Nebenwirkungen und Packungsbeilagen
Rechtliche Fallstricke bei Social Media
Datenschutz und der Like-Button
Die Verknüpfung der eigenen Website mit einem sogenannten Like-Button ist datenschutzrechtlich problematisch. Bei den Anbietern GoogleGoogle+, FacebookFacebook und TwitterTwitter werden über den Like-Button personenbezogene Daten automatisch erhoben und an die Plattformbetreiber übermittelt. Wie genau die Unternehmen die Daten anschließend verwerten, ist unbekannt. Personenbezogene Daten dürfen grundsätzlich nur mit Einwilligung des Nutzers weitergegeben werden. Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de Alles zu Twitter auf CIO.de
Website-Betreiber sollten daher in den Datenschutzhinweisen eine Erläuterung zu der Verwendung des Social-Plug-ins aufnehmen und sich so eine Einwilligung des Nutzers einholen. Sicher muss sein, dass die Daten nicht schon beim bloßen Besuch der Seite ohne Anklicken des Like-Buttons übertragen werden. Es empfiehlt sich, die sogenannte Zwei-Klick-Lösung anzuwenden. Zunächst wird die gewünschte Seite nur geladen, wobei Platzhalter die eigentlichen Buttons ersetzen.
Bei Mauskontakt mit dem Platzhalter (Mouseover) wird dem Nutzer automatisch ein Textfeld angezeigt, das bereits vor dem ersten Klick über die datenschutzrechtliche Problematik aufklärt. Aktiviert der Nutzer den Button dann durch einen ersten Klick, wird der eigentliche Button nachgeladen und eine Server-Verbindung mit dem sozialen Netzwerk hergestellt. Ein weiterer Klick führt dann die eigentliche Funktion des Buttons aus (zum Beispiel "gefällt mir").
Wer hier auf Nummer sicher gehen möchte, nutzt nicht den Like-Button in seiner eigentlichen Funktion, sondern verlinkt einfach das Logo der Social-Media-Plattform mit der eigenen Fanpage.
- Ausschließlich pseudonyme Nutzerprofile erstellen
Nutzungsprofile von Besuchern dürfen laut §15 Telemediengesetz ohne Einwilligung nur unter einem Pseudonym erstellt werden.<br /><br /> In der Regel spricht man von einem Pseudonym, wenn hinter dem jeweiligen Datensatz fünf oder mehr Personen stecken können. Die Datenschutzbehörden haben hierzu festgestellt, dass die IP-Adresse ausdrücklich kein Pseudonym darstellt, da hierdurch Rückschlüsse auf den einzelnen Besucher einer Website gezogen werden können. Achten Sie darauf, dass IP-Adressen vor der Verarbeitung und Speicherung so gekürzt werden, dass ein Bezug zur natürlichen Person nicht mehr herzustellen ist. - Widerspruchsrecht einräumen und technisch umsetzen
Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Website-Betreiber wirksam umgesetzt werden.<br /><br /> Website-Besucher besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Diese Widerspruchsrechte müssen auch für alle Anwendungen und Dienste auf mobilen Endgeräten wie Smartphones oder Tablets eingeräumt werden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, müssen Sie dies veranlassen und technisch umsetzen (lassen). - Keine IP-Adressen verarbeiten oder gar speichern
Ohne bewusste, eindeutige Einwilligung des Betroffenen darf die vollständige IP-Adresse nicht verarbeitet werden.<br /><br /> Eine illegale Verarbeitung ist beispielsweise bereits die IP-Geolokalisierung oder die Identifikation der Firma des Besuchers auf Basis vollständiger IP-Adressen. Allerdings ist eine Geolokalisierung auch mit verkürzter IP-Adresse – und damit datenschutzkonform – möglich. - Strikte Datentrennung einhalten
Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert und dürfen ohne Einwilligung nicht zusammengeführt werden.<br /><br /> Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie auch dem Widerspruchsrecht Ihrer Kunden entsprechen. - „Auftragsdatenvereinbarung“ mit Dienstleister abschließen
Die Auftragsdatenverarbeitung (ADV) ist ein fester Bestandteil des Bundesdatenschutzgesetzes (BDSG): Der Vertrag mit einem Dienstleister muss den Anforderungen nach §11 BDSG entsprechen. Die ADV erfordert stets die Schriftform, eine Online-Akzeptanz ist nicht möglich. In der ADV wird die Zusammenarbeit mit dem Dienstleister geregelt. <br /><br /> Die meisten Unternehmen betreiben das Web-Controlling nicht auf eigenen Servern, sondern nehmen die Dienste Dritter dafür in Anspruch. Wenn die Daten auf diese Weise weitergeleitet werden, ist es zwingend erforderlich, dass Sie die Kontrolle über die Daten behalten. Schließen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Verarbeitung der Daten in Ihrem Auftrag ab (Auftragsdatenverarbeitung). Wichtig zu beachten ist: Der Auftraggeber bleibt stets verantwortlich für die datenschutzkonforme Verarbeitung: Nur er wird haftbar gemacht und muss im Falle eines Verfahrens mit Bußgeldstrafen rechnen (§11 Abs. 1 BDSG). - Sparsam mit Daten umgehen
Laut §3a BDSG dürfen personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie es für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. <br /><br /> Für die Erhebung von Daten, die für die Marktforschung wünschenswert, für den jeweiligen Zweck jedoch nicht zwingend notwendig sind, bedarf es der Einwilligung des betroffenen Nutzers. Erheben Sie daher nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige „Pflichtfelder“, auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären. Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers.
Vorsicht bei Tarnung werblicher Inhalte
Die Anonymität im Internet bietet die Möglichkeit, Werbung in Blogs, Foren oder Bewertungsportalen zu platzieren, ohne diese als solche kenntlich zu machen. Da positive Rezensionen wichtig sind für den Absatz von Produkten und Dienstleistungen, werden Unternehmen häufig dazu verleitet, darauf Einfluss zu nehmen.
Die Tarnung werblicher Inhalte kann jedoch einen Wettbewerbsverstoß darstellen, denn es gilt das Transparenzgebot. Werbung und Pressearbeit müssen immer als solche kenntlich gemacht werden. Auch scheinbar neutrale und informative Einträge auf Websites wie Wikipedia können unter den Begriff der Schleichwerbung fallen (OLG München, Urteil vom 10. Mai 2012, Az. 29 U 515/12). Dem Leser ist in der Regel nicht bewusst, dass solche Einträge auch Marketing-strategisch platziert werden können.
Werbung nicht erkennbar
Das Problem der Erkennbarkeit des Werbecharakters stellt sich vor allem im Bereich des viralen Marketings. Es handelt sich dabei meist um ansprechend gestaltete oder lustige Imagevideos, die sich über Plattformen wie Youtube oder MyVideo schnell verbreiten lassen. Oftmals ist der Werbecharakter dieser Inhalte für die Adressaten nicht sofort erkennbar. Ist das Video nicht ausschließlich auf einer Unterseite des werbenden Unternehmens abgelegt, bedarf es daher einer ausdrücklichen Kennzeichnung als werbliche Inhalte.