Rechtssicher im Netz mit Social Media Monitoring

Social Media Monitoring erstreckt sich auf alle nutzergenerierten Inhalte in sozialen Netzwerken, die sich zum Beispiel auf die Marke oder die Produkte eines Unternehmens, ihre Mitarbeiter, Wettbewerber oder Kunden beziehen. Das Monitoring kann entweder durch das Unternehmen selbst oder durch einen externen Dienstleister durchgeführt werden. Die strengen deutschen Datenschutzvorschriften sind in beiden Fällen zu beachten.

Grundsätze des Datenschutzes

Nach § 4 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten, das heißt nicht anonymisierte (§ 3 Absatz 6 BDSG) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, grundsätzlich nur dann erhoben, verarbeitet oder genutzt werden, wenn der Betroffene eingewilligt hat. An einer Einwilligung des Betroffenen wird es allerdings beim Social Media Monitoring regelmäßig fehlen. Alternativ ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten auch dann zulässig, wenn eine Rechtsvorschrift dies ausdrücklich erlaubt. Eine solche Vorschrift ist § 28 Absatz 1 Nr. 3 BDSG: Danach dürfen Daten, die öffentlich zugänglich sind, erhoben, verarbeitet oder genutzt werden, soweit das schutzwürdige Interesse des Betroffenen das berechtigte Interesse des Unternehmens nicht übersteigt. Als allgemein zugänglich gelten Daten immer dann, wenn sie dazu geeignet sind, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln. Wann und wie weit soziale Netzwerke und Foren als allgemein zugängliche Quellen einzustufen sind, ist im Einzelnen umstritten. Klar ist jedoch: Social-Media-Profile, Blog-Beiträge und zugehörige Kommentare, Einträge auf Bewertungsplattformen oder Forenbeiträge, die für jedermann sichtbar sind, sind als allgemein zugängliche Daten zu qualifizieren.

Anders stellt sich der Fall dar, wenn Daten nur unter bestimmten Voraussetzungen zugänglich sind, wenn also beispielsweise ein Forum nur für einen bestimmten Nutzerkreis angelegt ist oder der Autor seine Beiträge nur für ausgewählte Kontakte sichtbar macht. Solche Beiträge in sozialen Netzwerken sollen gerade nicht für alle Internetnutzer gleichermaßen zugänglich sein. Gewährt der Nutzer den Zugang, etwa, indem er eine Kontaktanfrage bestätigt, bezieht sich die Erlaubnis grundsätzlich nur auf die soziale Interaktion mit dem konkreten Gegenüber – nicht auf die geschäftliche Überwachung und Analyse der von ihm erstellten Inhalte. Hinzu kommt bei sozialen Netzwerken, Blogs oder Foren, die eine vorherige Registrierung erfordern, dass die jeweiligen Nutzungsbedingungen des Betreibers häufig die Auswertung und Nutzung der Inhalte für geschäftliche Zwecke ausdrücklich untersagen.

Vorsicht bei Mitarbeiterdaten

Beabsichtigt ein Unternehmen, in sozialen Medien Informationen über Mitarbeiter oder Bewerber auszuwerten, sind zudem spezielle Vorschriften des Beschäftigtendatenschutzes zu berücksichtigen: Nach § 32 Absatz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten nur erhoben, verarbeitet oder genutzt werden, soweit dies erforderlich ist, um über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses zu entscheiden. Abgesehen von Maßnahmen zum Zweck der Leistungskontrolle oder zur Identifikation etwaiger rechtlicher Verstöße, ist das Unternehmen daher nicht berechtigt, gezielt Informationen über den Beschäftigten zusammenzustellen und auszuwerten. Dies gilt insbesondere auch für Informationen, die ein Beschäftigter in ein privates Netzwerk eingestellt oder die das Unternehmen beim Social Media Monitoring als „Zufallsfund“ erhalten hat.

Externe sorgfältig auswählen

Entscheidet sich ein Unternehmen dafür, einen externen Dienstleister mit dem Social Media Monitoring zu beauftragen, stellt die damit verbundene Erhebung, Verarbeitung und Nutzung personenbezogener Daten eine so genannte Auftragsdatenverarbeitung (§ 11 BDSG) dar. Wichtig für das beauftragende Unternehmen in diesem Zusammenhang: Es bleibt weiterhin selbst dafür verantwortlich, dass der Datenschutz eingehalten wird. Verstößt der beauftragte Dienstleister gegen das Datenschutzrecht, haftet gegenüber den Betroffenen allein das Unternehmen. Externe Dienstleister sollten daher sehr sorgfältig ausgewählt werden. Ein Vertrag über die Auftragsdatenverarbeitung muss schriftlich abgeschlossen werden und sollte insbesondere folgende Punkte enthalten: Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung, die zu treffenden technischen und organisatorischen Maßnahmen sowie die Kontrollrechte und Weisungsbefugnisse des Auftraggebers.

Verstöße können teuer werden

Wird beim Social Media Monitoring gegen Datenschutzvorschriften verstoßen, drohen Bußgelder. Diese werden von der zuständigen Datenschutzbehörde verhängt und können bis zu 300.000 Euro betragen; bei typischen Rechtsverstößen liegt das Bußgeld meist bei bis zu 50.000 Euro.

Unabhängig davon können Betroffene, deren Daten unzulässig erhoben, verarbeitet oder genutzt worden sind, das Unternehmen auf Unterlassung in Anspruch nehmen und die jeweilige Social-Media-Monitoring-Maßnahme untersagen lassen. Daneben tritt das Recht des Betroffenen, das Löschen unzulässig gespeicherter Daten und gegebenenfalls Schadensersatz zu verlangen. Da eine Beauftragung eines externen Dienstleisters an der Verantwortlichkeit des Unternehmens für die Einhaltung der Datenschutzvorschriften nichts ändert, haftet das Unternehmen auch in diesen Fällen gegenüber dem Betroffenen. Allerdings können Unternehmen in dem Vertrag mit dem Dienstleister vorsehen, dass der Dienstleister für eigene Datenschutzverstöße haftet, so dass das Unternehmen im Schadensfall Rückgriff nehmen kann.

Spielräume richtig nutzen

Der Spielraum, Social Media Monitoring im Einklang mit dem deutschen Datenschutz zu betreiben, ist relativ groß – entscheidend ist für Unternehmen, ihn richtig zu nutzen. Wird das Social Media Monitoring einem externen Dienstleister übertragen, werden bereits mit Abschluss des Vertrages zwischen Auftraggeber und Dienstleister wichtige Weichen gestellt. Entscheidendes Kriterium für die datenschutzrechtliche Zulässigkeit wird in den meisten Fällen die sorgfältige Abwägung zwischen dem schutzwürdigen Interesse des Betroffenen, sprich dem privaten Internetnutzer, und dem berechtigten Interesse des Unternehmens an der Datenerhebung sein. Um Bußgelder, Unterlassungs- und Schadensersatzansprüche zu vermeiden, sollten Unternehmen daher im Vorfeld genau überlegen, wie tief das Social Media Monitoring in soziale Netze eindringen muss, um berechtigte Firmeninteressen zu wahren, ohne dabei rechtliche Grenzen zu überschreiten. (ak)

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags