Die rechtlichen Auswirkungen von Social-Media- und Mobile-Strategien

So stieg in den USA die Anzahl an Sammelklagen aufgrund der unangemessenen Nutzung solcher Informationen massiv an. Die europäische Online-Werbeindustrie legte sich im Rahmen des „IAB Self Regulation Framework Program“ eine freiwillige Einschränkung des Trackings von Verbraucheraktivitäten für Marketingzwecke auf. Aktuell wird ein Entwurf für eine neue EU-Datenschutzregelung diskutiert, die im Januar 2012 vorgestellt und zurzeit von der Europäischen Kommission geprüft wird. Diese erlaubt Privatpersonen, auf ihre Daten zuzugreifen sowie anhand festgelegter Verfahren gemeinsam mit anderen Betroffenen Beschwerde einzulegen – in einem ähnlichen Verfahren wie bei US-amerikanischen Gemeinschaftsklagen („class suit actions“). Um Risiken für ihre Unternehmen zu minimieren, müssen Marketingverantwortliche daher gemeinsam mit der Rechtsabteilung und der IT folgende Punkte klären:

• Wo und wie werden Kundendaten gespeichert?
• Wie wirkt sich die schnell ändernde Rechtslage bei der Sammlung, Verwendung und Verteilung dieser Informationen für das Unternehmen aus?
• Wie kann eine rechtskonforme Vernichtungsstrategie aussehen, die sicherstellt, dass private Daten gemäß den relevanten Rechtsvorschriften vernichtet werden?

Die Verwendung von Kundendaten durch Drittanbieter mag zwar wirkungsvoll und kosteneffizient sein, birgt jedoch ebenfalls Risiken. Diese Erfahrung mussten einige US-Unternehmen auf die harte Tour machen, die ihre Kundendaten den E-Mail-Marketingfirmen Epsilon (unter anderem Target, TiVo, Capital One) beziehungsweise Silverpop (zum Beispiel McDonald’s, Honda, Play.com) anvertraut hatten: Sie mussten Hackerangriffe auf jene Dienstleister erklären, bei denen Daten von Millionen von Kunden in Umlauf geraten waren.

Laut einer aktuellen Studie des Ponemon-Instituts betrug der durchschnittliche Markenwertverlust aufgrund von Datenschutzverletzungen bei einem durchschnittlichen Markenwert von 1,5 Milliarden US-Dollar zwischen 184 und mehr als 330 Millionen US-Dollar. Das entspricht einem durchschnittlichen Verlust von 12 bis 25 Prozent. Die Studie zeigte auch, dass Unternehmen durchschnittlich ein ganzes Jahr brauchten, um ihren Ruf nach einer Datenschutzverletzung wieder herzustellen. Der neue Vorschlag zur EU-Datenschutzverordnung verlangt, dass Unternehmen Datenschutzverletzungen innerhalb von 24 Stunden an die lokalen Datenschutzbehörden melden müssen. Für Verstöße sind Strafzahlungen von bis zu zwei Prozent des weltweiten Jahresumsatzes vorgesehen. Außerdem müssen Unternehmen mit mehr als 250 Mitarbeitern einen Datenschutzbeauftragten beschäftigen, der Berichte fristgemäß abliefert.

Neben der Haftung für Datenschutzverletzungen müssen sich die Rechts- und die IT-Abteilungen mit zahlreichen verschiedenen Gesetzen auseinandersetzen. In der EU etwa ist der Datenschutz in den lokalen Umsetzungen der Datenschutz-Direktive 95/46/EC verankert, die 1995 eingeführt und auf dem Council of Europe Convention for the Protection of Individuals (1980) basiert. Die Regelungen wurden also lange vor der massenhaften Internetverbreitung erarbeitet, von Social Media und mobilen Anwendungen ganz zu schweigen. Der Abgleich neuer Technologien mit dem bestehenden rechtlichen Rahmen ist daher sicherlich nicht leicht.

Die aktuellen Anpassungen der Datenschutzregelungen zielen darauf ab, diese Herausforderungen zu lösen. Jedes Unternehmen, das personenbezogene Daten sammelt, muss also die anstehenden Änderungen im Auge behalten – und wie die einzelnen EU-Mitgliedsstaaten sie umsetzen. Genauso wachsam müssen deutsche Unternehmen agieren, die in den USA geschäftlich aktiv sind: Sie müssen mehrere hundert Gesetze beachten, wenn sie Daten zum Beispiel zur Social-Media- und Mobile-Media-Nutzung erheben. Dazu gehören Regelungen der Datensicherheit sowie angemessene Reaktionen auf deren Verletzung, Datenaufbewahrung und Vernichtung sowie Datenschutzbestimmungen zum Schutz der persönlichen Daten von Mitarbeitern und Kunden. Eine ganze Reihe an Vorgaben mit mannigfaltigen Abkürzungen (etwa HIPAA, COPPA, FACTA/FCRA, ECPA und VPPA) regelt dies.

Unternehmen, die unvorbereitet in Social-Media- oder Mobile-Media-Aktivitäten einsteigen, riskieren hohe Kosten und ein PR-Desaster. Die Thematik wird sich zweifelsohne über viele Jahre weiterentwickeln. Erst kürzlich wurde beispielsweise eine neue Technologie für den Einzelhandel vorgestellt, mit der Shops Verbrauchern Produkte und Dienstleistungen gezielt an der Kasse anbieten können. Die Lösung ermöglicht es Verbrauchern, ihre mobilen Geräte zu verwenden, um Bestellungen zu scannen, digitale Gutscheine einzulösen, Treuepunkte zu erhalten und an automatischen Kassen zu bezahlen. Auch wenn diese Lösung Vorteile sowohl für das Einzelhandelsunternehmen als auch für den Kunden bietet, wäre jeder Händler gut beraten, die Einhaltung von Gesetzen und Regelungen bei der Entwicklung seiner Datenverwendungsstrategien genau zu prüfen.

In Deutschland traf es im März 2012 beispielsweise Facebook: Der Konzern wurde aufgrund von Datenschutzverletzungen in zwei Fällen verurteilt. Ein Streitpunkt war die Funktion „Friend Finder“, die Kontakte des Nutzers inklusive Telefonnummern und E-Mail-Adressen ohne Zustimmung oder Hinweis in Facebook importierte. Das Landgericht Berlin urteilte, dass Nutzer klar und deutlich darüber informiert werden müssen, dass der Freundefinder ihr gesamtes Adressbuch importiert und für Einladungen in das Netzwerk genutzt wird.

Zudem untersuchten deutsche Gerichte den Sachverhalt der Eigentümerschaft über Daten, die auf die Seite hochgeladen werden, vor allem eigene Fotos, Musikstücke und Videos. Gemäß den Facebook-Nutzungsbedingungen erlangte das Unternehmen mit dem Upload das Eigentumsrecht für diese Daten und durfte sie beliebig verwenden. Die Ankläger argumentierten, dass die Kontrolle über die Daten bei den Anwendern bleiben muss. Der Richter teilte diese Ansicht und stellte fest, dass die Verwendung persönlicher Inhalte durch Facebook deutsche Datenschutzrechte verletzt und dass das Netzwerk solche Inhalte nur mit Zustimmung der Nutzer verwenden darf. Auch wenn diese Fälle sich auf Facebook beziehen, betreffen die Auswirkungen alle Unternehmen, die über mobile Anwendungen und Social-Media-Seiten Kontaktinformationen oder Originalinhalte der Anwender sammeln.

Bewährte Methoden für die Verwendung von Social-Mobile-Daten im Marketing

Zu Themen wie der Datenverwendung im Social-Media-Zeitalter hat das Expertengremium CGOC (Compliance, Governance and Oversight Council) zahlreiche Hilfestellungen entwickelt. Die Organisation bringt Spezialisten aus Rechtsabteilungen, Aktenverwaltung und Informationsmanagement an einen Tisch, um bestehende und künftige Ansätze für die Sachverhaltsfeststellung, Informationsverwaltung, Datenaufbewahrung und Einhaltung des Datenschutzes zu diskutieren. Unternehmen können auf die Expertise des CGOC zurückgreifen und ihre Risiken reduzieren.

Um Rechtsstreitigkeiten beim Datenschutz sowie behördliche Vollstreckungen im Zusammenhang mit der Verwendung von Daten aus Social-Media- und Mobile-Anwendungen zu vermeiden, sollten Marketingleiter die folgenden sieben Empfehlungen beherzigen:

• Behandeln Sie die gesammelten Informationen wie private Daten und nicht wie anonyme Kundendaten. Erarbeiten Sie ein klares Konzept und legen Sie fest, was Sie sammeln, wie Sie es sammeln, wie Sie es speichern, wer Zugriff erhält, welche Stufe und welche Art der Zustimmung notwendig sind und wie lange Sie Informationen aufbewahren möchten.
• Stellen Sie sicher, dass in Lizenz- und Nutzungsvereinbarungen für Ihre Social-Media-Anwendungen deutlich wird, wie Sie beabsichtigen, die gesammelten Daten zu verwenden. Beachten Sie die aktuellen gesetzlichen Anforderungen und passen Sie ihre Vereinbarungen regelmäßig an.
• Wenn Sie Regeln für die Datenspeicherung aus Social-Media- und Mobile-Anwendungen festlegen, beachten Sie auch, wofür Ihre Marke steht und was Sie in Ihren Marketingmaterialien kommunizieren („Für uns steht der Kunde an erster Stelle.“).
• Sprechen Sie mit Ihrer Rechtsabteilung. Vermitteln Sie ihre Marketingziele: woran sie aktuell arbeiten und was für das nächste Jahr geplant ist, vor allem in der Kundenbindung sowie in Social Media und mobilen Apps.
• Überarbeiten Sie Ihre Datenschutzrichtlinien unter Berücksichtigung dessen, was Ihr Unternehmen tatsächlich tut. Dann setzen Sie Ihre Richtlinien um. Entwerfen sie sie so, dass sie auch ausgeführt und nicht nur angestrebt werden.
• Lassen Sie sich von den Experten in der Rechtsabteilung die Regelungen zur Datenaufzeichnung und -aufbewahrung in Ihrem Unternehmen erklären. So minimieren Sie Risiken von Regelverstößen und der elektronischen Sachverhaltsfeststellung.
• Stellen Sie sicher, dass Sie die Quellen und die innere Struktur der heute sehr komplexen Informationen verstehen. Woher stammen sie? Wie sind sie aufgebaut und aggregiert? Wer hat Zugriff darauf während der Aufbewahrungszeit? Wie werden sie verwendet und wiederverwendet? Werden sie verkauft, getauscht oder an Dritte weitergegeben? Wie können Sie vor der Vernichtung des Speichermediums unbrauchbar gemacht werden?
• Arbeiten Sie eng mit dem Chief Information Officer zusammen und stützen Sie sich dabei auf Ansätze wie den Information Lifecycle Leader Governance Reference Guide des CGOC. Auf dieser Basis können Sie ein bereichsübergreifendes Information Lifecycle-Governance- (ILG-) Programm entwickeln, mit dem sich die Vernichtung privater Informationen entsprechend der rechtlichen Vorgaben umsetzen lässt. Zudem können Sie definieren, wie Daten ohne Rechts- oder Geschäftsrelevanz rechtssicher vernichtet werden können.

Marketingleiter erhalten mit Social- und Mobile-Media-Anwendungen leistungsstarke neue Ansätze für die Kundenbindung. Daher ist es unerlässlich, dass sie mit der Rechtsabteilung und der IT eng zusammenarbeiten, um die richtige Aufbewahrung und Verwendung der enormen Datenmengen zu gewährleisten. Nur so können Sie rechtliche und regulatorische Risiken minimieren, die zu finanziellen Einbußen führen und Ihre Unternehmensmarke deutlich schädigen können.

Autor: David White, Director, AlixPartners LLP, Gremiumsmitglied. Er  besitzt mehr als zehn Jahre Erfahrung als Anwalt in Wirtschaftsprozessen. Dabei unterstützte er Unternehmen in der Vorbereitung und Reaktion auf Sachstandsfeststellungen in Gerichtsverfahren und regulatorischen Fragen. Dazu gehörten die Felder elektronische Dokumentenerhaltung und -produktion, Verminderung von Unterschlagung beweiserheblichen Materials und digitale Forensik. Der Anwalt trägt regelmäßig zur Sedona-Konferenz bei, ist Mitglied des CGOC-Kerngremiums und hält Vorträge zu den Themen E-Discovery und Datenschutz. Zurzeit ist David White Anwalt und Director des Bereichs „Information Management Services“ bei der US-Kanzlei AlixPartners. Dabei fokussiert er sich auf Fragestellungen im Zusammenhang mit der E-Discovery und Information Governance, unter anderem internationale und nationale Datenschutz- und Sicherheitsfragen sowie allgemeine IT-Compliance-Probleme. Im Laufe seiner Karriere war White Partner in einer der vom Magazin „American Law“ zu den 100 besten Anwaltskanzleien gewählten Kanzleien tätig.