In unserem zweiten Teil zum Thema Social Media & Datenschutz stellen wir heute die Problematik der Auslegung der wichtigsten Gesetze vor. Diese finden sich im Übrigen kurz und verständlich erklärt im ersten Teil dieser Reihe: Social Media & Datenschutz: Wichtige Gesetze.
Nachdem die Datenschutzgesetze, zumindest teilweise, auch für den Bereich Social Media gültig sind, besteht dennoch große Uneinigkeit über die Auslegung dieser.
Folgende generelle Auslegungs-Problematiken gehen aus derzeit bestehenden Datenschutzgesetzen (Bundesdatenschutzgesetz & Telemediengesetz) hervor:
Problematik der Definition
Da die Datenschutzgesetze in erster Linie die Erhebung & Nutzung von personenbezogenen Daten umfassen, liegt die Problematik hauptsächlich in der Definition von „personenbezogenen Daten“. Offiziell sind personenbezogene Daten jegliche Einzelangaben, welche über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person erhoben werden. Also jegliche Informationen, welche dem Träger direkt oder indirekt zugeordnet werden können. (Daten über Krankheiten, Konten, Ethnie oder politische Meinung haben hier eine besondere Stellung und werden gesondert geschützt). Personenbezogene Daten sind Informationen wie Alter, Geschlecht, Augenfarbe, Konsumverhalten etc.., die demnach eine Relation zum Träger aufweisen. Diese dürfen nur erhoben werden, wenn vorab eine Einwilligung des Trägers erfolgte. Wurden diese zuvor anonymisiert, so fallen die Erhebung & Nutzung nich unter das Bundesdatenschutzgesetz.
Die Problematik dieser Definition ist, dass es manchmal indirekte Relationen zwischen Datum und Träger gibt. Zum Beispiel Informationen, welche über Freundes-Freunde erhoben werden. Hier ist es schwierig eine klare Grenze zwischen anonymen, pseudonymen und personenbezogenen Daten zu ziehen. Zudem können sich Relationen zum Träger in manchen Fällen auch erst aus der Kombination von verschiedenen pseudonymisierten Daten ergeben, auch hier verschwimmen die Grenzen zwischen Pseudonym und Anonym.
Ähnlich sieht es bei der Pseudonymisierung aus. Die Erhebung & Nutzung von pseudonymen Daten fällt ebenso unter das Bundesdatenschutzgesetz, jedoch ist das informationelle Selbstbestimmungsrecht (Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen) hierdurch besser geschützt. Es ist auch hier nicht eindeutig, in welchen Fällen Daten als pseudonymisiert gelten. Beispielsweise können bei einer IP Adresse nur Spezialisten einen Bezug zum Träger herstellen. Ist die IP Adresse daher ein Pseudonym? Hier gibt es keine eindeutige Antwort: Ja, weil der Verwender keinen Bezug zum Träger herstellen kann, und nein, weil zwar nicht der Verwender selbst, aber Spezialisten die Möglichkeit besitzen einen Bezug zum Träger herzustellen. Auch sollten pseudonyme Daten und personenbezogene Daten getrennt gespeichert bzw “aufbewahrt” werden.
Empfehlung: Im Zweifel Daten nicht nur pseudonymisieren sondern anonymisieren. Bei der IP Adresse sollten zum Beispiel die letzten Ziffern weggelassen werden. In Datensätzen wiederum sollten vor der Nutzung direkte Identifikations-Daten des Trägers (z.B. Name, Adresse etc.) entfernt werden, so dass keine Relations zum Träger hergestellt werden kann. Um sich komplett abzusichern, sollte bei einer Erhebung vorab die Zustimmung beim Nutzer eingeholt werden, auch wenn es sich um scheinbar anonyme Daten handelt. Weiterer Tipp: Den Nutzer vorzugsweise einmal zu viel informieren also zu wenig, Transparenz wird auch hier vom Nutzer positiv vermerkt.
Problematik bei Social Plugins
In vielen Fällen, insbesondere bei öffentlich zugänglichen Social Media Daten und Plugins, ist es nicht eindeutig wer für die Datenerhebung verantwortlich bzw. haftbar ist. Beispielsweise beinhaltet eine Version der Auslegung, dass das soziale Netzwerk bei der Verwendung von Social Plugins haftbar gemacht werden kann, da das Netzwerk Daten und IP Adresse nutzt und der Webseitenbetreiber selbst oftmals keinen genauen Einblick in die Nutzung hat. Eine weitere Auslegung besagt, dass der Webseitenbetreiber ein Plugin bewusst eingebunden hat und es für seine Zwecke nutzt und somit haftbar gemacht werden kann. Hier gibt es ebenso keine eindeutige Auslegung.
Empfehlung: Da die Regelungen nicht eindeutig sind und die Verletzung dieser demnach nicht 100% juristisch überprüft werden kann, können Social Plugins einigermaßen unbedenklich verwendet werden. Verwender sollten allerdings ein Auge auf zukünftige Neuregelungen halten. Im Zweifel bei der Einbindung von Social Plugins bestenfalls den Nutzer mit einer kurzen Information über den Zweck und die Auswirkung des Plugins aufklären. Dies gilt insbesondere für komplexere Social Plugins (z.B. eigene Applikationen).
Problematik der Einwilligung
Die Problematik in Bezug auf Nutzer-Einwilligung besteht darin, dass es nicht in allen Fällen juristisch eindeutig ist, ob ein Nutzer bereits seine Einwilligung zur Nutzung der Daten erteilt hat. Zum Beispiel hat jeder Nutzer, welcher in sozialen Netzwerken aktiv ist, bereits bei der Anmeldung am Netzwerk selbst seine Einwilligung gegeben. Viele Unternehmen nehmen daher an, dass öffentliche Social Media Profildaten demnach legal und ohne Einwilligung verwendet werden dürfen. Das Hauptproblem besteht darin, dass die Einwilligung quasi vom Nutzer erzwungen wird. Nutzer können nämlich ohne Einwilligung Dienste wie Facebook und Google erst gar nicht nutzen, daher bleibt ihnen nur die einzige Option den Bestimmungen zu zustimmen. Auch sind die Einwilligungsinformationen komplex formuliert und meist schwer zu finden. Demzufolge ist es fraglich, ob eine Einwilligung bei der Registrierung bei einem sozialen Netzwerk überhaupt rechtens ist. Bestreitbar ist zudem, inwiefern Daten durch den Nutzer selbst freiwillig der Öffentlichkeit zur Verfügung gestellt werden.
Empfehlung: Auch wenn Daten, wie Bilder von Nutzern oder öffentliche Profilinformationen, vom Nutzer freiwillig veröffentlicht wurden oder der Nutzer zumindest im sozialen Netzwerk bereits seine Einwilligung erteilt hat, sollten Unternehmen im Zweifel selbst eine Einwilligung beim Nutzer einholen.
Fazit
Einige Problematiken der derzeit gültigen Datenschutzgesetze in der EU und in Deutschland machen die Einhaltung für Unternehmen relativ kompliziert. Generell können Unternehmen aber einige wichtige Vorsichtsmaßnahmen treffen:
- Bei Datenerhebung & Nutzung sollte proaktiv beim Nutzer die Einwilligung eingeholt werden
- Erhobene Daten sollten im Zweifel immer anonymisiert werden
- Im Zweifel sollte der Nutzer immer über Zweck & Absicht der Erhebung informiert werden
- Social Plugins können derzeit generell relativ bedenkenlos verwendet werden
- Die Entwicklung von zukünftigen und neuen Regelungen sollte beobachtet werden
Weitere Empfehlungen:
- Der Düsseldorfer Kreis, eine informelle Vereinigung der obersten Aufsichtsbehörden, tagt regelmässig zum Thema Social Media & Datenschutz und veröffentlicht nützliche Empfehlungen. Hier lohnt es sich gelegentlich selbst ein Update zum Thema Social Media & Datenschutz einzuholen.
- Es sollte nicht nur auf die Einhaltung der Gesetze geachtet werden, sondern vor allem auch auf die Wirkung auf Kunden und Öffentlichkeit. Selbst wenn die Datenerhebung in einigen Fällen erlaubt ist, kann eine negative Kundenwirkung oder Presse für ein Unternehmen ebenso schädliche Folgen haben, wie ein verlorener Datenschutzprozess.
loading...
Einen Kommentar schreiben