Was ist 2020 noch erlaubt? – Rechtsupdate zu Onlinemarketing, Social Media, Cookies, Corporate Influencern und DSGVO

Zunächst wünsche ich Ihnen ein gutes neues Jahr, das rechtlich wieder viel Spannung mit sich bringt. Mit „rechtlich“ meine ich die DSGVO und mit „Spannung“ die wiederholten Bußgelddrohungen seitens der Datenschutzbehörden.

Aus diesem Anlass habe ich mir mit dem Landesdatenschutzbeauftragten für Baden-Württemberg (BW) und dem Bundesdatenschutzbeauftragten (in der Funktion eines „Corporate Influencers”) zwei Beispiele der Social-Media-Nutzung ausgesucht. Anhand ihrer Accounts bei Twitter (bzw. der Accountaufgabe) erläutere ich die aktuelle Rechtslage und prüfe zudem, ob sie als gute Vorbilder für die Social-Media-Nutzung taugen.

Am Ende des Beitrags erhalten Sie ferner eine Zusammenfassung der wichtigsten Erkenntnisse und Empfehlungen für die Praxis.

Ich wünsche Ihnen viel Freude beim Lesen und viel Erfolg.

Datenschutzbehörde Baden-Württemberg – einmal Twitter und zurück

Der Twitterauftritt des Landesdatenschutzbeauftragten BW Stefan Brink war ein gutes Beispiel für eine niederschwellige, direkte und reichweitenstarke Behördenkommunikation. Es gibt zwar Alternativen, wie Websites, Newsletter oder dezentrale Netzwerke wie Mastodon. Die faktischen Vorteile zentraler Netzwerke können sie jedoch derzeit nicht ersetzen. Zumindest wenn die Diskussionen und Informationen die Blase der fachlich aktiv interessierten Personen verlassen und die breite Öffentlichkeit erreichen sollen.

Zum Jahreswechsel verkündete der baden-württembergische (BW) Landesdatenschutzbeauftragte, dass er den behördlichen Twitter-Account ab Ende Januar 2020 aufgeben wird. Bis dahin hatte der Account als Vorbild für eine bürgernahe Kommunikation und fachlichen Austausch gegolten, sodass das Bedauern ob dieses Schritts nicht verwunderlich war.

Als Grund gab der Landesdatenschutzbeauftragte an, dass nach den Urteilen des EuGHs/BVerwGs zur datenschutzrechtlichen Mitverantwortung und mangelnden Kooperation von Twitter, ein rechtmäßiger Betrieb seines Accounts nicht möglich sei. Zugleich kündigte er einen „harten Kurs gegen Nutzer in Behörden und Unternehmen” an.

Das klingt inkonsequent, da die Gerichtsurteile bei der Errichtung des Accounts absehbar waren. Im Nachhinein wirkt dieser Twitterausflug so, als ob der Landesdatenschutzbeauftragte letztendlich doch auf die Linie der anderen 17 Datenschutzbehörden gebracht wurde.

Aber immerhin, der Landesdatenschutzbeauftragte BW hat sich redlich bemüht, und angesichts der Rechtslage war mehr als ein Bemühen kaum zu erwarten.

Social Media als riesige Mitverantwortungsmaschine

Der Landesdatenschutzbeauftragte BW hat Twitter verlassen, da seine Behörde für Twitters Datenverarbeitung mitverantwortlich ist – das zumindest, wenn man die Rechtsprechung des EuGHs so weit versteht, wie sie klingt.

Der EuGH hat 2018 entschieden, dass Betreiber von Fanpages für die Erhebung der Daten ihrer Besucher durch Facebook mitverantwortlich sind (EuGH, 05.06.2018 – C-210/16 „Wirtschaftsakademie”). 2019 bekräftigte das Gericht diese Rechtsprechung mit Blick auf Social Plugins, die auf Webseiten eingebunden werden (EuGH, 29.07.2019 – C-40/17 „Fashion ID”, es ging um den „Like-Button”). Die Schwelle für die Mitverantwortung setzte der EuGH sehr niedrig an:

  • Mitentscheidung über die Mittel der Verarbeitung. Hierfür ist es ausreichend, die Fanpage zu eröffnen oder ein Social Plugin einzubinden.
  • Mitentscheidung über die Zwecke der Verarbeitung. Bei Fanpages sagte der EuGH noch, dass die Betreiber von den Erkenntnissen der Insights-Statistiken ihrer Fanpages profitieren; im Falle des Like-Buttons reichte es dem EuGH praktisch, dass Webseitenbetreiber aus Eigeninteresse bewusst Facebooks Datenerhebung zu Werbezwecken fördern.

Ist Social Media illegal?

Mit einem derart weiten Verständnis der Mitverantwortlichkeit wären praktisch alle Inhaber von Social-Media-Profilen (z.B. Facebook, Twitter, LinkedIn, YouTube, Instagram, Pinterest etc.) und Nutzer vieler Onlinemarketingtools (z.B. Google Analytics) für die Erhebung der Daten ihrer Profil-, bzw. Websitebesucher mitverantwortlich.

Damit würden die Profilinhaber und Nutzer von Onlinemarketingtools, zumindest nach Ansicht deutscher Datenschutzbehörden, wegen fehlender Formalien und des Einsatzes von Cookies illegal handeln (s. dazu hier im Blog „EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal”).

Dass man den EuGH auch anders verstehen kann, erklärt z.B. Rechtsanwalt Thomas Stadler . Allerdings denke ich nicht, dass man pauschal sagen kann, dass Twitter-Profile, anders als Facebook-Seiten aufgebaut sind, eher der Meinungsfreiheit dienen und deswegen anders als Facebook behandelt werden müssen.

Fehlende Vereinbarungen bei Mitverantwortlichkeit

Nach der Kritik der Datenschutzbehörden hat Facebook seine bisherige Vereinbarung über gemeinsame Verantwortlichkeit (links) angepasst (rechts). Andere Plattformen bieten keine derartigen Vereinbarungen an. Das ist insoweit nachvollziehbar, als sie damit die ihrer Ansicht nach von Datenschutzbehörden zu weit verstandene Mitverantwortung quasi anerkennen würden. Facebook musste dagegen handeln, da die gemeinsame Verantwortlichkeit für Facebook-Seiten vom EuGH festgestellt wurde.

Die Mitverantwortlichkeit für die Social-Media-Profile hätte zur Folge, dass zwischen den Plattformanbietern (ich fasse Onlinemarketingtools darunter) und den Profilinhabern besondere Vereinbarungen geschlossen werden müssten (Art. 26 DSGVO). Diese Vereinbarungen müssten regeln, welche personenbezogenen Daten in welchem Umfang zu welchen Zwecken verarbeitet werden und vor allem, welcher der Beteiligten für Anfragen von Nutzern zuständig ist.

Bis dato gilt eine solche Vereinbarung nur für Facebook-Seiten (wobei die bisherige Vereinbarung von Datenschutzbehörden für unzureichend gehalten wurde, s. der Beitrag „(Vorerst) Erleichterung für Fanpage-Betreiber: Facebook kommt Datenschutzbehörden entgegen“).

Twitter hat, wie es beim Landesdatenschutzbeauftragten BW deutlich herauszulesen ist, eine solche Vereinbarung wohl nicht anbieten wollen.

Zudem reichen die Probleme der gemeinsamen Verantwortlichkeit weiter, vor allem im Hinblick auf den Einsatz von Cookies zu Marketingzwecken.

EuGH bestätigt Einwilligungspflicht für Marketing-Cookies

Der Einsatz von Cookies zum Bilden von Nutzerprofilen für Werbezwecke wurde durch den EuGH im Oktober 2010 nur auf Grundlage einer vorhergehenden Einwilligung (sogenanntes „Opt-In”) der Nutzer erlaubt (EuGH, 1.10.2019 – C-673/17 “planet49”, Stellungnahme hier im Blog).

Dieses Urteil beruhte auf der alten ePrivacy-Richtlinie (Richtlinie 2002/58/EG, 2009 ergänzt um spezielle Cookie-Regelungen). Diese Richtlinie sollte durch die ePrivacy-Verordnung ersetzt werden. Die ePrivacy-Verordnung sollte zwar in der letzten Entwurfsfassung auch den Einsatz von Cookies für Marketingzwecke ohne Einwilligung erlauben, ist aber vorerst gescheitert.

Damit hätte der EuGH die Rechtslage in der EU geklärt, Deutschland ausgenommen.

Cookie-„Schlupfloch” in Deutschland

Die Richtlinie, auf deren Grundlage der EuGH eine Opt-In-Pflicht für Cookies fordert, wurde in Deutschland (je nach Auslegung wahlweise) gar nicht oder wie folgt im § 15 Telemediengesetz (TMG) umgesetzt:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Damit gibt das deutsche Gesetz keine Einwilligungspflicht für Cookies vor (zumindest laut Gesetzeswortlaut bei pseudonymen Cookies). Wie mit diesem Widerspruch zu den Vorgaben umzugehen ist, wurde bisher nicht entschieden:

  • Einwilligungspflicht laut Datenschutzbehörden: Datenschutzbehörden halten § 15 Abs. 3 TMG für nicht anwendbar (bzw. die Cookievorgaben der EU darin ohnehin nicht umgesetzt, respektive halten Sie Cookies nicht für pseudonym) und sind der Ansicht, dass daher für Cookies unmittelbar die DSGVO gelte; da nach dieser eine Opt-Out-Lösung nach nur dann möglich ist, wenn Nutzer vernünftigerweise mit dem Profiling mittels Cookies im konkreten Umfang rechnen müssen und dies bei Onlinemarketing-Tools verneint wird, ist eine Einwilligung lt. den Behörden Pflicht (anders wohl dagegen bei reiner Webanalyse, z.B. mit Matomo, s. Malte Engeler).
  • keine Einwilligungspflicht laut Werbewirtschaft: Die Werbewirtschaft meint, dass entweder § 15 Abs. 3 TMG weiterhin gelte (immerhin hat der Gesetzgeber die Vorschrift nicht aufgehoben) oder, falls die DSGVO unmittelbar gelte, Nutzer mit Profiling zu Werbezwecken heutzutage vernünftigerweise rechnen müssten.

Wer am Ende Recht behält, muss der BGH auf Grundlage des EuGH-Urteils entscheiden. Ein Termin steht nicht fest (Update: Der Verhandlungstermin ist auf den 30.01.2020 gesetzt). Ich gehe jedoch davon aus, dass ein Opt-In für Cookies auch in Deutschland über kurz oder lang kommen wird (sei es, indem der BGH eine Einwilligungspflicht in das Gesetz hineinliest oder indem er das Gesetz für ungültig erklärt wird und damit der Gesetzgeber zur Anpassung aufgefordert wird).

Wenn Sie der Ansicht der Datenschutzbehörden folgen und eine Einwilligung für erforderlich halten, dann werden Sie ein Problem mit der Nutzung von Social-Media-Accounts haben.

Mitverantwortung für die Cookies von Social-Media-Plattformen

Auf den US-Plattformen werden Cookies schon eingesetzt, bevor die Nutzer eine Einwilligung abgegeben haben. D.h. wer die strenge Opt-In-Pflicht befolgen will (wie z.B. die Datenschutzbehörden) und rechtlich betrachtet streng und konsequent handeln möchte, der muss auf die Nutzung dieser Plattformen verzichten. Auch wenn m.E. der Einsatz von Cookies ohne Einwilligung, zumindest gegenüber angemeldeten Nutzern, als Datenverarbeitung auf vertraglicher Grundlage (Daten gegen Plattformnutzung) gerechtfertigt werden sollte. (Beispiel: Aktive Cookies bei LinkedIn)

Twitter setzt Cookies ohne Einwilligung der Nutzer ein (auch bei nicht-eingeloggten Nutzern wird laut meiner Prüfung zumindest Google Analytics eingesetzt, wobei eine Datenschutzbehörde ein Tracking genauer darlegen müsste).

Die datenschutzrechtliche Mitverantwortlichkeit für den Twitteraccount brachte den Landesdatenschutzbeauftragten BW daher in die missliche Lage, zugleich mit anderen Datenschutzbehörden ein strenges Opt-In für Marketing-Cookies zu fordern und nach eigener Ansicht selbst (als Mitverantwortlicher) Marketing-Cookies ohne Opt-In einzusetzen.

Insoweit fühlte er sich wohl gezwungen, zwischen seinem Twitteraccount und seiner Glaubwürdigkeit zu entscheiden (die vom BVerwG eröffnete Möglichkeit gegen Betreiber von Accounts direkt vorzugehen, sieht der Landesdatenschutzbeauftragte in Kombination mit seinem Amtsauftrag anscheined als eine Pflicht gegen die Betreiber vorzugehen und damit als Verbot eigener Accountnutzung an).

Was heißt das aber für Sie? Sollten Sie dem Beispiel folgen?

Sollten Sie nun alle Social-Media-Accounts schließen?

Ich habe schon häufiger von Mandanten gehört, dass sie von ihren betrieblichen Datenschutzbeauftragten aufgefordert werden, den Datenschutzbehörden zu folgen und auf Social-Media-Auftritte zu verzichten. Stattdessen werden sie z.B. auf dezentrale Lösungen wie Mastodon verwiesen.

Mastodon in allen Ehren (s. Rechtsbelehrung-Podcast zum Thema). Wenn Sie jedoch in der Öffentlichkeitsarbeit oder im Marketing tätig sind, müssen Sie in der Regel nicht nur rechtlich, sondern auch wirtschaftlich denken. Dezentrale Alternativen sind dabei kaum eine Lösung, mit der Sie Ihr Publikum erreichen.

Daher müssen Sie wirtschaftlich abwägen, und es ist weder ein Sakrileg noch unvernünftig, nicht dem Beispiel deutscher Datenschutzbehörden zu folgen, bzw. sich an den Datenschutzbehörden in der EU zu orientieren @CNIL_en @ICOnews @APD_GBA @DPCIreland @Datu_inspekcija @UODOgov_pl @AEPD_es @Datainspektion und via Rechtsanwalt Stephan Schmidt). Immerhin ist die DSGVO ein europäisches Gesetz, und sogar der maßgebende europäische Datenschutzausschuss ist auf Twitter aktiv.

Daher gehe ich auch davon aus, dass keine Bußgelder zu befürchten sind.

Bußgelder in Millionenhöhe für Social-Media-Nutzung?

Ende 2019 stellten die deutschen Datenschutzbehörden ein neues Bußgeldkonzept vor. Als Ausgangsbasis dient der Tagesumsatz, der je nach Art und Schwere des Datenschutzverstoßes bis zu 12 Mal multipliziert werden kann. Je nach Größe des Unternehmens kann dann schon der kleinste Datenschutzverstoß (z.B. ein illegal betriebener Twitteraccount) theoretisch zu Bußgeldern in zweistelliger Millionenhöhe führen (zur m. E. berechtigten Kritik an dem Schema s. Härting/Konrad).

Allerdings dürfen Bußgelder nur beim Vorliegen der folgenden Voraussetzungen verhängt werden:

  • Schuldhaftes Handeln: Bußgelder setzen schuldhaft begangene Datenschutzverstöße voraus. Ein Verschulden kann m. E. bei einer derart unklaren Rechtslage und all den amtlichen Vorbildern derzeit nicht angenommen werden.
  • Bußgelder gibt es bei vermeidbaren Fehlern:Bußgelder werden in der Praxis daher bei Fehlern verhängt, die vermeidbar sind (fehlende technische und organisatorische Maßnahmen, nicht gemeldete Datenpannen, unterlassene Löschung von Daten etc.). In solchen Fällen sind auch Unbeteiligte betroffen und nicht mehrheitlich Personen, die freiwillig Social-Media-Profile besuchen (und sich so dem Risiko der Verarbeitung ihrer Daten zu Werbezwecken bewusst aussetzen).

Im Hinblick auf Social-Media-Accounts und Cookies, gehe ich somit davon aus, dass Datenschutzbehörden im Fall des Falles mittels formloser Hinweise, Aufforderungen oder schlimmstenfalls Unterlassungsanordnungen handeln werden.

Ich weiß, ich kann Sie allenfalls beruhigen, eine völlige Sicherheit gibt es nicht (wobei mir diese im Onlinemarketing äußerst selten begegnet ist). Aber vielleicht wäre die dezentrale Lösung mit Corporate Influencern doch die bessere Wahl. Der Bundesdatenschutzbeauftragte geht mit einem Beispiel voran.

Bundesdatenschutzbeauftragter als Corporate Influencer

Der Bundesdatenschutzbeauftragte Ulrich Kelber betreibt neben dem behördlichen Account, einen privat angelegten Twitter-Account, in dem er jedoch fast ausschließlich Berufliches veröffentlicht. Diese offene Kommunikation ist begrüßenswert, aber m.E. zugleich ein Fall von “Wasser predigen, aber Wein trinken”.

Der Bundesdatenschutzbeauftragte hat ebenfalls einen amtlichen Twitteraccount, auf dem aber nichts gepostet wird. Allerdings wird um Follower geworben („Hier twittert demnächst…”), was angesichts des Schrittes des Landesdatenschutzbeauftragten BW doch verwundert.

Aber der Bundesdatenschutzbeauftragte Ulrich Kelber nutzt ohnehin einen eigenen Twitter-Account, auf dem er regelmäßig über seine berufliche Tätigkeit berichtet oder Maßnahmen und Ansichten seiner Behörde ankündigt. Diesen Account betreibt er aber (zumindest offiziell) nicht in amtlicher Funktion, sondern ist laut seiner Profilbeschreibung auf Twitter „privat unterwegs“.

Damit kann der Bundesdatenschutzbeauftragte als ein „Corporate Influencer” oder „Markenbotschafter” seiner Behörde bezeichnet werden (Begriffserklärung bei Kerstin Hoffmann). Gemeint sind damit zumindest auf den ersten Blick private Accounts von Arbeitnehmern, Angestellten oder, wie hier, Beamten, die zumindest zum Teil ihren Arbeitgeber oder ihren Dienstherrn fördern, repräsentieren oder ihm sonst zugutekommen.

Als „privat” labeln reicht nicht aus – Corporate Influencer sind nicht privat

Rechtlich betrachtet, sind „Corporate Influencer” aber mitnichten privat. Vielmehr sind ihre Accounts und Aussagen (insoweit) ihren Arbeitgebern oder Behörden zuzurechnen.Denn für geschäftsmäßige Tätigkeiten gelten strengere Gesetze als für Privatpersonen. Sie dürfen und können nicht einfach umgangen werden, indem berufliche Aussagen schlicht als „privat” bezeichnet werden (s. zur Vertiefung mein Beitrag „Mitarbeiter als Markenbotschafter? – Rechtstipps für betriebliches Influencer-Marketing“).

Ansonsten fragen Sie die vielen wegen fehlender Werbekennzeichnung verurteilten Influencer. Deren Rechtfertigungsansatz, dass eine Produktplatzierung in einem privaten Account nicht geschäftlich und so auch nicht gemeint sei, ist m.W. bisher kein Gericht gefolgt.

Auch im Datenschutz dürfte das Ergebnis nicht anders ausfallen.

Die DSGVO und die Regeln zur Mitverantwortung gelten auch für Corporate Influencer.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kennzeichnet seinen Account zwar als “privat”. Die “Haushaltsausnahme” der DSGVO wird durch die geringe Beeinträchtigung für Personen gerechtfertigt, die von einer Datenverarbeitung im rein persönlichen oder familiären Umfeld ausgeht. Wenn ein Bundesdatenschutzbeauftragter jedoch z.B. Datenschutzfragen mit anderen Twitternutzern öffentlich diskutiert oder Informationen zu Bußgeldbescheiden seiner Behörde verbreitet, dann ist das m.E. kein privates Gespräch unter Freunden mehr. Vielmehr haben seine Worte ein faktisch amtliches Gewicht, das er nicht einfach mit einem pauschalen Hinweis auf private Intentionen ablegen kann.

Die DSGVO enthält ein so genanntes „Haushaltsprivileg” für Privatpersonen (Art. 2 Abs. 2 lit c) DSGVO). Danach ist die DSGVO nicht anwendbar, wenn personenbezogene Daten „ausschließlich für persönliche und familiäre Zwecke” verarbeitet werden (Hervorhebung von mir).

Es ist bereits umstritten, ob auch eine rein private Social-Media-Nutzung überhaupt in diese Kategorie fallen kann (überwiegend ist man eher dafür). Allerdings ist der Bundesdatenschutzbeauftragte nicht ausschließlich persönlich auf Twitter unterwegs. Genau genommen, spricht er durch Twitter weniger als Privatperson, sondern vielmehr in seiner amtlichen Funktion.

Das bedeutet, dass der Bundesdatenschutzbeauftragte, ausgehend von den Ansichten der Datenschutzbehörden, gegen die Vorgaben der DSGVO verstößt – das wahrscheinlich noch mehr, als es der Landesdatenschutzbeauftragte BW zuvor tat.

Impressumspflicht, Datenschutzhinweise sowie Vereinbarungen zwischen Mitarbeitern und Arbeitgebern

Ich empfehle auch in (geschäftlichen) Social-Media-Profilen auf Ihr Impressum und die Datenschutzerklärung zu verlinken (oder mangels Platz zumindest wie in meinem Beispiel darauf hinzuweisen, dass sie auf Ihrer Website zu finden sind; Beispiel Umsetzung bei Facebook).

Sie haben oben erfahren, dass die gemeinsame Verantwortlichkeit eine Vereinbarung von Twitter und dem Account-Inhaber erfordert.

Wenn der Account zugleich in Abstimmung mit dem Arbeitgeber/ Dienstherrn für berufliche Zwecke eingesetzt wird, dann hat dieser ebenfalls einen Einfluss auf die Mittel und Zwecke der Verarbeitung von personenbezogenen Daten auf dem Account (schon alleine, wenn z.B. Namen von Twitternutzern im Rahmen einer Diskussion verarbeitet werden).

Folglich liegt es nahe, dass der Bundesdatenschutzbeauftragte als Privatperson und Accountinhaber auch eine Vereinbarung nach Art. 26 DSGVO mit seiner Behörde, d.h., mit sich selbst in der Funktion als Behörde abschließen müsste. Hinzu kämen auch die Pflichten ein Impressum und einen Datenschutzhinweis in seinem Account anzugeben.

Zusammenfassung und Praxisempfehlung

Fasst man die Rechtslage zusammen, dann bleibt es im Onlinemarketing auch 2020 bei einer kaum nachvollziehbaren Rechtslage, in der nicht einmal die Datenschutzbehörden eine einheitliche Linie finden.

Und obwohl vom BVerwG ermöglicht, sind ihre wiederholten Drohungen mit Untersagungsmaßnahmen und Bußgeldern gegen die Nutzer der Plattformen sowie Onlinemarketingdienste langsam ermüdend, manch einer könnte auch „unglaubwürdig” sagen.

Vielmehr sehe ich angesichts der noch fehlenden Endurteile in den maßgeblichen Gerichtsverfahren, dem inkonsistentem Verhalten von Datenschutzbehörden und der Möglichkeit der Behörden, ihre Angebote anzupassen, keine Gefahr von Bußgeldern. Sie müssen die Abwägung natürlich für sich treffen (und sollten sie protokollieren), jedoch dürfte die Abwägung in den meisten Fällen pro Social Media und häufig auch für eine Cookie-Nutzung ohne Opt-In ausfallen.

Unsicherheit als Konzept

Was bleibt, ist vor allem die Pflicht, die Rechtslage ständig und die Gefahr von Untersagungsanordnungen im Blick zu behalten. Diese sind jedoch ein im Vergleich zu den wirtschaftlichen und kommunikativen Vorteilen von Social Media zumindest ein unmittelbar wirtschaftlich tragbares Risiko.

Darüber hinaus müssen Unternehmen, Behörden, Agenturen und ihre Mitarbeiter in Kauf nehmen, dass Datenschutzbehörden ihre wirtschaftliche und persönliche Unsicherheit, als Faustpfand zur Durchsetzung ihrer Datenschutzansichten gegenüber US-Plattformen scheinbar für erforderlich oder gar zwingend halten.

Findings und Learnings

Nachfolgend fasse ich die wichtigsten Punkte des Beitrags zusammen.

Zu der Cookie-Problematik:

  • EuGH: Opt-In für Marketing-Cookies– Lt. EuGH müssen Nutzer einwilligen, bevor auf deren Geräten Cookies gespeichert werden (strenges Opt-In). Dabei stützt sich der EuGH auf die ePrivacy-Richtlinie von 2009, die in den Ländern der Mitgliedsstaaten umgesetzt wurde. Nur in Deutschland sind die Umsetzung und deren Folgen unklar.
  • Cookie-„Schlupfloch” in Deutschland In Deutschland ist der Einsatz von Cookies auch ohne Einwilligung erlaubt (§ 15 Abs. 3 TMG). Unternehmen berufen sich auf diese Vorschrift, Datenschützer halten sie für unwirksam, meinen, dass die DSGVO gelte und verlangen Cookie-Opt-Ins. Es ist damit zu rechnen, dass der BGH den § 15 Abs. 3 TMG für unwirksam erklärt. Ein Termin steht noch nicht fest.
  • ePrivacy-Verordnung – Es bedarf dringend einer Regelung des Profilings von Nutzern und des Einsatzes von Cookies. Die ePrivacy-Verordnung, die zumindest die Zulässigkeit der Reichweitenmessung und im letzten Entwurf auch den Cookieeinsatz zu Marketingzwecken erlaubte, ist Ende 2019 vorerst gescheitert, d.h., insoweit wird es in der EU vorerst bei der in der vorletzten Dekade geregelten Einwilligungspflicht für Cookies bleiben.

Zur Mitverantwortung für Social-Media-Accounts (und viele Onlinemarketing-Tools):

  • EuGH: Mitverantwortung für Social-Media-Accounts– Dem Wortlaut der EuGH-Urteile nach, können Inhaber von Social-Media-Accounts als mitverantwortlich für die Erhebung der Daten ihrer Besucher durch die Plattformanbieter betrachtet werden.
  • keine Vereinbarungen zu gemeinsamer Verantwortlichkeit– Obwohl für den Fall gemeinsamer Verantwortlichkeit gesetzlich vorgesehen, bieten Social-Media-Plattformen keine speziellen Vereinbarungen im Hinblick auf die gemeinsame Verantwortlichkeit (z.B. mit Regelungen der Zuständigkeiten bei der Beauskunftung der Nutzer). Nur Facebook bietet eine Vereinbarung für Fanpages an, auch, wenn sie (zumindest in einer früheren Fassung) von Datenschutzbehörden für unzulässig gehalten wird.
  • Mitverantwortlichkeit für den Einsatz von Cookies– Die gemeinsame Verantwortlichkeit bedeutet auch, dass Sie für den Einsatz von Cookies durch die Social-Media-Plattformen mitverantwortlich sind. Die Plattformen setzen jedoch in der Regel kein Opt-In ein, wie von Datenschutzbehörden gefordert.

Zur Risikolage:

  • fehlende Endurteile –  In den Verfahren zu Fanpages oder Cookies sind vom EuGH bzw. BVerwG zwar Zwischenurteile gefällt worden, allerdings stehen noch Endurteile der zuständigen Gerichte aus.
  • Plattformen können die Technik und Vertragswerke anpassen – Auch, wenn entschieden werden sollte, dass die 2011 ergangene Untersagungsanordnung gegen Facebook rechtmäßig war, hat sich die Plattform seitdem gewandelt. Werden z.B. Einwilligungen zwingend, können Einwilligungs-Verfahren eingeführt werden.
  • nicht mit Bußgeldern zu rechnen – Angesichts der widersprüchlichen Rechtslage sowie des inkonsistenten Verhaltens von Datenschutzbehörden gehe ich nicht davon aus, dass Bußgelder verhängt werden (können).
  • informelle Aufforderungen und Untersagungsanordnungen möglich – Im Worst-Case ist damit zu rechnen, dass Datenschutzbehörden an Unternehmen und Behörden herantreten, über die Schließung der Accounts zumindest diskutieren und sie am Ende sogar anordnen. Deswegen jedoch im vorauseilenden Gehorsam alle Accounts zu schließen, halte ich für voreilig.
  • DSGVO-Hausaufgaben erledigen – Wenngleich im Onlinemarketing die Rechtslage unklar ist, sind viele der Vorgaben der DSGVO klar und deren Verletzung wird geahndet. Wenn es zu Diskussion betreffend Cookies oder Social Media mit Datenschutzbehörden kam, dann ging dem meistens eine andere Verfehlung voraus. Bitte setzen Sie daher Auskunftsanfragen Betroffener zeitig um, haben Sie ein Löschungskonzept, führen Sie ein Verzeichnis von Verarbeitungstätigkeiten und eine vollständige Datenschutzerklärung als Ihre datenschutzrechtliche „Visitenkarte”.

Zu Corporate Influencern:

  • keine Ausnahme der Privatnutzung– Wenn „private” Social-Media-Accounts für berufliche Zwecke eingesetzt werden, ist die DSGVO anwendbar. Die Ausnahme einer „ausschließlich persönlichen und familiären Nutzung” ist nicht mehr zutreffend. Es gilt das oben zur Mitverantwortung für den Account Dargelegte.
  • vertragliche Vereinbarungen von Mitarbeitern und Arbeitgebern– Unternehmen oder Behörden sollten die berufliche Nutzung von Social-Media-Accounts im Hinblick auf die datenschutzrechtliche Verantwortung sowie zusätzlich Haftung, Inhaberschaft am Account und die Inhalte sowie die Impressumspflicht regeln. An dieser Stelle sei angemerkt, dass nach meiner Erfahrung der rechtlich vorausbedachte Einsatz von Corporate Influencern in der Praxis zu keinen Nachteilen führt.

 

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: ✅ mit aktuellen 500 Modulen, u.a. mit Angaben zu Facebook, Cookies und Onlinemarketing ✅ testen ohne Anmeldung ✅ kein Abo ✅ nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.
DSGVO-Datenschutz-Generator - Datenschutzerklärung, Impressum, Fotohinweis


Kommentare

  1. Wie sieht denn die Umsetzung von Cookie Einwilligungen in anderen EU Ländern konkret aus?

    Gibt es dazu Beispiele ähnlich denen der Datenschutzbehörden in anderen EU Ländern?

    1. Ohne dass ich alle einzelnen Vorschriften kenne, ist es in anderern Ländern m.W. umgesetzt, s. z.B. Österreich § 96 Abs. 3 TKG:

      […] sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. […]

  2. Bzgl. der “unsichtbaren” Datensammelei durch Cookies sollte endlich ein Riegel vorgeschoben werden. Der Gesetzgeber sollte für alle Daten, die ohne direkte Sichtbarkeit für den Nutzer im Verborgenen gesammelt werden eine strikte Opt-In-Pflicht einführen. Ohne Ausnahme. Das Problem ist doch, dass bereits jahrelang das Problem ignoriert wurde und nun die Werbewirtschaft auch noch dreist behauptet, dass der Nutzer “heutzutage damit rechnen müsse”. Das sind die gleichen unlauteren Methoden, die Facebook anwendet. Erstmal irgendwas heimlich machen, damit man seine Umsätze erhöhen kann und wenn sich einer beschwert, nichts zugeben, das Gegenteil behaupten und erst wenn es gar nicht mehr anders geht, lenkt man notgedrungen ein. Das muß endlich aufhören. Es schadet der Kultur und dem menschlichen Miteinander, weil so das Vertrauen in die Lauterkeit der Mitmenschen immer mehr schwindet.

    Illegale Datensammelei durch den nicht-autorisierten Upload muß genauso strikt verboten werden. Es muß mit hohen Strafen belegt werden, wenn ein User sein Adressbuch bzw. seine Kontakte bei irgendwelchen “Social”-Media-Seiten hochlädt, ohne die schriftliche(!) Einwilligung aller seiner Kontakte vorgewiesen zu haben. Daten, die auf diesem Wege bereits bei Facebook und Co. (LinkedIn ist genauso schlimm, XING ist auch nicht besser) gelandet sind, gehören ohne wenn und aber gelöscht.

    Es muß endlich auch beim Letzten ankommen, dass dieser gesamte Datenkapitalismus ein elende Plage ist und man geeint dagegen vorgehen muß, um den Einzelnen zu schützen und die deutlichen negativen Folgen für die Allgemeinheit behebt.

  3. Wie immer hoch informativ – es bleibt spannend, was 2020 nach dem EuGH-Urteil C-673/17 in Deutschland im Hinblick auf Cookies und Co. noch passieren wird. Die ePrivacy-Verordnung lässt jedenfalls noch weiter auf sich warten.

    Was halten Sie von der WhatsApp Business API? – Datenschutzkonform, oder doch nur Augenwischerei? Ich würde mir einen aktuellen Beitrag zum Thema WhatsApp wünschen – ist so etwas für 2020 eingeplant?

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.