Social Media und Datenschutz Rechtliche Fallstricke erkennen und vermeiden Dr. Ulrich Baumgartner, LL.M Rechtsanwalt/Partner Osborne Clarke

Transkript

1 25. NEON-Plenum, 18. Februar 2013 Social Media Guidelines Richtlinien und rechtliche Rahmenbedingungen der Social Media-Forschung verstehen und anwenden Berufsverband Deutscher Markt- und Sozialforscher e.v. Social Media und Datenschutz Rechtliche Fallstricke erkennen und vermeiden Dr. Ulrich Baumgartner, LL.M Rechtsanwalt/Partner Osborne Clarke

2 Coming Up Datenschutz und MaFo - Basics Social Media Monitoring Tracking Social Plug-Ins Social Media Fanpages 2

3 Datenschutz und MaFo - Basics Bundesdatenschutzgesetz antiquiert Von der technischen Entwicklung längst überholt Viele Generalklauseln und auslegungsbedürftige Regelungen in BDSG/TMG Sog. Novellen des BDSG haben daran nichts geändert Fazit: Oft Rechtsunsicherheit Pragmatische Lösungen notwendig 3

4 Datenschutz und MaFo - Basics Welche Daten fallen unter das Datenschutzrecht? Personenbezogene Daten "Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" (3 Abs. 1 BDSG) Beispiele: Name, Adresse, , Kreditkartennummer Sehr weite Auslegung durch Gerichte / Aufsichtsbehörden Bsp: Google Street View, Smart Metering, etc. 4

5 Datenschutz und MaFo - Basics Was sind anonyme Daten? Wichtig: Anonyme Daten fallen nicht unter das Datenschutzrecht! Aber: Hohe Hürden in der Praxis Jeder Personenbezug muss fehlen Re-Anonymisierung muss ausgeschlossen sein oder einen unverhältnismäßigen Aufwand erfordern In der Praxis daher selten! Praxis-Tip: Nicht vorschnell von anonymen Daten ausgehen! 5

6 Datenschutz und MaFo - Basics Was sind pseudonyme Daten? Wichtig: Pseudonyme Daten fallen grds. unter das Datenschutzrecht! Was ist gemeint? Personenbezug wird durch Pseudonym ersetzt Personenbezug kann mit Hilfe von Referenzdatei/Zuordnungsregel wieder hergestellt werden In der Praxis hängt viel vom Einzelfall ab Praxis-Tip: Pseudonyme Daten sind etwas ganz anderes als anonyme Daten 6

7 Datenschutz und MaFo - Basics Nicht unter das Datenschutzrecht fallen, z.b. rein statistische Daten/Forschungsdaten ohne Personenbezug Trennlinie zu anonymen/pseudonymen Daten unscharf Restriktive Linie der Aufsichtsbehörden und Gerichte 7

8 Datenschutz und MaFo - Basics Checkliste: Datentypen BDSG/TMG anwendbar? Anonyme Daten Nein Pseudonyme Daten Ja "Verschlüsselte" Daten Kommt darauf an 8

9 Datenschutz und MaFo - Basics Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist explizit erlaubt Juristen nennen das: "Verbot mit Erlaubnisvorbehalt D.h. jede Verarbeitung personenbezogener Daten bedarf einer Rechtfertigung Verarbeitung wird ebenfalls sehr weit definiert Umfasst das Speichern, Verändern, Nutzen, Übermitteln und Löschen von Daten 9

10 Datenschutz und MaFo - Basics Konsequenz: Fast jeder Umgang mit personenbezogenen Daten bedarf einer Rechtfertigung! Das gilt grds. auch für die Erhebung von pd zu Zwecken der Marktforschung Das Medium der Datenerhebung spielt dabei keine Rolle 10

11 Datenschutz und MaFo - Basics Wer ist verantwortlich? Datenschutzrechtlich verantwortlich ist die sog. "verantwortliche Stelle" "Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt", 3 Abs. 7 BDSG 11

12 Datenschutz und MaFo - Basics Verantwortliche Stelle bei MaFo? Juristen sagen: Das kommt darauf an nämlich: Handelt MaFo-Unternehmen selbständig: MaFo- Unternehmen Handelt MaFo-Unternehmen im Auftrag, aber ohne spezifische Weisungen des Auftraggebers MaFo- Unternehmen Gibt der Auftraggeber/Kunde spezifische Weisungen Kunde 12

13 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen Einwilligung der Betroffenen Achtung: Schwer wirksam zu bekommen und widerruflich Gesetzliche Erlaubnis Privilegierung der geschäftsmäßigen MaFo, 30a BDSG Auftragsdatenverarbeitung (ADV), 11 BDSG 13

14 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen Einwilligung Einwilligung der Betroffenen Muss "informiert" erfolgen Muss grds. schriftlich erfolgen Kann jederzeit mit sofortiger Wirkung widerrufen werden Praxis-Tip: Verlassen Sie sich nicht alleine auf eine Einwilligung! 14

15 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen - 30a BDSG Hintergrund MaFo ist "wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung der Bundesrepublik Deutschland" (Gesetzesbegründung) 30a BDSG soll der MaFo daher das Leben erleichtern Privilegierung ggü. sonstigen Unternehmen 15

16 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen - 30a BDSG Datenverarbeitung für "geschäftsmäßige" MaFo zulässig, wenn Keine schutzwürdigen Interessen des Betroffenen an dem Ausschluss der Datenverarbeitung bestehen, oder Daten aus allgemein zugänglichen Quellen stammen ODER MaFo-Unternehmen sie veröffentlichen dürfte UND schutzwürdige Interessen des Betroffenen nicht "offensichtlich" entgegenstehen 16

17 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen - 30a BDSG Außerdem: Daten dürfen NUR für MaFo verwendet werden (Zweckbindung) Verwendung für andere Zwecke nur in anonymisierter Form Stets Pflicht zur Anonymisierung, sobald dies nach Zweck des Forschungsvorhabens möglich ist 17

18 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen - 30a BDSG Bedeutet in der Praxis: Abwägung im Einzelfall oft unklar Rechtsunsicherheit Praxis-Tip: Greifen Sie wann immer möglich auf allgemein zugängliche Quellen zurück 18

19 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen Auftragsdatenverarbeitung Bedeutet: Betrifft das sog. "Outsourcing" Setzt detaillierten Vertrag zwischen Auftraggeber und Auftragnehmer voraus ( 11 Abs. 2 BDSG) Führt dazu, dass der Auftragnehmer "verlängerter Arm" des Kunden wird und nicht mehr "Dritter" ist Übermittlung von Daten an den Auftragnehmer ist dann per Gesetz zulässig Auftraggeber ist für Einhaltung des Datenschutzes verantwortlich 19

20 Datenschutz und MaFo - Basics Mögliche Rechtfertigungen Auftragsdatenverarbeitung Bedeutung für MaFo Kann vorliegen, wenn der Kunde ein MaFo- Unternehmen mit einzelnen MaFo-Maßnahmen beauftragt Liegt i.d.r. vor, wenn Kunde Daten zur Verfügung stellt Bsp: Durchführung einer Kundenbefragung durch externes MaFo-Unternehmen Kommt stark auf den Einzelfall an 20

21 Datenschutz und MaFo - Basics Sanktionen Bußgeld bis zu EUR ,00 (+ ggfs. Gewinnabschöpfung) Untersagung bestimmter Datenverarbeitungen Strafrechtliche Relevanz bei Vorsatz + Bereicherungsoder Schädigungsabsicht/Fernmeldegeheimnis Reputationsverlust/Schlechte Presse Insbes. bei Kundendaten In der Praxis oft das größte Risiko 21

22 Social Media Monitoring Was ist erlaubt? Datenschutzrecht i.d.r. relevant, weil personenbezogene Daten betroffen Fällt wohl unter 30a Abs. 1 Nr. 2 BDSG, wenn die Daten allgemein zugänglich sind, und Keine schutzwürdigen Interessen der Betroffenen "offensichtlich" entgegenstehen Liegt i.d.r. vor, wenn Kunde Daten zur Verfügung stellt Bsp: Durchführung einer Kundenbefragung durch externes MaFo-Unternehmen Kommt stark auf den Einzelfall an 22

23 Social Media Monitoring Was fällt unter 30a Abs. 1 Nr. 2 BDSG? Öffentliche Social Media Profile Alle für jedermann zugänglichen Seiten Tweets Blogeinträge (plus Kommentare dazu) Beiträge auf Foren Beiträge auf Bewertungsplattformen 23

24 Social Media Monitoring Achtung! Onlineforen mit Registrierung Sind grds. nicht "allgemein zugänglich" Nutzungsbedingungen der Plattform sind zu beachten Ist dort z.b. kommerzielle Nutzung untersagt, ist Auswertung unzulässig 24

25 Social Media Monitoring Achtung! Facebook-Profile Sind grds. nicht "allgemein zugänglich" Analyse daher grds. unzulässig Aber: Analyse wohl dennoch zulässig, wenn Nutzer ausdrücklich auf Analyseabsicht hingewiesen wurden und einer Analyse zustimmen 25

26 Social Media Monitoring Praxis-Tip: Zwar wird eine unerlaubte Auswertung gesperrter Inhalte nur selten entdeckt Die Datenschutzbehörden bekommen aber zunehmend Hinweise, z.b. von unzufriedenen Mitarbeitern, Konkurrenten, etc. Risiko in der Praxis steigt! 26

27 Social Media Monitoring Nutzung von Analyse-Tools Praxis-Tip: Auch wenn Analyse-Tools Dritter genutzt werden, bleibt das MaFo-Unternehmen grds. datenschutzrechtlich verantwortlich Anbieter sorgfältig auswählen Zertifikate/Zusicherungen verlangen 27

28 Social Media Monitoring 28

29 Tracking Worum geht's? Verhalten von Nutzern im Internet wird erfasst Ergebnis sind meist pseudonyme Nutzerprofile Da pseudonyme Profile immer noch "personenbeziehbar" sind, gelten bestimmte Spielregeln (inbes. 15 Abs. 3 TMG spezifisch für MaFo) 29

30 Tracking Spielregeln Bei personenbezogenen Daten (z.b. vollständige IP- Adressen): Explizite Einwilligung Bei pseudonymen Nutzerprofilen: Widerspruchsmöglichkeit In jedem Fall: Belehrung über Datenerhebung Pseudonyme Profile dürfen nicht mit Daten über Träger des Pseudonyms zusammengeführt werden Bei Einschaltung von Dritten: Auch bei pseudonymen Profilen: ADV-Vertrag 30

31 Tracking Checkliste Werden personenbezogene Daten erhoben? Falls ja: Werden nur pseudonyme Nutzerprofile erstellt? Falls ja: Informationsplicht erfüllt? Informationspflicht erfüllt? Einwilligung? Widerspruchsbelehrung/ Widerspruchsmöglichkeit? Widerrufsmöglichkeit? Keine Zusammenführung mit personenbezogenen Daten? ADV? ADV? 31

32 Tracking Beispiel: Google Analytics Die dt. Datenschutzbehörden verlangen: Anonymisierung der IP-Adresse (IP-Masking) Information der Nutzer über Tracking Widerrufsbelehrung/Widerrufsmöglichkeit für die Zukunft (durch Google Browser Plug-In) Keine Zusammenführung mit pb Daten (z.b. mit Google+) ADV-Vereinbarung mit Google (Google stellt Download zur Verfügung) 32

33 Tracking Exkurs: Cookies In Deutschland ist immer noch keine Umsetzung der sog. Cookie Richtlinie absehbar Die Folge ist Rechtsunsicherheit, ob und wie für den Einsatz von Cookies ein Opt-In erforderlich ist 33

34 Tracking Exkurs: Umsetzung der Cookie Richtlinie (Stand Juli 2012) 34

35 Social Plug-Ins Worum geht's? Nutzeranalyse mittels Plug-Ins (z.b. Facebook Like Button) Datenschutzrechtlich problematisch, weil: Website enthält Code, z.b. von Facebook Daten werden nicht erst bei Klick auf Button übermittelt, sondern schon mit Aufruf der URL Ist Nutzer bei Facebook eingeloggt, werden Daten mit Profildaten verknüpft (Personenbezug!) Website-Betreiber hat keinen Einfluss darauf, welche Nutzerdaten z.b. Facebook erhebt Achtung! Unterscheidet sich von "Teilen- Schaltfläche", die lediglich einen Link darstellt 35

36 Social Plug-Ins Was ist erlaubt? Best Practice: Sog. "2-Klick-Lösung" Dabei wird Like-Button nicht gleich bei Aufruf der Website geladen Vielmehr wird Button zunächst nur als inaktives Bild eingeblendet Nach erstem Klick auf Button werden Nutzer über Datenübermittlung an Facebook informiert Mit dem zweiten Klick wird der Button "aktiviert" und Datenübermittlung startet Achtung! Immer noch riskant, da keine ausreichende Information über Datenübermittlung möglich und Einwilligung daher streng genommen unwirksam ist 36

37 Communities Worum geht's? Facebook Fanpages, Blogs, Innovation Communities, etc. Was ist zu beachten? I.d.R. eigene Website, d.h. MaFo-Unternehmen als Betreiber ist datenschutzrechtlich voll verantwortlich für: Einwilligung der Nutzer (z.b. Contest) Generierung von Nutzerprofilen Datenschutzerklärung U.U. ADV mit Kunden Etc. 37

38 Social Media Fanpages Was ist erlaubt? Betreiber der Fanpage ist alleine verantwortlich (wie für eigene Website) Der Betreiber der Fanpage weiß nicht, welche Daten von dem Provider erhoben und/oder übermittelt werden Daran scheitert die Einholung einer wirksamen Einwilligung Achtung! Es ist derzeit nicht möglich, eine Fanpage rechtssicher zu betreiben! 38

39 Crowdsourcing Worum geht's? Innovations-Plattformen, Design-Contests, etc. Was ist zu beachten? Möglichst wenige/keine personenbezogenen Daten sammeln Alternativ gesammelte Daten anonymisieren Wenn eigene Plattform aufgesetzt wird: Datenschutzerklärung Regeln für pseudonyme Nutzerprofile beachten Regeln für Tracking, etc. beachten U.U. ADV mit Kunden 39

40 Kontakt Dr. Ulrich Baumgartner, LL.M. Rechtsanwalt Partner Osborne Clarke München T F ulrich.baumgartner@osborneclarke.de 40