Social Media & Datenschutz (Teil 1): Wichtige Gesetze

Aufgrund der Wichtigkeit und der Aktualität sowie derzeit fehlender Transparenz, behandeln wir in unserer neuen Beitragsserie das Thema Social Media & Datenschutz. In 4 Teilen berichten wir hier im SoQuero Blog diese und nächste Woche über die wichtigsten Datenschutz Gesetze (Teil 1), die Problematik der Auslegung (Teil 2), die Anwendung in der Praxis (Teil 3) und werfen einen Blick auf die zukünftige Entwicklung des Datenschutzes (Teil 4).

Insbesondere seit Ende 2011 haben sich die Debatten rund um das Thema Datenschutz im Kontext von Social Media weiter zugespitzt. Das Thema Datenschutz ist nicht nur in der Presse und der Politik aktuell, sondern betrifft letztendlich in erster Linie den Nutzer selbst. Folglich sollte somit der Datenschutz natürlich auch von Unternehmen, welche innerhalb Social Media aktiv sind, als ein ernstzunehmendes Thema behandelt und aktiv gelebt werden.

Zugegeben: Für Unternehmen, Werbetreibende und für den Nutzer ist der Durchblick in Bezug auf Datenschutz nicht immer leicht zu erlangen. Gesetze, Richtlinien und Verordnungen decken zum Teil nicht jede Social Media Aktivität ab, sind veraltet sowie schwer auf Social Media übertragbar und sind selbst für Juristen oftmals auslegungssache. Hinzukommt, dass sich die Politik selbst, national und auf EU Ebene, derzeit in vielen Aspekten noch uneinig ist.

Unternehmen und Werbetreibende fragen sich daher zu recht was darf ich eigentlich, und vor allem was darf ich nicht? Um diesen Fragen nachzugehen, geben wir hier einen generellen Überblick über den aktuellen Stand zum Thema Social Media und Datenschutz. Speziell in diesem Teil erläutern wir die wichtigsten Gesetze und erklären kurz und verständlich die entsprechenden Passagen.

Nationales Recht & EU Recht

Das entsprechende nationale Recht der EU Staaten und das EU Recht sind in der Theorie synchronisiert und weitesgehend deckungsgleich. So werden beispielsweise die jeweiligen Datenschutzgesetze der Länder von der EU vorab gepürft und abgenommen. Jedoch bestehen in der Praxis zwischen den einzelnen Ländern derzeit leichte Unterschiede was die Auslegung und die Befolgung/Verfolgung der Gesetze betrifft. Einige Länder sehen diese recht „locker“ (z.B. Irland), andere wiederum befolgen eine strengere Umsetzung (z.B. Deutschland). Auch unterscheidet sich die Auslegung innerhalb eines Landes, so dass auch zwischen Bundesländern leichte Unterschiede existieren. Diese lassen sich im Übrigen sogar zwischen einzelnen Städten feststellen.

Generell gilt: Unternehmen, welche ihren Sitz in Deutschland haben und in Deutschland operieren, fallen unter nationales und somit unter deutsches Recht. Der Datenschutz wird hier vom Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG) bundesweit geregelt. Diese sind allerdings gerade in Bezug auf Social Media veraltet und somit nicht eindeutig. So entstehen zum Teil Wettbewerbsnachteile zwischen den einzelnen Unternehmen, dennoch sollten Unternehmen diese Gesetze kennen und mindestens als gesetzliche Richtlinie anerkennen.

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz stellt für Unternehmen und Behörden das wichtigste allgemeine Datenschutzgesetz dar. Dieses reguliert wichtige Voraussetzungen für die Datenerhebung, die Weitergabe sowie die Verarbeitung von Daten.

Einige wichtige Paragraphen und die entsprechende Erklärung des BDSG:

§ 3 Weitere Begriffsbestimmungen

Hier definiert das BDSG wichtige Begriffe. Kernelement ist die Definition von personenbezogenen Daten. Diese sind Einzelangaben, welche über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) erhoben werden. Übersetzt bedeutet dies: Personenbezogene Daten sind jegliche Informationen, welche einer Person direkt oder indirekt zugeordnet werden können.

§ 13 Datenerhebung

Hier wird festgelegt in welchen Fällen personenbezogene Daten erhoben werden dürfen. Unter anderem ist dies nur erlaubt, wenn der Betroffene eine Einwilligung erteilt hat, eine Erhebung für den Schutz von lebenswichtigen Interessen des Betroffenen erforderlich ist oder wenn der Betroffene die Daten selbst offenkundig veröffentlicht.

§ 3a Datenvermeidung und Datensparsamkeit

Dieser Paragraph besagt, dass nur so wenig personenbezogene Daten wie nötig erhoben werden sollten. Diese sollten stets am Ziel der Datenerhebung ausgerichtet sein. Personenbezogene Daten sollen, wenn möglich, anonymisiert oder pseudonymisiert werden.

§ 14 Datenspeicherung, -veränderung und –nutzung

Auch hier regelt das Gesetz wann personenbezogene Daten gespeichert, verändert und genutzt werden dürfen. Generell bedarf dies der Einwilligung der Betroffenen. Ausnahmen sind unteranderem öffentlich zugängliche Daten.

§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke

In diesem Paragraph geht ebenso hervor, dass personenbezogene Daten nur mit Einwilligung des Betroffenen erhoben werden dürfen. Zudem dürfen diese nur für den eigentlichen Zweck erhoben werden.

Telemediengesetz (TMG)

Da das Bundesdatenschutzgesetz den allgemeinen Datenschutz regelt und nicht in allen Aspekten auf spezifische Branchen anwendbar ist, gibt es neben dem BDSG das Telemediengesetz. Hier wird speziell für die Internetbranche der Datenschutz reguliert.

Einige wichtige Paragraphen und die entsprechende Erklärung des TMG:

§ 12 Grundsätze

Kernaussage ist auch hier, dass Daten nur mit Einwilligung des Betroffenen erhoben werden dürfen. Darüber hinaus müssen erhobene Daten auch geschützt werden, wenn diese manuell und händisch erhoben wurden.

§ 13 Pflichten des Dienstanbieters

Hier besagt das TMG, dass eine Einwilligung des Betroffenen bewusst und eindeutig erfolgen sowie protokolliert werden muss.  Zudem muss der Nutzer das Recht behalten seine Einwilligung zu wiederrufen und den Inhalt der Einwilligung jeder Zeit einsehen zu können. Eine Einwilligung kann auch in digitaler Form erfolgen.

§ 15 Nutzungsdaten

Eine Erhebung darf zum einen erfolgen, wenn dies erforderlich ist um bestimmte Dienste in Anspruch nehmen zu können. Hier drunter fallen Daten wie Identifikationsmerkmale und Nutzungsumfang/Nutzungszeitraum. Wichtigster Abschnitt für Werbetreibende: Daten dürfen nur für Werbezwecke verwendet werden, wenn diese pseudonymisiert werden, der Nutzer über das Wiederrufsrecht aufgeklärt wurde und pseudonyme Daten nicht mit dem Träger zusammengeführt werden.

Richtlinien der sozialen Netzwerke

Neben den offiziellen Gesetzen haben auch Social Media Netzwerke wie Facebook, Google+ & Co eigene Richtlinien. Wichtig zu wissen ist hier, dass die Einhaltung dieser keinesfalls automatisch auch die Einhaltung des EU Rechts bzw. des deutschen Rechts impliziert. Oft verstoßen Social Media Netzwerk Richtlinien, zumindest in der Theorie, gegen nationale Datenschutzgesetze. Dennoch sollten natürlich auch die netzwerkinternen Richtlinien beachtet werden.

Fazit

Die wichtigsten Regelungen für den Datenschutz sind im Bundesdatenschutzgesetz und im Telemediengesetz verankert. Trotz dass diese nicht alle Social Media Anwendungsgebiete umfassen, sollten Unternehmen und Werbetreibende diese Gesetze kennen und achten. Eindeutig ist zudem, dass diese Gesetze einer aktuellen Anpassung bedürfen. Dies sorgt derzeit für einige hitzige Debatten, insbesondere innerhalb der Presse und der Opposition.

Die wichtigsten Inhalte des BDSG & TMG:

• Personenbezogene Daten dürfen nur unter gewissen Umständen erhoben werde: Es besteht ein öffentliches Interesse oder ein lebenswichtiger Grund, der Nutzer hat seine Einwilligung gegeben oder der Nutzer legt die Daten selbst und freiwillig offen

• Unternehmen, welche mit personenbezogenen Daten arbeiten wollen, müssen diese anonymisieren/pseudonymisieren. Es darf kein Bezug zum Träger (Nutzer) hergestellt werden.

• Es dürfen nur so wenige Daten wie nötig erhoben werden

• Eine Erhebung bedarf der Einwilligung des Betroffenen

• Nutzer dürfen ihre Einwilligung einsehen und wiederrufen

Aktuell hat die Bundesregierung eine Neuregelung des nationalen Datenschutzgesetzes, mit der Begründung die EU plane derzeit eine einheitliche Regelung, abgelehnt. Allerdings ist davon auszugehen, dass Neuregelungen auf EU Ebene bis zur Verabschiedung einige Jahre in Anspruch nehmen.

Konkret bedeutet dies heute: Es besteht eine Problematik in der Auslegung der derzeitigen Gesetze. Beispielsweise ist unklar welche Daten als personenbezogen gelten: