Jedem Unternehmen ist mittlerweile bekannt, dass Websites ein Impressum und eigene Datenschutzhinweise enthalten müssen. Anders ist die Wahrnehmung bei Social-Media-Seiten, wie beispielsweise einer LinkedIn-Unternehmensseite oder einer Facebook-Fanpage. Doch auch dort gelten die Pflichten zur Bereitstellung von Impressum und Datenschutzhinweisen. Warum das so ist und wie Sie diese Pflichten erfüllen können, zeigen wir Ihnen in diesem Beitrag.
Konkrete Anleitungen zur Einbindung von Impressum und Datenschutzhinweisen auf den Social-Media-Plattformen finden Sie hier:
Warum benötigen Unternehmen ein Impressum auf Social-Media-Seiten?
Jeder Diensteanbieter im Internet muss sich um die Pflichtangaben des § 5 Abs.1 DDG kümmern. Die dort enthaltene Impressumspflicht gilt neben herkömmlichen Unternehmens-Websites laut Rechtsprechung auch für gewerbliche Facebook-Fanpages. Diese Auffassung lässt sich nach unserem Dafürhalten auch auf gewerbliche Profile bei anderen Social-Media-Plattformen übertragen.
Fehlt ein Impressum oder ist es nicht richtig in die Seite eingebunden, stellt dies einen wettbewerbsrechtlichen Verstoß dar. In einem solchen Fall besteht das Risiko, durch Verbraucherschutzverbände oder auch konkurrierende Unternehmen eine kostenpflichtige Abmahnung zu kassieren.
Unternehmensprofile auf Social-Media-Plattformen müssen über ein einfach zu erkennendes und unmittelbar (d.h. über maximal zwei Klicks) erreichbares Impressum verfügen.
Wann benötigen Unternehmen eigene Datenschutzhinweise auf Social-Media-Seiten?
Eigene Datenschutzhinweise müssen durch Unternehmen nur dann vorgehalten werden, wenn diese für die Datenverarbeitung neben dem jeweiligen Plattformbetreiber datenschutzrechtlich verantwortlich sind. Dies ist zum Beispiel dann der Fall, wenn über die Unternehmensseite aktiv Daten über Besucher:innen erhoben und mit eigenen Mitteln weiterverarbeitet werden. Auch im Falle von gemeinsamen Verantwortlichkeiten müssen Datenschutzhinweise zur Verfügung gestellt werden.
Informationspflicht bei gemeinsamer Verantwortlichkeit
Verantwortliche für die Verarbeitung von personenbezogenen Daten auf den Social-Media-Plattformen sind zunächst die jeweiligen Plattformbetreiber, also beispielsweise Meta oder LinkedIn. Diese trifft insoweit auch die Pflicht, die Nutzer:innen und Besucher:innen der Plattform über die Datenverarbeitung zu informieren. Dazu bieten alle Plattformbetreiber ihre eigenen Datenschutzhinweise an.
Bei einigen Social-Media-Plattformen sind Unternehmen mit einer eigenen Social-Media-Seite jedoch gemeinsam mit dem Plattformbetreiber verantwortlich. Durch eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO müssen Unternehmen eigene Datenschutzhinweise auf den Social-Media-Profilen bereitstellen. Dazu sind sie im Übrigen auch aus der mit dem jeweiligen Plattformanbieter zu schließenden Joint-Control-Vereinbarung verpflichtet. Solche Joint-Control-Vereinbarungen sind online für die Plattformen LinkedIn, TikTok, Onlyfy (XING) sowie Facebook und Instagram abrufbar.
In diesem Kontext muss das Fanpage-Urteil des Europäischen Gerichtshofs beachtet werden. Der Gerichtshof hatte hier entschieden, dass Betreibende einer Facebook-Fanpage gemeinsam mit Facebook hinsichtlich der statistischen Auswertung über den Dienst „Seiten-Insights“ als gemeinsam Verantwortliche zu bewerten sind.
Ähnlich wie Facebook bieten auch Instagram, LinkedIn, XING und TikTok solche Analysen über Besucher:innen und Follower:innen eines Unternehmensprofils an. Insoweit lassen sich die gerichtlichen Erwägungen des Facebook-Fanpage-Urteils grundsätzlich auch auf diese Social-Media-Plattformen übertragen.
Welche Informationen müssen die Datenschutzhinweise enthalten?
Den betroffenen Personen sollten alle gemäß Art. 13 DSGVO notwendigen Informationen zur Datenverarbeitung auf der Social-Media-Seite mitgeteilt werden:
- Name und die Kontaktdaten des Betreibers des Unternehmensprofils;
- ggf. die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- die wesentlichen Inhalte der Joint-Control-Vereinbarung (Art. 26 Abs. 2 S. 2 DSGVO);
- ggf. Informationen zu weiteren Verarbeitungstätigkeiten, die im Rahmen des Unternehmensprofils stattfinden.
Wie können Datenschutzhinweise und Impressum in Social-Media-Seiten eingebunden werden?
In der Regel ist bei Unternehmensseiten auf Social-Media-Plattformen kein konkreter Platz zur wirksamen Einbindung von Impressum und Datenschutzhinweisen vorgesehen. An dieser Stelle sind also kreative Lösungen gefragt, um die Informationspflichten trotzdem zu erfüllen. Wir haben Ihnen für Facebook, Instagram, LinkedIn und Onlyfy (XING) Anleitungen erstellt, in denen wir verschiedene Wege beschreiben, um den Informationspflichten wirksam gerecht zu werden.
Aufsichtsbehörden und Social-Media-Seiten
Die Aufsichtsbehörden positionieren sich insgesamt kritisch im Hinblick auf den Betrieb von Social-Media-Unternehmensseiten. Das gilt insbesondere für den Betrieb von Facebook-Fanpages. Aus einem Kurzgutachten der Datenschutzkonferenz (DSK) aus November 2022 geht beispielsweise hervor, dass der Betrieb einer Facebook-Fanpage mit mehreren Verstöße gegen das TDDDG (zum Zeitpunkt der Begutachtung noch das TTDSG) und die DSGVO einhergeht. Ein Hauptkritikpunkt ist dabei auch die Joint-Control-Vereinbarung von Meta zu Facebook-Fanpages. Da die Vereinbarungen von LinkedIn und Tiktok ähnlich gestaltet sind, dürften auch diese bei einer aufsichtsbehördlichen Prüfung durchfallen.
Aus diesen Gründen untersagte der Bundesbeauftragte für Datenschutz und Informationsfreiheit dem Presse- und Informationsamt der Bundesregierung im Februar 2023 den Betrieb der Facebook-Fanpage. Sanktionen gegen private Unternehmen, die eine Social-Media-Präsenz betreiben, sind bisher allerdings nicht bekannt.
Fazit
Unternehmen müssen die gesetzlichen Informationspflichten auch auf ihren Social-Media-Profilen erfüllen. Ein Impressum ist immer Pflicht. Eigene Datenschutzhinweise müssen dann eingebunden werden, wenn Datenverarbeitungen in eigener bzw. gemeinsamer Verantwortlichkeit stattfinden. Empfehlenswert ist die Erweiterung der Website-Datenschutzerklärung um die notwendigen Hinweise zu Datenverarbeitungen auf Social-Media-Seiten und die Einbindung dieser in dem jeweiligen Unternehmensprofil.
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.