Social Media Monitoring & Datenschutz – Was Unternehmen beim „Durchsuchen“ des Social Web beachten sollten

Auch in Deutschland haben viele Unternehmen das große Potential im Sozialen Internet erkannt. Bevor nun eigene Aktivitäten ergriffen werden, nähern sich immer mehr Unternehmen dem Phänomen im Wege des “Zuhörens” und des Beobachtens der Meinungsbildung im Social Web.

Social Media Monitoring heißt das aktuelle Zauberwort. Es beschreibt als sinnvollen ersten Schritt einer Social Media Strategie das Beobachten, Filtern und Analysieren von nutzergenerierten Inhalten (sogenanntem „user generated content“) auf Social Media Plattformen wie beispielsweise Facebook, Twitter, YouTube etc. derzeit primär zum Reputations- und Krisenmanagement und zur Markt- und Wettbewerbsanalyse.

Zukünftig wird das Beobachten des Social Web auch für das Customer Relationship Mangement (CRM), sowie die Marktforschung und das Produkt- und Innovationsmanagement an Bedeutung gewinnen. Insofern bietet eine entsprechende Aus- und Bewertung der Informationen des Social Web auch für neue Geschäftsmodelle eine interessante Grundlage.

Wie eine Studie des Fraunhofer Instituts neben einer Auflistung der typischen Anwendungsfelder anschaulich zeigt, wird Social Media Monitoring derzeit vor allem von der Kommunikations- und/oder Marketingabteilung eines Unternehmens angestoßen bzw. betrieben.

Um herauszufinden, was in den Sozialen Medien über sie geschrieben wird, können Unternehmen sich entweder im Internet zugänglicher Werkzeuge bedienen oder aber einen der professionellen Anbieter mit dem Monitoring über individualisierte Suchroutinen beauftragen, was ab einem gewissen Komplexitätsgrad oft erforderlich werden dürfte (siehe Praxisleitfaden und Anbieterliste von Bernhard Steimel ).

Und tatsächlich bietet die systematische Recherche und Auswertung der Vielzahl von Informationen im Social Web gerade für Unternehmen interessante und teils hochrelevante Erkenntnisse. Eine zielgerichtete Erhebung von Daten aus Facebook, XING & Co steht allerdings in einem unausweichlichen Spannungsverhältnis zum Thema Datenschutz. Die Erfahrung zeigt außerdem, dass für Unternehmen gerade die Konformität mit datenschutzrechtlichen Vorgaben ein zentraler Aspekt bei der Auswahl des Dienstleisters im Bereich Social Media Monitoring ist. Auch beim Einsatz eigener Werkzeuge sollten Unternehmen sich der datenschutzrechtlichen Grenzen bewusst sein.

Neben allgemeineren datenschutzrechtlichen Einflüssen wird – je nach Ausrichtung der Monitoringroutinen – auch das Thema Arbeitnehmerdatenschutz beim Social Media Monitoring relevant werden. Oft wird ein Unternehmen bei entsprechenden Suchroutinen nach der eigenen Marke auch auf Informationen und Aussagen der eigenen Mitarbeiter stoßen. Gerade im Hinblick auf die anstehende gesetzliche Neuregelung des Arbeitnehmerdatenschutzrechts kommen Unternehmen, die nicht blindlings in Probleme mit Datenschutzbehörden hineinlaufen wollen, im Zusammenhang mit Social Media Monitoring an einer rechtlichen Risikoanalyse nicht vorbei.

Auch wenn in diesem relativ neuen Themenfeld rechtlich einiges noch nicht abschließend geklärt ist, sollen in dem nachfolgenden Beitrag die rechtlichen Grenzen nachgezeichnet und Risiken aufgezeigt, aber auch zulässige Gestaltungen dargestellt werden.

I. Datenschutzrechtliche Ausgestaltung des Social Media Monitoring

1. Datenschutzrechtliche Grundlagen

Nach § 4 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine andere Rechtsvorschrift die jeweilige Datenverwendung auch ohne entsprechende Einwilligung legitimiert.

Soweit also keine keine personenbezogenen Daten im Sinne des § 3 Abs.1 BDSG, also keine Informationen betroffen sind, die einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen sind, greift das Bundesdatenschutzgesetz überhaupt nicht ein. Die Diskussion im Zusammenhang mit Google Analytics und die datenschutzrechtliche Relevanz von IP-Adressen zeigt aber bereits, dass die Frage nach dem Personenbezug von Daten nicht immer ganz einfach zu beantworten ist.

Dieses sogenannte Verbot mit Erlaubnisvorbehalt gilt dann aber für jede Stufe der Verwendung personenbezogener Daten. Danach muss beim Social Media Monitoring nicht nur bei der Erhebung etwaiger personenbezogener Daten, sondern auch bei der Speicherung oder einer weitergehenden Datenverarbeitung (d.h. Auswertung, Aggregation etc.) jeweils das Vorliegen der Zulässigkeit geprüft werden.

Nachdem der jeweils Betroffene, dessen Daten erhoben werden, in aller Regel nicht in die Erhebung durch unbekannte Dritte (sprich dem „monitorenden“ Unternehmen) eingewilligt hat, bleiben als legitimierende Rechtsvorschrift nur die weiteren Regelungen des Bundesdatenschutzgesetzes (BDSG).

2.Datenerhebung aus öffentlich zugänglichen Quellen (§28 Abs.1 Nr.3 BDSG)

Eine ganz zentrale Vorschrift stellt deshalb § 28 Abs.1 Nr.3 BDSG (für Monitoring Anbieter entsprechend § 29 Abs.1 Satz 1 Nr.2 BDSG) dar. Danach dürfen Daten, die öffentlich zugänglich sind, auch im Wege des Social Media Monitoring erhoben werden, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Diese Vorschrift geht von dem Grundsatz aus, dass es demjenigen, der sich aus allgemein zugänglichen Quellen unterrichten darf, auch grundsätzlich gestattet sein muss, die dort zugänglichen Daten zu speichern. Öffentliche zugänglich sind alle Informationsquellen, „die sich sowohl ihrer technischen Ausgestaltung als auch ihrer Zielsetzung nach dazu eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln“ (Simitis in: Simitis (Hrsg.), BDSG § 28 Rn. 189). Damit sind Informationen aus dem Internet immer dann als öffentlich zugänglich zu qualifizieren, wenn diese zulässigerweise als für jedermann zugängliche Daten im WorldWideWeb verfügbar gemacht worden sind. Informationen, die nur unter gewissen Einschränkungen verfügbar sind, z.B. weil diese nur von angemeldeten Nutzern eines Sozialen Netzwerkes eingesehen werden können, sind hingegen nicht als öffentlich zugänglich zu werten. Hier kann also nicht § 28 Abs.1 Nr.3 BDSG, unter Umständen aber andere Normen des BDSG, als gesetzliche Rechtfertigung herangezogen werden.

Wenn aber nur öffentlich zugängliche Informationen als Datenbasis des Social Media Monitoring dienen, ist die Erhebung zulässig, soweit der entsprechenden Verarbeitung nicht offensichtliche Interessen des Betroffenen entgegenstehen, was schlussendlich von der “Sensibilität” der Daten abhängen wird.

Diese Vorschrift ermöglicht bei entsprechender Konfiguration also bereits eine Beschränkung datenschutzrechtlicher Risiken.

3. Anonymiserung und Pseudonymisierung von Daten

Bei etwaigen Nachfragen nach der datenschutzrechtlichen Konformität wird den Kunden von einigen Anbietern von Monitoring Tools gern erwidert, datenschutzrechtliche Vorgaben, die natürlich stets beachtet würden, seien nicht betroffen, da ja keine persönlichen Informationen wie z.B. Namen erhoben werden würden. Diese Argumentation greift aber oft zu kurz, weil es bei den vom BDSG geschützten Daten – insoweit deutlich weiter – um personenbezogene Daten im Sinne des § 3 BDSG geht. Insoweit wird man bei der datenschutzrechtlichen Beurteilung deutlich genauer hinschauen müssen.

Nachdem aber tatsächlich nur Daten mit einem entsprechenden Personenbezug im Sinne des § 3 Abs.1 BDSG datenschutzrechtlich relevant sind, ist es möglich durch eine Anonymisierung oder Pseudonymisierung Daten so zu modifizieren, dass die jeweilige Nutzung zulässig ist bzw. wird.

Bei der Anonymisierung (§ 3 Abs.6 BDSG) werden alle Informationen aus den zu speichernden Daten dauerhaft entfernt, die zur Identifizierung der dahinter stehenden Person notwendig sind, was die (Weiter-)verwertung zulässig werden lassen kann. Pseudonymisieren (§ 3 Abs. 6a BDSG) hingegen, ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Neben einigen weiteren Gestaltungsoptionen ermöglichen die dargestellten gesetzlichen Rahmenbedingungen oft eine datenschutzkonforme Ausgestaltung des Social Media Monitorings. Beim „Aufsetzen“ eines Monitoring Tools sollte daher bedacht werden, dass die Rechtskonformität für jeden einzelnen Monitoring Schritt sichergestellt werden muss.

Angefangen von der Datenerhebung, über die notwendige Speicherung und Verarbeitung bis hin zu einer etwaigen Weitergabe an das beauftragende Unternehmen, muss – soweit personenbezogene Daten verwertet werden – eine gesetzliche Vorschrift aus dem BDSG die Datenverwendung legitimieren.

Gegebenenfalls kann das Social Media Monitoring eines Unternehmens über ein durchdachtes Zusammenwirken der verschiedenen Gestaltungsmöglichkeiten durchaus auch im Einklang mit deutschem Datenschutzrecht betrieben werden.

4. Auftragsdatenverarbeitung

Unternehmen, die Dritte mit einem entsprechenden Monitoring beauftragen, ist in vielen Fällen auch zum Abschluss eines auf das Monitoring ausgerichteten Vertrages über eine Auftragsdatenverarbeitung zu raten. Wenn nämlich ein Unternehmen einen Dritten mit der Erhebung oder Verarbeitung geschützter Daten beauftragt, bleibt die beauftragende Firma nach § 11 Abs.1 BDSG für die Einhaltung des Datenschutzrechts verantwortlich. In diesen Fällen liegt es im höchsteigenen Interesse des Auftraggebers einen Vertrag über ein Auftragsdatenverarbeitung mit den Inhalten des § 11 Abs.2 BDSG zu schließen, um so für eine Datenschutzkonformität des Monitorings sorgen zu können (vgl. auch den ausführlichen Beitrag „Thema Auftragsdatenverarbeitung wird vernachlässigt – Dringender Handlungsbedarf für zahlreiche Unternehmen“).

Umgekehrt können Anbieter von Social Media Monitoring über den Abschluss entsprechender Verträge zusätzlich das Vertrauen potentieller Kunden stärken.

5. Probleme des Arbeitnehmerdatenschutzes

Auch die spezifischen Regelungen des Arbeitnehmerdatenschutzes, die wohl in naher Zukunft weiter spezifiziert werden (siehe Zulässigkeit der Gewinnung von Arbeitnehmer- und Bewerberinformationen über Soziale Netzwerke), sollten im Zusammenhang mit Social Media Monitoring beachtet werden. Informationen von und über Arbeitnehmer, auf die man bei einem Monitoring bei Facebook, XING & Co ohne weiteres stoßen kann, sieht der Gesetzgeber als besonders schutzwürdig an. Der Umgang mit (teils zufällig) aus sozialen Netzwerken erlangten Informationen wird in (arbeits-)rechtlicher Hinsicht noch einige Fragen aufwerfen. Dieses Thema spielt daher auch für das Social Media Monitoring eine wichtige Rolle und sollte insofern unbedingt in der weiteren Entwicklung beobachtet werden.

II. Zusammenfassung und Praxishinweise

Da das deutsche Datenschutzrecht als durchaus komplex bezeichnet werden muss, kann hier nur ein Überblick über die Zulässigkeit der Verarbeitung von solchen Daten gegeben werden, der in keinem Fall Anspruch auf Vollständigkeit erhebt. Im konkreten Fall muss immer sorgfältig geprüft werden, inwieweit die jeweilige geplante Erhebung oder Verarbeitung von Daten erlaubt ist.

Der Beitrag soll aber auch zeigen, dass durchaus Gestaltungsmöglichkeiten bestehen, das Social Media Monitoring mit den datenschutzrechtlichen Vorgaben in Einklang zu bringen. Je nach Einzelfall oder Werkzeug kann über eine entsprechend granulare Einstellung die Erhebung personenbezogener Daten vermieden oder über Pseudonymisierungs- oder Anonymisierungsmechansimen das Social Media Monitoring teilweise im Zusammenwirken mit weiteren Maßnahmen auf eine rechtssichere Grundlage gestellt werden. In Ansehung der wachsenden Bedeutung des Datenschutzes und der steigenden Sensibilität bei den Unternehmen dürfte die Datenschutzkonformität entsprechender Monitoringwerkzeuge und –angebote auch in Zukunft einen erheblichen Wettbewerbsvorteil für die Monitoring Anbieter darstellen, die sich mit dem Thema entsprechend auseinandersetzen.

Unternehmen sollten – nicht zuletzt aufgrund der steigenden öffentlichen Wahrnehmung des Themas Datenschutz – einen seriösen Umgang mit datenschutzrechtlichen Implikationen und gegebenenfalls auch den Abschluss eines ordnungsgemäßen Auftragsdatenverarbeitungsvertrages als wichtiges Kriterium in die Auswahl des Werkzeuges oder Dienstleisters miteinbeziehen, um sich nicht selbst irgendwann datenschutzrechtlichen Vorwürfen ausgesetzt zu sehen. Auch wenn aus rechtlicher Sicht im Bereich des Webmonitorings einiges noch nicht abschließend geklärt ist, sollten gewisse Mindestanforderungen angelegt werden.

Weiterführende Artikel:
Social Media Marketing & Recht – Dos and Donts beim Werben im Social Web
Social Media Richtlinien – (Rechtliche) Leitplanken schaffen Medienkompetenz
Social Media Guidelines & Recht – Warum Unternehmen und Mitarbeiter klare Richtlinien brauchen

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 23 84 953 oder via E-Mail cu@bartsch-rechtsanwaelte.de zur Verfügung.

Comments

  1. Andree meint:

    Inwieweit sind für Social Media Monitoring-Dienste auch Urheberrechte relevant? V.a. Wenn Daten/Aussagen von usern gespeichert werden.

  2. Schöner Beitrag, auch für mich als “Mann vom Fach”.

    Punkt 5 Arbeitnehmerschutz finde ich aus zwei Sichten interessant. Nicht nur aus datenschutzrechtlichen Gründen, sondern auch aus moralischen Gesichtspunkten. Wenn ein Mitarbeiter negativ über seinen Arbeitgeber berichtet, zum Beispiel auf Facebook, weil es gerade Stress mit dem Chef gibt, dann kann solch ein Beitrag beim entsprechenden Reporting sicherlich zu Problemen führen.

    Ob das ein Abmahngrund ist weiß ich nicht (das ist nicht mein Gebiet), sicherlich sorgt solch ein Beitrag jedoch für Missgunst und Vertrauensmissbrauch:
    a) “Der Arbeitgeber der Mitarbeiter ausspioniert” beim Arbeitnehmer
    b) “Der Arbeitnehmer der schlecht über seinen Betrieb redet” beim Arbeitgeber.
    Und solch ein Beitrag kann sicherlich schnell Entstehen, wenn es mal wieder stressiger war oder sich jemand benachteilig fühlt.

    Aus diesem Grund werden bei uns keinerlei Beiträge zum Thema “Arbeitgeber” gespeichert. Wenn beim Monitoring erkennbar ist, dass der Nutzer negativ über seinen Arbeitgeber schreibt und eine Zuordnung zu einer realen Person möglich ist, wird dieser bei uns gelöscht.

Speak Your Mind

*

Sicherheitsfrage *