgeführt. Bei unzureichend umgesetzten Maßnahmen, wie diese zum Beispiel, kann ein Bußgeld in Höhe von max. 2% des (weltweit) erzielten Jahresumsatz drohen.

Wenn ihr Unternehmen besonders sensible Daten verarbeitet oder die Datenverarbeitung dazu bestimmt ist Persönlichkeit, Fähigkeiten, Leistungen oder Verhalten von Betroffenen zu bewerten, müssen wahrscheinliche Risiken für die Rechte und Freiheiten des Betroffenen von einem*r Datenschutzbeauftragten geprüft werden. Die abschließende Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ist nichts anderes als die Bewertung von Risiken und deren mögliche Folgen.

Fehler 6 – Unternehmen ist handlungsunfähig

Ihr Unternehmen kann im worst case nicht handeln, da es keinen geeigneten Mechanismus gibt, der die geforderten Melde- und Informationspflichten initiiert.

Implementieren Sie eine*n Datenschutzbeauftragte*n und wenn benötigt in den verschiedenen Abteilungen eine*n Verantwortliche*n für den Datenschutz (Datenschutz-Koordinator*in). Die verantwortlichen Personen müssen Datenschutzverletzungen erkennen, sie bewerten und im letzten Schritt aktiv handeln. Der/ Die Datenschutzbeauftragte hat zu prüfen, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt.

Sorgen Sie vor!

Damit Sie und/oder ihr Unternehmen sicherstellen, dass die DSGVO zu genüge umgesetzt wird, wird ihnen von der neuen Gesetzgebung vorgeschrieben ein Datenschutzmanagement einzurichten. Verantwortliche im Datenschutzmanagement tragen dafür Sorge, dass die Datenschutzrichtlinien erfüllt werden als auch sichergestellt wird, dass diese nachweisbar gemacht werden.

Sie als Social-Media-Experte mussten sich unweigerlich mit der neuen Datenschutzgrundverordnung auseinandersetzen. Dabei ist nicht nur die DSGVO sondern auch die e-Privacy-Verordnung von großer Bedeutung im Social-Media-Marketing. Was sie dabei berücksichtigen sollten und das die DSGVO Ihnen einen Vorteil bietet, erfahren sie im Folgenden.

Berücksichtigung der DSGVO und der e-Privacy-Verordnung

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung für alle EU-Länder verbindlich. Hinsichtlich des alten Bundesdatenschutzgesetzes bringt die DSGVO teilweise auch Vereinfachung für Sie als Werbetreibenden mit.

Was bringt die DSGVO dem Werbetreibenden?

Mit der Einführung der DSGVO wird nun dem Unternehmen ein berechtigtes Interesse an der Verwendung von personenbezogenen Daten zu Marketingzwecken zugeschrieben. So stehen sich die Persönlichkeitsrechte der natürlichen Person und die Interessen des Werbetreibenden in einem ausgeglicheneren Verhältnis gegenüber als vorher.

Doch trotz dieser guten Nachricht, stellt die DSGVO hohe Anforderungen an Sie.

Was sind die wichtigstes Aspekte der DSGVO für den Werbetreibenden?

Das berechtigte Interesse

Um personenbezogene Daten einer natürlichen Person für Marketingzwecke zu verwenden, müssen die berechtigen Interessen des Unternehmens das Recht des Einzelnen überwiegen. Diese müssen vorab gründlich abgewägt werden. Beschrieben ist dies in Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Zudem muss der Grad der Beeinträchtigung der betroffenen Person untersucht werden. Diese Analyse bezieht sich maßgeblich auf öffentlich zugängliche Daten, wie Kontaktdaten aus einem Impressum oder Daten aus einem öffentlichen Profil.

Die Einwilligung einholen

Ist das berechtigte Interesse des Unternehmens nicht eindeutig oder bestehen Zweifel daran, dass die Daten an dieser Stelle erhoben, verarbeitet und genutzt werden, ist eine eindeutige Einwilligung des Betroffenen Voraussetzung.

Für das Social-Media-Marketing im Hinblick auf die DSGVO ist es genau so wichtig wie für die Nutzung von Webseiten – das Opt-In-Verfahren: Hierbei bedarf es einer aktiven und eindeutigen Einwilligungserklärung des Nutzers. Auch eine elektronische Angabe, wie das Anklicken eines Kontrollkästchens ist legitim. Zudem muss dem Nutzer detailliert und transparent aufgezeigt werden, welche persönlichen Daten erhoben, verarbeitet und genutzt werden und zu welchem Zweck. Wenn unterschiedliche Zwecke im Fokus stehen, muss für jedes einzelne Anliegen eine gesonderte Zustimmung des Nutzers erfolgen.

Die Datensicherung ist nur solange rechtens, wie die jeweilige Information des Zwecks benötigt wird.

Anonymisierung oder Pseudonymisierung der Nutzerdaten

Damit die Datennutzung- und Speicherung zulässig ist, müssen persönliche Daten wie Namen, Email-Adressen, IP-Adressen oder Andere die Identität einer Person spezifizierenden Daten pseudonymisiert oder anonymisiert werden.

Was ist bei der e-Privacy-Verordnung zu beachten?

Die e-Privacy-Verordnung beschäftigt sich genauer mit Tracking und der Verwendung von Cookies. Ein Hauptziel ist eine einheitliche Grundlage für die Einwilligungserklärung in die Nutzung von Cookies einzurichten. Wichtig ist, dass immer ein eindeutiger Hinweis über die Cookie-Nutzung erforderlich ist, sobald eine Seite ein Datenpaket zur Verarbeitung an das Gerät des Nutzers schickt. Häufig wird eine indirekte Einwilligung des Nutzer eingeholt, über: „Durch die weitere Nutzung unserer Seite stimmen Sie der Verwendung von Cookies zu.“

Das Social-Media-Marketing wird immer bedeutender. Kaum ein Unternehmen verfügt und bespielt noch nicht die unterschiedlichen Social-Media-Kanäle Twitter, Instagram, Facebook, Youtube & Co.. Oftmals erhält der Marketing-Experte in Echtheit Feedback über seine Werbekampagnen. Doch zugleich wird die Nutzung dieser Kanäle zu einer echte Herausforderung, wenn es um den Datenschutz geht.

Worauf muss bei Social-Media-Marketing besonders geachtet werden?

Die Impressumspflicht

Jedes Social-Media-Profil, welches geschäftlich genutzt wird, muss über ein Impressum, wie auf einer Webseite, verfügen. Wichtig sind bei der Impressumspflicht die Nennung von:

• Nennung des Betreibers des Profils
• vollständige Adresse des Betreibers (ACHTUNG: Postfächer sind als Adressangabe nicht ausreichend)
• Vertretung des Unternehmens
• Kontaktdaten (Telefon, Fax, Email)
• Registereintrag des Unternehmens, bei Freiberufler ist die Standeskammer zu nennen
• Angabe der Umsatzsteuer-ID
• Aktiengesellschaften mit beschränkter Haftung müssen dies im Impressum angeben

Der Facebook-Pixel

Mit Hilfe des sogenannten Facebook-Pixels kann die geschaltete Werbeanzeige und das Verhalten der jeweiligen Nutzer analysiert werden. Es handelt sich hier um einen Tracking-Code. Auch lassen sich Zielgruppenanalysen zur Optimierung einer Ad erstellen. Beachten müssen Sie dabei, dass der Nutzer eine Opt-out-Möglichkeit erhält, um dem Tracking zu widersprechen.

Die Einbindung von Social-Media-Plugins

Hinsichtlich des Datenschutzes der Nutzer ist die Einbindung von Social-Media-Buttons auf Unternehmensseiten recht problematisch. Durch ihre direkte Einbindung erhalten die genannten Social-Media-Unternehmen unbegrenzten Zugriff auf die Daten der Webseitenbesucher. Dabei ist es unerheblich, ob der Nutzer über ein Profil derjenigen Social-Media-Platformen besitzt, eingeloggt ist oder nicht. Ohne die Einwilligung des Nutzers ist eine solche Übermittlung von Daten unzulässig und das Unternehmen kann rechtlich in die Verantwortung genommen werden. Die Folge bei einem solchen Datenschutzverstoß sind Abmahnungen oder Bußgeldstrafen.

Was muss beim Social-Media-Monitoring beachtet werden?

Für Social-Media Experten ist das Social-Media-Monitoring ein häufig genutztes Werkzeug, um eine optimale Marketing-Strategie zu fahren. Beim Social-Media-Monitoring werden die sozialen Medien nach verschiedenen Informationen und Nutzerprofilen durchsucht, die für Unternehmen interessant sein können. Mit Keywords wird gezielt nach jenen Themen, Meinungen, Kritikern, Influencern etc. gefiltert, die für die Marketingstrategie relevant sind.

Ausschlaggebend für die Rechtmäßigkeit dieser Vorgänge sind die individuellen Privatsphäre- (Privacy) Einstellungen der Nutzer. Diese kann der Nutzer auf der jeweiligen Social-Media-Platform einstellen. Wurde das Profil beispielsweise auf „öffentlich“ gestellt, handelt es sich um öffentlich einsehbare Daten und das Social-Media-Monitoring ist legitim. Dennoch fällt diese Analyseart unter die „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden“, Art. 14 DSGVO.

Praxisempfehlung

Für jeden Marketing-Experten und für jedes Unternehmen ist es unabdingbar, sich mit der DSGVO zu beschäftigen. Sei es für die Aktualisierung der Webseite, dem Einrichten von Social-Media-Profilen oder für das Social-Media-Marketing, die Datenschutzgrundverordnung muss korrekt umgesetzt werden. Um ein Gefühl für die Materie zu entwickeln, sollte man sich als Betroffene*r zumindest einmal die Artikel 1-22 sowie 24-34 DSGVO durchlesen.