DSGVO für Website-Betreiber – Teil 3: Social Media und Newsletter

24.10.2019
4 Minuten Lesezeit

Social Media:

Damit Website-Betreiber Social Plugins z. B. von Facebook, Google, Twitter, Instagram und Co. datenschutzkonform verwenden können, gilt es gewisse Voraussetzungen zu erfüllen.

Zunächst empfiehlt sich die sog. „Zwei-Klick-Lösung“ des Heise-Verlags, bei welcher die Plugins erst durch den Klick des Nutzers aktiviert werden, sodass die Nutzerdaten auch erst ab diesem Zeitpunkt an die Social-Media-Plattform übertragen werden bzw. übertragen werden dürfen. Denn eine direkte Einbindung z. B. von Tweets und Postings kann zu einem bußgeldbewehrten Datenschutzverstoß führen.

Website-Betreiber sollten ihre Nutzer zudem in den Datenschutzerklärungen über die Einbindung von Social Plugins informieren und auf ihr Widerrufsrecht (Opt-Out) bzgl. ihrer erteilten Einwilligung hinweisen, um ihren Informations- und Transparenzpflichten nach der DSGVO nachzukommen.

Damit für das Login-Verfahren wie Facebook Connect und Co. verwendet werden dürfen, bedarf es der vorherigen Einwilligung der Nutzer, welche z. B. ähnlich wie bei der o. g. „Zwei-Klick-Lösung“ bei den Plugins eingeholt werden könnte, indem der Nutzer bestätigt, dass er mit dem Datenaustausch einverstanden ist. Eine andere Möglichkeit wäre, eine derartige Einwilligung bereits vorab im Cookie-Banner zu ermöglichen.

Da Website-Betreiber dafür verantwortlich sind, technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung zu ergreifen, empfiehlt es sich, bei der Einbindung von Fremd-Codes (Drittanbieter) nur tatsächlich erforderliche Plugins zu verwenden und durch den Webmaster regelmäßig zu überprüfen, welche Nutzerdaten/Daten durch die Plugins abgerufen werden. Ansonsten besteht die Gefahr, dass Datenverarbeitungen im Hintergrund der Website erfolgen, von denen die Websitebetreiber keine Kenntnis oder über welche sie keine Kontrolle haben.

Sofern Filmdateien oder YouTube-Videos von anderen Plattformen in die Websites eingebunden werden sollen, sollten sich Website-Betreiber entweder von ihrem eigenen Webserver ein Vorschaubild anzeigen lassen, anstatt das Video direkt einzubinden, oder einen erweiterten Datenschutzmodus aktivieren, welcher beim Aufruf des einzubettenden YouTube-Videos unter „Teilen > Einbetten > Mehr anzeigen“ zu finden ist.

Newsletter:

Möchten Website-Betreiber Newsletter an ihre Nutzer versenden, verlangt die DSGVO u. a. die Einholung der Einwilligung des Betroffenen, z. B. durch Verwendung des Double-Opt-In-Verfahrens sowie den Abschluss eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO), sofern ein Dienstleister eingesetzt wird, da eine rechtliche Grundlage für die Datenverarbeitung gegeben und die Verantwortlichkeiten bei dem Einsatz von Auftragsverarbeitern geregelt sein müssen.

Gerade der Nachweis für das Double-Opt-In, d. h. u. a. E-Mail-Adresse, IP-Adresse, Datum und Uhrzeit der Eintragung in das Newsletter-Formular bzw. Klicken des Bestätigungslinks, sollte solange aufbewahrt werden, wie dem jeweiligen Nutzer ein Newsletter zugestellt wird. Dieser könnte ggf. im Rahmen einer Kontrolle durch die zuständige Datenschutzaufsichtsbehörde gefragt sein/vorzuzeigen sein, da ansonsten im Falle einer Beschwerde des betroffenen Nutzers/Newsletter-Empfängers (bei der zuständigen Datenschutz-Aufsichtsbehörde) Sanktionen drohen könnten.

Sofern Website-Betreiber externe Dienstleister für den Newsletter-Versand einsetzen (Auftragsverarbeiter im o. g. Sinne), sollte ein abgeschlossener Auftragsverarbeitungsvertrag v. a. daraufhin überprüft werden, ob die vorgesehenen Regelungen klare Verantwortlichkeiten regeln und konkret ersichtlich ist, welche Rechte und Pflichten einerseits für den Verantwortlichen, andererseits für den Auftragsverarbeiter gelten.

Sofern ein Dienstleister in den USA niedergelassen ist, sollte zumindest eine Privacy-Shield-Zertifizierung vorhanden sein, da den Website-Betreibern als „Verantwortliche“ i. S. d. DSGVO im Falle eines Datenschutzverstoßes wiederum Geldbußen drohen könnten.

Auch hier gilt es, zur Wahrung der Betroffenenrechte und Transparenzpflicht die Nutzer über den Newsletter-Versand in der Datenschutzerklärung genau und in verständlicher Form zu informieren, auf ihre Widerrufsmöglichkeit z. B. im Footer der E-Mail des Newsletters hinzuweisen und Abbestellmöglichkeiten, z. B. durch einen Abmeldelink, anzubieten. Allerdings stellt eine Verlinkung lediglich auf die Datenschutzerklärung des Auftragsverarbeiters/externen Dienstleisters keine ausreichende Information dar.

Zur eigenen Absicherung etwaiger Nachweispflichten sollten Website-Betreiber zudem eine Blacklist für ausgetragene E-Mail-Adressen einrichten, da hier die – eine Datenverarbeitung rechtfertigende – Rechtsgrundlage z. B. durch die Einwilligung des Nutzers nicht mehr besteht und daher nicht mehr erfolgen darf.

Neben der DSGVO sind auch Vorschriften des UWG (Gesetz gegen den unlauteren Wettbewerb) zu beachten, sofern der Newsletter-Versand eine „unzumutbare Belästigung“ darstellt. Eine unzumutbare Belästigung in diesem Sinne liegt nach dem UWG bspw. allerdings nicht vor, wenn Unternehmer E-Mail-Adressen der Kunden im Zusammenhang mit dem Verkauf von Waren oder der Erbringung von Dienstleistungen erhalten, der Kunde dem Newsletter-Versand nicht widersprochen hat oder zur Direktwerbung für eigene ähnliche Waren und Dienstleistungen verwendet.

Auch bei Inkrafttreten der ePrivacy-VO ist zu erwarten, dass keine Anforderungen an den Newsletter-Versand hinzukommen werden, die nicht bereits nach der DSGVO zu erfüllen sind, gerade hinsichtlich der erforderlichen Einwilligung der Nutzer für das Direktmarketing.

Marc E. Evers

Rechtsanwalt

zert. Datenschutzbeauftragter

zert. Datenschutzauditor

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Marc E. Evers

Veröffentlicht von:

Rechtsanwalt Marc E. Evers

Gewerblicher Rechtsschutz • IT-Recht • Urheberrecht & Medienrecht

Datenschutzrecht • Versicherungsrecht • Schadensersatzrecht & Schmerzensgeldrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Marc E. Evers

Wann liegt eine meldepflichtige Datenpanne vor?

Ob Hackerangriff, Datenleck oder Diebstahl von Datenträgern – in einer zunehmend digitalisierten Welt steigt das Risiko für Datenpannen immens. Wenn ein Unternehmen tatsächlich betroffen ist, ... Weiterlesen
Entscheidung des Monats November 2023: Videoüberwachung auf dem Weihnachtsmarkt

Heiligabend rückt in großen Schritten näher und viele Menschen tummeln sich auf dem örtlichen Weihnachtsmarkt zwischen Glühweinstand und Crêpes-Bude. Die Inflation spürt man auch hier und so ... Weiterlesen
Entscheidung des Monats Oktober 2023: Newsletter-Versand trotz Widerspruch

In meiner Rubrik „Entscheidung des Monats“ stelle ich Entscheidungen von Datenschutzaufsichtsbehörden vor, die von besonderer Relevanz sind. Entweder zeigen sie auf, in welchen Bereichen ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Marc E. Evers

Weitere

Beiträge zum Thema

Meine Rechte bei Social Media - Facebook & Co. – Persönlichkeitsschutz (Teil 1)

29.07.2013

Wer soziale Netzwerke wie Facebook oder Blogs nutzt, hat einiges zu beachten. So sollte jeder, der dort Fotos ... Weiterlesen
Die „Coaching-Falle“ Teil 7 - Chancen & Risiken für Content Creators im Social Media Business

28.06.2023

In den letzten Jahren hat sich die digitale Welt rasant weiterentwickelt, und mit ihr sind neue Berufsfelder ... Weiterlesen
Social Media – Internetauftritt von Unternehmen

31.05.2013

Wie wichtig ist die Unternehmensdarstellung im Internet-was bedeutet Social Media? - von Dr. Thomas Schulte, ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Stegen