Social Media Marketing

Transkript

1 Sven Venzke Social Media Marketing Eine datenschutzrechtliche Orientierungshilfe Angesichts der wachsenden Bedeutung von Social Media Plattformen für Marketing- Aktivitäten von Unternehmen will der Beitrag eine erste datenschutzrechtliche Orientierung für Unternehmen geben, die sich in diesem Umfeld bewegen oder bewegen wollen. Besondere Berücksichtigung findet dabei die Social Media Plattform Facebook. Einleitung Knapp 40 Millionen deutsche Nutzer sind in Social Media Plattformen miteinander vernetzt und tauschen sich untereinander aus. 1 Klassische Medien wie Radio, Zeitung und Fernsehen verlieren ihr Alleinstellungsmerkmal als Informationsquellen und Instrumente zur Meinungsbildung. Marketingmaßnahmen erstrecken sich daher immer mehr auch auf das Umfeld von Social Media Plattformen. Allein auf Facebook betreiben weltweit mittlerweile mehr als 1,5 Millionen Unternehmen eine eigene Unterseite darunter auch etwa zwei Drittel der Dax-30-Unternehmen. 2 Noch verbreiteter ist die Einbindung von Social Plugins auf klassischen Unternehmenswebseiten. 1 Standortbestimmung Der Begriff des Social Media Marketings wird zunehmend populärer und bezeichnet in der Regel alle Aktivitäten, die Un- Ass. jur. Sven Venzke Berater bei der datenschutz nord GmbH mit dem Schwerpunkt Datenschutz in neuen Medien. svenzke@datenschutz-nord.de 1 Presseinformation Social Media der BITKOM vom 13. April 2011: org/67675_67667.aspx (abgerufen am ). 2 Holzapfel/Holzapfel, Facebook Marketing unter Freunden, 1. Auflage 2010, 23; Facebook-Fanseiten der DAX-30 Marken: (abgerufen am ). ternehmen in Sozialen Medien entfalten, um Waren und Dienstleistungen zu vermarkten. Soziale Medien werden dabei als Dienste verstanden, die darauf abzielen, von Nutzern erstellte Inhalte möglichst weit über das Internet zu verbreiten und die dabei Interaktionen der Nutzer über das Internet ermöglichen und fördern. Das Umfeld, in dem Unternehmen ihre Botschaft möglichst viral verbreiten möchten, beschränkt sich dabei nicht nur auf soziale Netzwerke wie Facebook, StudiVZ oder Xing, die darauf abzielen, dass Nutzer sich mit Freunden, Mitstudenten oder Geschäftspartnern vernetzen, untereinander kommunizieren und Kontakte austauschen. Auch Microblogging Dienste wie Twitter, über welche Nutzer Kurznachrichten twittern 3 und so genannten Followern mitteilen können, sind Adressaten des Social Media Marketings. Gleiches gilt für YouTube, Flickr und ähnliche Dienste, über welche Videos und Fotos verbreitet und kommentiert werden können und bei denen die Inhalte in den Vordergrund rücken. Selbst Lesezeichen können über so genannte Social Bookmarking Dienste wie Digg verbreitet 4 und Hörgewohnheiten über interaktive Internetradios, etwa Last.fm, ausgewertet und ausgetauscht werden. Die Palette an Social Media Diensten ist aber noch um einiges breiter. Mittlerweile haben sich daher separate Dienste zur Einbindung von Social Media Diensten in beliebige Webseiten etabliert. So können 3 Das Verb twittern ist mit der 25. Auflage in den Duden aufgenommen worden. 4 Vgl. zu Social Bookmarking Diensten auch: Lerch/Krause/Hotho/Roßnagel/Stumme, Social Bookmarking Systeme die unerkannten Datensammler Ungewollte personenbezogene Datenverarbeitung? In: MMR 2010, 454 ff. Webseitenbetreiber über AddThis mehr als 350 Social Media Dienste parallel auf ihrer Webseite einbinden auf Wunsch des Webseitenbetreibers auch unter Verwendung von Analysetools. Teilweise gründen Unternehmen sogar eigene Social Media Dienste und greifen hierzu entweder auf bestehende Online-Infrastrukturdienste wie Ning zurück oder schaffen die entsprechenden Infrastrukturen selbst. Die Dienste vermischen sich dabei untereinander immer mehr. Eine Anmeldung auf Myspace ist z. B. auch über einen bestehenden Facebook Account möglich, und die Inhalte des einen Sozialen Mediums können auf anderen Sozialen Medien eingebunden werden. 2 Zielsetzung des Social Media Marketings Über Soziale Medien werden immer mehr Nutzer der unterschiedlichsten Zielgruppen erreicht. Es wird daher der Versuch unternommen, über Soziale Medien ein positives Markenimage und eine individuelle Bindung der Nutzer an die eigene Marke aufzubauen, sowie Einfluss auf Kaufentscheidungen zu nehmen bzw. Einflussnahmen der Nutzer untereinander anzuregen. Gerade auch Anbieter klassischer Medien beobachten die Entwicklung der Sozialen Medien genau 5 und stellen fest, dass Soziale Medien für Onlinenutzer inzwischen ebenso Alltag sind, wie Fernsehen, Radio 5 Seit 1997 führen ARD und ZDF die so genannte ARD/ZDF-Onlinestudie durch und beobachten in diesem Rahmen auch die Entwicklung Sozialer Medien. DuD Datenschutz und Datensicherheit

2 und Tageszeitung. 6 Ein Verdrängungseffekt sei derzeit zwar noch nicht zu bemerken, was aber damit erklärt wird, dass Soziale Medien oftmals parallel oder aber in ganz anderen Situationen als klassische Medien genutzt werden. 7 Festzustellen bleibt, dass Unternehmen vielfältigen Anreizen ausgesetzt sind, Marketingaktivitäten auch auf Soziale Medien zu erweitern, auch weil diese vermeintlich weniger enge rechtliche Grenzen haben als klassische Medien. Dabei ist dieses Umfeld durchaus kein rechtsfreier Raum. Gerade im Bereich des Social Media Marketings existieren eine Reihe von Rechtsvorschriften, die für Unternehmen relevant werden können. 3 Öffentliche Diskussion Um Social Media Dienste besser einordnen zu können, ist auch eine Kenntnis der aktuellen gesellschaftlichen und politischen Diskussion von Bedeutung. Europaweit beobachten Datenschutzaufsichtsbehörden Social Media Plattformen derzeit sehr genau und kritisieren teilweise massiv den Umgang mit personenbezogenen Daten. 8 In diesem Zusammenhang werden unter anderem intransparente Nutzungsbedingungen und Datenverarbeitungen thematisiert. So hat Facebook in der Vergangenheit bspw. Adressbücher von Mitgliedern ausgelesen und Einladungen an Nicht-Mitglieder versendet. Auch die unangekündigte Änderung von Datenschutzeinstellungen, die Offenlegung von Nutzerdaten und mangelhafter Schutz vor unerlaubten Zugriffen werden von Aufsichtsbehörden und Verbraucherschützern kritisiert. 9 Zudem liegt die Befürchtung nahe, dass soziale Netzwerke umfangreiche Profile über ihre Mitglieder erstellen und auswerten. Amerikanische Umfragen im Rahmen des American Consumer Satisfaction Index (ACSI) haben ergeben, dass auch ame- 6 Van Eimeren/Frees, Fast 50 Millionen Deutsche online Multimedia für alle? In: Media Perspektiven 2010, Franz, Digital Natives und Digital Immigrants: Social Media als Treffpunkt von zwei Generationen. In: Media Perspektiven 2010, 399 (408). 8 Vgl. auch: Artikel-29-Datenschutzgruppe, WP 163, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke. 9 Vgl. auch: Aigner, Offener Brief an Zuckerberg: (abgerufen am ). rikanische Verbraucher mit Anbietern von Social Media Plattformen nicht zufrieden sind. So wurde festgestellt, dass Facebook und Myspace zwar zahlreich genutzt werden, jedoch zu den am schlechtesten bewerteten Unternehmen aller untersuchten Branchen gehörten. 10 Auch Stiftung Warentest stellte gravierende Mängel bei sozialen Netzwerken fest. 11 Es scheint, als ob Sozialen Medien in der öffentlichen Diskussion kein Vertrauensvorschuss mehr eingeräumt wird, sondern vielmehr eine skeptische Grundhaltung diesen gegenüber vorherrscht. 4 Rechtliche Rahmenbedingungen Sofern in Deutschland niedergelassene Unternehmen Social Media Marketing Kampagnen betreiben, die auf deutsche Nutzer zielen, richten sich die Rechtsbeziehungen zu deutschen Nutzern, Verbrauchern, Mitbewerbern und Betroffenen grundsätzlich nach deutschem Recht. 12 Dabei sind insbesondere datenschutz-, telemedien- und wettbewerbsrechtliche Vorschriften zu berücksichtigen. Eine weitere wichtige Rahmenbedingung, die es zu klären gilt, ist die rechtliche Bewertung von IP-Adressen, welche nicht unumstritten ist. 13 Zumindest die datenschutzrechtlichen Aufsichtsbehörden vertreten einhellig die Ansicht, dass es sich bei IP-Adressen um personenbezogene Daten handelt und diese dem Anwendungsbereich des BDSG unterfallen. 14 Dem ist zuzustimmen, da die Zuordnung einer IP-Adresse zu einem bestimmten Nutzer nicht ausgeschlossen werden kann. So kann durch das Erwirken eines gerichtlichen Beschlusses gegen den Access-Provider die IP-Adresse oftmals einer konkreten Person zugeordnet werden. Die IP- Adresse kann darüber hinaus bereits dann einer Person zugeordnet werden, wenn sich der Nutzer im Rahmen einer Inter- 10 Aktuelle Zahlen können auf unter ACSI Results abgerufen werden (Stand ). 11 Stiftung Warentest, test 4/2010, 40 ff. 12 Vgl. auch: Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr? In: MMR 2009, 232 ff. 13 Gegen den Personenbezug argumentiert etwa Meyerdierks, Sind IP-Adressen personenbezogene Daten? In: MMR 2009, 8 ff. 14 Artikel-29-Datenschutzgruppe, WP 136, Stellungnahme 04/2007 zum Begriff personenbezogene Daten, Beispiel 15; BfDI, 23. Tätigkeitsbericht , netsession, bspw. durch Einloggen mittels eines personalisierten Profils, für eine kurze Zeit zu erkennen gibt. Im weiteren Verlauf der Internetsession kann die IP-Adresse dann dieser Person zugeordnet werden. Die Person hinter der IP-Adresse ist somit bestimmbar. Bei der IP-Adresse handelt es sich nicht zuletzt auch deshalb um ein personenbezogenes Datum. Die deutschen Datenschutzaufsichtsbehörden gehen noch einen Schritt weiter und vertreten die Ansicht, dass die IP- Adresse kein Pseudonym i.s.d. TMG ist. 15 Diese Einordnung ist für die Bestimmung der Zulässigkeitsgrenzen des Social Media Marketing durchaus von Bedeutung. Neben dem BDSG regelt auch das TMG in 12 Abs. 1 TMG ein so genanntes Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten dürfen demnach grundsätzlich nur dann verarbeitet werden, wenn eine Rechtsvorschrift dies erlaubt oder der Nutzer einwilligt. Das TMG unterscheidet dabei zwischen personenbezogenen Daten, die pseudonymisiert und solchen, die nicht pseudonymisiert wurden. Diese Unterscheidung ist insbesondere dann relevant, wenn es um die Frage geht, unter welchen Umständen Webseitenbetreiber Nutzungsprofile erstellen dürfen. So dürfen gem. 15 Abs. 3 TMG Nutzungsprofile unter Verwendung von Pseudonymen grundsätzlich nur erstellt werden, sofern der Nutzer hierüber aufgeklärt wurde und nicht widersprochen hat. 16 Die Erstellung von Nutzungsprofilen unter Verwendung von nicht pseudonymisierten Daten, bspw. der vollständigen IP-Adresse, ist ohne Einwilligung des betroffenen Nutzers unzulässig. 5 Social Plugins In der Praxis ist es mittlerweile weit verbreitet, dass Unternehmen auf den von ihnen betriebenen klassischen Unternehmenswebseiten so genannte Social Plugins integrieren, welche Verknüpfungen zu und Interaktionen mit Social Media Diensten ermöglichen sollen. 15 Düsseldorfer Kreis, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten, Beschluss vom 26./27. November 2009; BfDI, 23. Tätigkeitsbericht , Düsseldorfer Kreis, a.a.o. 388 DuD Datenschutz und Datensicherheit

3 5.1 Like Button Eines der bekanntesten Social Plugins erlaubt es, den Like Button von Facebook so in eine Webseite einzubinden, dass Besucher die besuchte Unternehmenswebseite unkompliziert über das eigene Facebook Profil teilen bzw. auf deren Inhalte hinweisen können. Die Einbindung des Like Buttons unter Verwendung eines Social Plugins erfolgt dabei nicht durch einfache Verlinkung, sondern mittels XFBML 17 oder IFrames 18. Beides führt dazu, dass mit Aufruf der Unternehmenswebseite externe Inhalte von Facebook nachgeladen werden. Berücksichtigt man, dass in der Vergangenheit bereits durch das Auslesen von Adressbüchern deutlich wurde, dass Facebook auch Daten über Personen sammelte, die nicht bei Facebook Mitglied waren, muss selbst das Einbinden von scheinbar harmlosen Like Buttons näher hinterfragt werden zumal hier technisch einiges möglich ist Aufruf durch Nicht-Mitglieder Bereits mit dem Aufruf einer Webseite, auf welcher der Like Button als Social Plugin eingebunden ist, erhält Facebook eine Vielzahl von Daten. Hierzu gehören in der Regel das Datum und die Uhrzeit des Besuchs der Webseite, die URL der Webseite, auf der sich der Besucher befindet, der verwendete Browser, das verwendete Betriebssystem und die IP-Adresse des Besuchers. Diese Daten werden an Facebook unabhängig davon übermittelt, ob der Besucher den Like Button anklickt oder Mitglied bei Facebook ist. Anhand der IP-Adresse ist es theoretisch möglich, dass Facebook diese Daten in Zusammenhang setzt und Profile des Nutzungsverhaltens der Webseitenbesucher erstellt. Da insbesondere der Like Button mittlerweile sehr verbreitet ist und der bloße Aufruf einer Webseite mit integriertem Facebook Social Plugin ausreicht, können auf diese Weise relativ detaillierte Profile erstellt werden. Ein solches Vorgehen wäre auf Grund des in 12 TMG statuierten Verbotes mit Erlaubnisvorbehalt grundsätzlich unzulässig. Eine Profilbildung unter Verwendung der vollständigen IP-Adresse wäre demnach nur mit Einwilligung des Nutzers zulässig. Selbst wenn entgegen der hier vertretenen Ansicht davon ausge- 17 Extensible Facebook Markup Language 18 InlineFrame gangen würde, dass es sich bei der IP-Adresse um ein Pseudonym i.s.d. TMG handle, würde sich eine Erlaubnis zur Bildung eines pseudonymen Nutzungsprofils auch nicht aus 15 Abs. 3 TMG ergeben. Demnach ist es dem Diensteanbieter zwar erlaubt, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen. Allerdings muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs unter anderem über die Verwendung seiner personenbezogenen Daten unterrichten, den Nutzer bezüglich der pseudonymen Profilbildung auf sein Recht zum Widerspruch hinweisen und sicherstellen, dass pseudonyme Nutzungsprofile nur erstellt werden, wenn dieses Widerspruchsrecht nicht ausgeübt wurde. Dies ist den Betreibern der Webseiten, die den Like Button einbinden wollen, aber gar nicht möglich. Sie sind regelmäßig noch nicht einmal in der Lage, die Datenverarbeitung in Gänze darzustellen und könnten zudem einen Widerspruch des Nutzers gegen die Erstellung von pseudonymen Profilen nicht umsetzen. Hinzu kommt, dass Normadressat der Legitimation aus 15 Abs. 3 TMG der jeweilige Betreiber der Webseite und gerade nicht der Anbieter des Social Plugins ist dieser bleibt insoweit Dritter. 19 Eine Modifikation der auf der Webseite eingebundenen Datenschutzerklärung kann daher keinesfalls zur Zulässigkeit einer etwaigen Profilbildung durch den Anbieter des Social Plugins führen Aufruf durch Mitglieder Wird eine Webseite mit integriertem Like Button durch ein Facebook-Mitglied aufgerufen, kommt hinzu, dass die vorgenannten Daten (Datum, Uhrzeit, Webseite bzw. URL, Browser, Betriebssystem, IP- Adresse) zudem mit dem Facebook Nutzerprofil verknüpft werden könnten, welches häufig eine ganze Reihe von weiteren Identifikationsmerkmalen bis hin zum Klarnamen enthält. Hierzu ist es bereits ausreichend, wenn sich der Nutzer während einer Internetsession für eine logische Sekunde bei Facebook einloggt. Auf diese Weise kann die IP-Adresse dem Nutzerprofil zugeordnet werden. Ab diesem 19 Und ist gerade kein Auftragsdatenverarbeiter. So auch: Ernst, Social Plugins: Der Like-Button als datenschutzrechtliches Problem. In: NJOZ 2010, 1917 ff. Zeitpunkt wäre eine Zuordnung technisch solange möglich, wie die IP-Adresse des Nutzers gleich bleibt. Dies gilt selbst dann, wenn sich der Nutzer bei Facebook wieder ausgeloggt hat und Seiten mit integriertem Social Plugin aufruft. Ein solches Vorgehen wäre gem. 12 TMG nur mit Einwilligung des Nutzers zulässig, unabhängig davon ob die IP-Adresse als Pseudonym i.s.d. TMG betrachtet wird. 20 Ob eine solche Einwilligung im Rahmen der erstmaligen Registrierung von Facebook wirksam eingeholt wird, mag dahingestellt bleiben. Mit der Bildung von personenbezogenen Nutzungsprofilen wird ein Nutzer jedenfalls selbst dann nicht rechnen müssen, wenn er zwar bei Facebook angemeldet, jedoch nicht bei Facebook eingeloggt ist und auch keinen Like Button aktiv betätigt Einordnung des Like Buttons Eine eindeutige Stellungnahme von Facebook, welche Daten verarbeitet werden und ob eine der vorgenannten technischen Möglichkeiten tatsächlich ausgeschöpft wird, liegt nicht vor. Facebook hat in der Vergangenheit immer wieder die eigene Datenschutzerklärung angepasst. Noch vor kurzem meldete heise online, Facebook spreche Klartext und zitierte aus der Datenschutzerklärung zum Thema der Social Plugins: Wir erhalten Daten immer dann, wenn du ein Spiel, eine Anwendung oder Webseite nutzt, welche/s die Facebook-Plattform verwendet, oder wenn du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in) vorhanden ist. Diese Daten können das Datum und die Uhrzeit deines Besuches auf der betreffenden Webseite enthalten; dies gilt auch für die Internetadresse oder die URL, auf der du dich befindest, und ebenso für die technischen Daten über die IP-Adresse und den von dir genutzten Browser sowie das von dir genutzte Betriebssystem; enthalten ist auch deine Nutzerkennnummer, wenn du auf Facebook angemeldet bist. 21 Kurze Zeit später waren die entsprechenden Teile der Datenschutzerklärung nicht mehr 20 Selbst wenn entgegen der hier vertretenen Ansicht die IP-Adresse als Pseudonym i.s.d. TMG betrachtet wird, ist gem. 13 Abs. 4 Nr. 6 TMG eine Einwilligung erforderlich. 21 Bager, Facebook spricht Klartext: heise.de/newsticker/meldung/datenschutz-facebook-spricht-klartext html (abgerufen am ). 390 DuD Datenschutz und Datensicherheit

4 abrufbar. Ohnehin scheinen gerade die Datenschutzerklärungen von Facebook, welche die Datenverarbeitung im Rahmen der Social Plugins wiedergeben sollen, regen Änderungen unterworfen zu sein. Da die Erstellung von detaillierten Profilen durch Facebook technisch ohne Weiteres möglich ist und hierzu der bloße Aufruf einer Seite mit integriertem Social Plugin ausreicht, ist die direkte Einbindung des Facebook Like Buttons als Social Plugin datenschutzrechtlich zumindest kritisch zu bewerten. Dies gilt insbesondere im Hinblick auf den Webseitenbetreiber, der mit der Entscheidung der Einbindung eines Social Plugins auf Webseiten, die in seiner Verantwortung stehen, eine Datenverarbeitung in Gang setzt, die er derzeit nicht überblicken kann. Ein solches Vorgehen gefährdet datenschutz- und telemedienrechtliche Grundsätze und kollidiert insbesondere mit 13 Abs. 4 TMG, wonach der Diensteanbieter durch technische und organisatorische Vorkehrungen sicherzustellen hat, dass Nutzer Telemedien unter anderem so in Anspruch nehmen können müssen, dass die Inanspruchnahme gegen die Kenntnis Dritter geschützt ist. Letztlich sind technische Systeme zudem so auszugestalten, dass nur Daten verarbeitet werden, die auch verarbeitet werden dürfen Lösungsansätze Das rechtliche Risiko 22 kann an dieser Stelle dadurch minimiert werden, dass das Social Plugin nicht direkt in die Webseite, sondern als einfache Verlinkung eingebunden wird. Dabei sollte darauf geachtet werden, dass ein Logo verwendet wird, welches nicht beim Anbieter des Social Plugins liegt, um eine systematische Auswertung im Ansatz zu verhindern. Ggf. müssen zudem die Bedingungen des Plattformbetrei- 22 Nicht jeder Verstoß gegen Datenschutzvorschriften stellt zugleich auch einen Verstoß gegen das Wettbewerbsrecht dar. Nach 4 Nr. 11 UWG handelt unlauter i.s.v. 3 UWG, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Zumindest 13 TMG ist nach Ansicht einiger Gerichte keine solche Regelung. Im Zusammenhang mit den Facebook Like Buttons hat hierzu vor kurzem insbesondere das LG Berlin (Beschluss v , Az. 91 O 25/11) Stellung genommen. Die Entscheidung des LG Berlin beschränkt sich aber ausschließlich auf 13 TMG und nimmt zu sonstigen Verstößen gegen das TMG keine Stellung. Denkbar bleiben zudem zivilrechtliche Abwehransprüche und Bußgelder nach dem TMG und dem BDSG. bers zur Einbindung von Grafiken beachtet werden. Bei Facebook finden sich diese im Bereich für Markengenehmigungen 23 und regeln unter anderem, die Einbindung des sogenannten f -Logos als einfache Verlinkung. Daneben bestehen weitere Alternativen, Social Media Plugins einzubinden, die den vollen Funktionsumfang des Social Plugins aufrechterhalten. So ist es technisch realisierbar, Webseitenbesucher individuell vor der Einbindung eines Social Plugins um Erlaubnis zu fragen entweder bei erstmaligem Aufruf der Seite oder konkret vor jeder Einbindung. Erteilt der Nutzer seine Einwilligung nicht, kann er zwar die Webseite besuchen, die Social Plugins bleiben allerdings deaktiviert. 24 Sämtliche Alternativen führen dazu, dass umfangreiche Profilbildungen durch Anbieter von Social Plugins nicht ohne weiteres möglich sind. Die dargestellten Lösungen können insofern die Risiken einer datenschutzrechtlichen Unzulässigkeit erheblich minimieren und gleichzeitig die Kontrollmöglichkeiten der Webseitenbetreiber und die Datenschutzrechte der Verbraucher stärken. 5.2 Sonstige Plugins Neben dem bereits dargestellten und sehr bekannten Like Button Social Plugin existieren zahlreiche weitere Social Plugins mit teilweise immensem Funktionsumfang. So bietet alleine Facebook insgesamt mindestens neun verschiedene Social Plugins an. Stichwörter sind in diesem Zusammenhang Plugins wie Activity Feed, Recommendations, Like Box, Login Button, Registration, Facepile, Comments und Live Stream. 25 Neueste Trends gehen in Richtung umgehende Personalisierung, mit deren Hilfe Partnerseiten von Facebook auf Informationen des Facebook Profils zugreifen können, um die eigenen Webseiten auf den individuellen Nutzer anzupassen. Insgesamt bleibt festzustellen, dass Unternehmen angeraten werden muss, nur solche Social Plugins einzusetzen, deren Funktionsumfang bzw. Datenverarbei- 23 Bereich für Markengenehmigungen: (abgerufen am ). 24 Hierfür muss derzeit wohl noch auf Eigenentwicklungen zurückgegriffen werden. 25 Facebook Social Plugins: facebook.com/docs/plugins/ (abgerufen am ). tung bekannt und im Einzelfall als rechtlich zulässig bewertet wurde. Es empfiehlt sich an dieser Stelle insbesondere die Einschaltung des betrieblichen Datenschutzbeauftragten. 6 Accounts auf Social Media Plattformen Neben der Einbindung von Social Plugins auf den unternehmenseigenen Webseiten sind viele Unternehmen dazu übergegangen, auf Social Media Plattformen eigene Accounts zu erstellen, sich auf den entsprechenden Unterseiten zu präsentieren und dort selbst Inhalte bereitzustellen. Sehr häufig anzutreffen sind in diesem Zusammenhang Accounts auf Twitter, Facebook, Myspace und YouTube. 6.1 Vorgaben der Plattformbetreiber Unternehmen, die sich bei einer Social Media Plattform anmelden, werden im ersten Schritt mit den vom Plattformbetreiber eingebrachten Nutzungsbedingungen konfrontiert. Diese sehen oftmals Besonderheiten für kommerzielle Tätigkeiten vor. Unternehmen, die auf Facebook werben, müssen unter anderem die Erklärung der Rechte und Pflichten, die Plattformrichtlinie, die Werberichtlinie, die Promotionrichtlinie und die Datenschutzrichtlinie beachten. Inhaltlich sind diese Richtlinien in der Vergangenheit immer wieder angepasst worden. Dies war auch notwendig, da noch vor kurzem versucht wurde, sehr umfangreiche Haftungsbeschränkungen und Freistellungsklauseln vorzugeben. Zumindest an diesen Stellen hat Facebook nunmehr nachgebessert. Allerdings bleiben die Nutzungsbedingungen, gerade für Unternehmen, oftmals sehr unübersichtlich. Zudem fallen die Nutzungsbedingungen teilweise recht seltsam aus. So regelt die Promotionrichtlinie von Facebook, was als Gewinn im Rahmen einer Promotion verboten ist. Dies sind neben alkoholischen Getränken, Tabakwaren, Schusswaffen und verschreibungspflichtigen Medikamenten auch Molkereiprodukte. 26 Eine intensive Befassung mit den Bedingungen der 26 Richtlinien für Promotions: (abgerufen am ). DuD Datenschutz und Datensicherheit

5 jeweiligen Plattform ist für Unternehmen unerlässlich, um spätere Risiken zu vermeiden. 6.2 Transparenzpflichten Unternehmen müssen nicht nur auf den klassischen Unternehmenswebseiten eine Reihe von Transparenzpflichten erfüllen. Auch der Betrieb von Unterseiten auf Social Media Plattformen bringt umfangreiche Pflichten mit sich Impressum Unternehmen, die auf Social Media Plattformen nachhaltig eigene Unterseiten zu Marketingzwecken betreiben, sind gem. 5 Abs. 1 TMG verpflichtet, ein Impressum auf diesen Unterseiten einzubinden. 27 Dass diese allgemeine Informationspflicht nicht bei dem Betreiber der übergeordneten Social Media Plattform endet, sondern sich auch auf den Betreiber der jeweiligen Unterseiten erstreckt, zeigt ein Blick auf die Rechtsprechung zu Unterseiten von Verkäufern auf der Versteigerungsplattform Ebay. 28 Demnach sind gewerbliche Verkäufer verpflichtet, auf ihren Unterseiten ein eigenes Impressum einzubinden, obwohl sie die übergeordnete Plattform nicht betreiben. Es wird lediglich gefordert, dass der Betreiber der Unterseite über den Inhalt und das Bereithalten des Dienstes bestimmen kann. Diese Kriterien treffen in der Regel auch auf Social Media Plattformen zu. Der Betreiber einer Unterseite einer Social Media Plattform handelt nachhaltig und mit geschäftlichem Bezug. Er kann die seinen Account betreffende Unterseite regelmäßig inhaltlich anpassen und diese auch sperren bzw. löschen. In der Regel können sogar Eintragungen Dritter, bspw. auf der Pinnwand, vom Betreiber der Unterseite gelöscht werden. Versäumt es ein Unternehmen, ein Impressum einzubinden, verstößt es daher gegen Informationspflichten und erschwert Nutzern die Identifikation der verantwortlichen Stelle. Es besteht daher das Risiko einer wettbewerbsrechtlichen Abmahnung. Die Einbindung ist dem Betreiber der Unterseite in den meisten Fällen auch möglich. Bei Facebook kann hierzu bspw. der als Info bezeichnete Ver- 27 So auch Micklitz/Schirmbacher in Spindler/ Schuster, Recht der elektronischen Medien, 2. Auflage 2011, 5 TMG Rn. 13a. 28 Statt vieler: OLG Hamm, MMR 2010, 29; OLG Düsseldorf, MMR 2008, 682. weis am linken Rand der Unterseite genutzt werden Kommerzielle Kommunikation Sofern Marketing in Sozialen Medien betrieben wird, verpflichten unter anderem 6 Abs. 1 TMG und 4 Nr. 3 UWG die werbenden Unternehmen, diese Handlungen eindeutig als Werbung kenntlich zu machen. So ist es bspw. unzulässig, ein Werbevideo auf YouTube bereit zu stellen, welches den Anschein erweckt, von Verbrauchern erstellt worden zu sein. 29 Auch eine von einem Unternehmen betriebene Unterseite einer Social Media Plattform, die den Anschein erweckt, sie würde von Verbrauchern betrieben, kann insofern kritisch sein Datenschutzerklärung 13 TMG schreibt vor, dass Diensteanbieter den jeweiligen Nutzer zu Beginn des Nutzungsvorgangs unter anderem über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten haben. Diese Informationen enthält in der Regel die Datenschutzerklärung des Betreibers der Social Media Plattform. Ob diese immer vollständig und allgemein verständlich ist, kann bezweifelt werden. Der Betreiber einer Unterseite sollte zumindest die Daten darstellen, die er konkret nutzt und verarbeitet Sonstige Informationspflichten Neben den hier dargestellten Informationspflichten gelten im Einzelfall weitergehende Informationspflichten, die sich aus einer Vielzahl von Rechtsvorschriften ergeben können, bspw. aus BDSG, PAngV, EGBGB, GewO, UWG, RStV, handelsrechtlichen Vorschriften oder aus berufsrechtlichen Regelungen. 6.3 Inhaltshaftung Die rechtlichen Voraussetzungen für eine Haftung bzw. eine Haftungsprivilegierung für Inhalte von Webseiten werden seit längerem diskutiert. 29 Vgl. auch: Leitgeb, Virales Marketing Rechtliches Umfeld für Werbefilme auf Internetportalen wie YouTube. In: ZUM 2009, 39 ff. Für eigene Inhalte regelt 7 Abs. 1 TMG eine Verantwortlichkeit des Diensteanbieters nach den allgemeinen Gesetzen. In diesem Rahmen ist in der Rechtsprechung insbesondere unter dem Stichwort der Linkhaftung anerkannt, dass Diensteanbieter für die von ihnen gesetzten Verlinkungen auf Inhalte Dritter verantwortlich gemacht werden können, wenn sie sich diese Inhalte zu eigen gemacht haben. 30 Insofern ist davon auszugehen, dass bzgl. der vom Unternehmen selbst gesetzten Verlinkungen hohe Prüfpflichten bestehen. Auch allgemeine Disclaimer befreien grundsätzlich nicht von diesen Prüfpflichten und wirken oftmals sogar rechtlich nachteilig, da sie eine Verletzung von Prüfpflichten indizieren können. Es ist davon auszugehen, dass die Rechtsprechung die Regelungen zur Linkhaftung auch auf selbst erzeugte Tweets 31 oder sonstige Inhalte anwenden wird, welche ein Diensteanbieter aktiv teilt. Hier eröffnet sich ein weites Feld mit neuen Haftungsmöglichkeiten. Eine Haftungsprivilegierung kann sich für fremde Inhalte allerdings aus 7, 10 TMG ergeben. Die Rechtsprechung behandelt diese Haftungsprivilegierung insbesondere im Bereich der Forenhaftung. Demnach sind Betreiber von Internetforen in der Regel erst dann zur Löschung bzw. Prüfung verpflichtet, wenn sie von Rechtsverletzungen positive Kenntnis haben bzw. über Rechtsverletzungen unterrichtet wurden. 32 Prüfpflichten können sich zudem dann konkretisieren, wenn in der Vergangenheit vermehrt Rechtsverstöße festgestellt wurden oder der Verdacht künftiger Rechtsverstöße besteht. Diese anlassbezogenen Pflichten werden Unternehmen auch dann berücksichtigen müssen, wenn Nutzer auf Pinnwänden der Unterseiten eigene Einträge vornehmen. Unternehmen sollten daher intern feste Verantwortlichkeiten definieren, welche gewährleisten, dass sich eine Inhaltshaftung nicht realisiert. In diesem Rahmen 30 Hoeren in Hoeren/Sieber, Handbuch Multimedia-Recht 26. Ergänzungslieferung 2010, Teil 18.2 Rn 195 ff.; BGH, Urteil v , Az. I ZR 166/ LG Frankfurt Main, Beschluss v , Az O 46/10; Rauschhofer, Haftung für Links auf Twitter zu rechtswidrigen Inhalten. In: MMR-Aktuell 2010, Spindler/Anton in Spindler/Schuster, Recht der elektronischen Medien 2. Auflage 2011, 1004 BGB Rn 9a; Für Behörden werden teilweise noch höhere Pflichten vertreten, vgl.: Wagner, Rechtliche Rahmenbedingungen behördlicher Internetauftritte. In: NVwZ 2011, 76 ff. 392 DuD Datenschutz und Datensicherheit

6 setzten erste Unternehmen auf so genannte Community Agents, welche die Aktivitäten auf den Unterseiten verfolgen. 6.4 Datenverarbeitung des Plattformbetreibers Unternehmen, die auf Social Media Plattformen Unterseiten betreiben, sind darauf angewiesen, dass der Plattformbetreiber die datenschutzrechtlichen Regelungen berücksichtigt, die auch für das Unternehmen gelten. Inwieweit eine Verletzung der datenschutzrechtlichen Regelungen des übergeordneten Plattformbetreibers auch auf den Betreiber einer Unterseite durchgreift, ist bisher nicht Gegenstand der rechtlichen Diskussion gewesen. Es ist jedoch davon auszugehen, dass zumindest offensichtliche Verstöße vom Betreiber der Unterseite kompensiert werden müssen, bspw. durch die eigene Einholung einer wirksamen Einwilligungserklärung. 6.5 Programmierschnittstelle Social Media Plattformen bieten oftmals die Möglichkeit, Daten der Nutzer über ein Application Programming Interface (API), also eine Programmierschnittstelle, auszutauschen. Unternehmen können völlig frei eigene Anwendungen außerhalb der Plattform erstellen, welche über die Programmierschnittstelle mit der Social Media Plattform Daten austauschen können. Somit ist es bspw. möglich, Online-Spiele zu programmieren, die etwa das Profilfoto des Nutzers und den Namen des Nutzers verwenden. Oftmals ist es erforderlich, den Nutzer selbst transparent über die beabsichtigte Datenerhebung und -verarbeitung aufzuklären und ggf. eine Einwilligung einzuholen. Sofern Daten an den Plattformbetreiber zurück übermittelt werden sollen, wird auch dies in der Regel nur mit Einwilligung des Nutzers zulässig sein. Dies gilt insbesondere dann, wenn der Plattformbetreiber seinen Sitz außerhalb der EU bzw. des EWR hat und kein angemessenes Datenschutzniveau angenommen werden kann. 6.6 Elektronische Nachrichten Sofern Unternehmen elektronische Post versenden, um den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, stellt dies grundsätzlich eine Handlung dar, die unter anderem den Anforderungen des UWG genügen muss. Dabei ist beachtlich, dass der deutsche Gesetzgeber in 7 Abs. 2 Nr. 3 UWG sowie in 7 Abs. 3 UWG bereichsspezifische Vorschriften zum Schutz der Privatsphäre aufgenommen hat, die eine direkte Umsetzung der EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation darstellen. Eine Werbung mittels elektronischer Post ist neben den in 7 Abs. 3 UWG geregelten Fällen grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung des Adressaten erlaubt. Die Anforderung an eine solche Einwilligung hat die Rechtsprechung weiter konkretisiert. Insbesondere im Bereich der Newsletterbestellungen sind zahlreiche Vorgaben zu finden. 33 So muss die Einwilligung des Nutzers aktiv erfolgen und darf nicht bereits voreingestellt sein. Die Einwilligung muss beweisbar protokolliert werden und es muss sichergestellt sein, dass der einwilligende Nutzer Inhaber der entsprechenden elektronischen Postadresse ist. Der Begriff der elektronischen Post umfasst aber nicht nur Nachrichten, die mittels versendet werden. Vielmehr ist davon auszugehen, dass jede über ein öffentliches Kommunikationsnetz verschickte Textnachricht, die beim Empfänger gespeichert werden kann, bis sie von diesem abgerufen wird, als elektronische Post zu qualifizieren ist. 34 Dies ist insbesondere für Social Media Plattformen relevant, welche die Möglichkeit bieten, innerhalb der Plattform Direktnachrichten zu versenden. So bietet etwa Twitter die Möglichkeit, private Direktnachrichten an bestimmte Follower zu versenden. Diese Nachrichten werden in einer Art Posteingang gespeichert. Es spricht daher vieles dafür, dass auch die Versendung solcher Direktnachrichten analog zur Versendung von s behandelt werden muss. Der Nutzer muss daher in den Empfang der Direktnachricht ausdrücklich eingewilligt haben. Da die Direktnachricht portalintern und nutzerbezogen stattfindet, dürfte allerdings ein einfaches Opt-In ausreichend sein, sofern der Nutzer seine Einwilligung nur als eingeloggtes Portalmitglied erteilen kann. Denn in solchen Fällen ist der Abgleich (die Authentisierung) des Anmeldenden mit dem Empfänger der Nachricht nicht mehr erforderlich. 33 Vgl. auch: Föhlisch in Hoeren/Sieber, Handbuch Multimedia-Recht, 26. Ergänzungslieferung 2010, Teil 13.4 Rn Artikel 2 h der EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation. Sofern Unternehmen Nachrichten auf Pinnwänden von Verbrauchern in eigenem Namen ohne ausdrückliche Einwilligung posten, fällt dies zwar nicht unter 7 Abs. 2 Nr. 3 UWG, kann aber gleichwohl eine unzumutbare Belästigung gem. 7 Abs. 1 UWG darstellen. Sollen Nutzer dazu animiert werden, Weiterempfehlungen im eigenen Namen zu verbreiten, sind die von der Rechtsprechung im Rahmen der Freundschaftswerbung aufgestellten Grundsätze zu beachten. 35 Kritisch wäre etwa ein Gewinnspiel, welches Nutzer mit Gewinnen dafür belohnt, vorgefertigte Texte oder Grafiken als Direktnachrichten zu versenden oder auf den Pinnwänden von anderen Nutzern zu posten. 7 Fazit und Ausblick Social Media Marketing stellt Unternehmen rechtlich vor hohe Herausforderungen. Die Verwendung von Social Plugins und Social Media Plattformen zu Marketingzwecken sollte dabei nicht ohne vorherige Prüfung der damit verbundenen Datenverarbeitung stattfinden. Oftmals wird es für Unternehmen erforderlich sein, kompensatorische Maßnahmen zu ergreifen, um insbesondere den Anforderungen des Datenschutzrechts aber auch des Wettbewerbsrechts zu genügen. Dabei müssen auch die rechtlichen Anforderungen beachtet werden, die für klassische Unternehmensauftritte gelten. In diesem Zusammenhang bedarf es bspw. bei Unterseiten auf Social Media Plattformen eines eigenen Impressums und einer eigenen Datenschutzerklärung. Die Einbindung von Social Plugins ist derzeit als kritisch zu bewerten. Hier kommt es darauf an, dass die Anbieter klare Aussagen treffen, welche Datenverarbeitung tatsächlich stattfindet. Social Plugins sollten künftig so gestaltet werden, dass diese auch technisch in der Kontrolle des Webseitenbetreibers liegen und dieser überblicken und beeinflussen kann, welche Datenverarbeitung die auf seinen Seiten eingebundenen Social Plugins auslösen. Hierbei muss sich der Webseitenbetreiber letztlich, unter Berücksichtigung der Vorschriften des Telemedienrechts, an die informierte Entscheidung des einzelnen Nutzers halten. 35 Eine gute Übersicht bietet Ohly in Piper/Ohly/ Sosnitza, UWG, 5. Auflage 2010, 7 Rn 67. DuD Datenschutz und Datensicherheit