Die sozialen Medien haben die Kommunikation zwischen Unternehmen und Kunden grundlegend verändert. Vom kleinen Friseur bis zum großen Konzern – fast alle Unternehmen nutzen Instagram, LinkedIn & Co. für zielgerichtete Werbebotschaften an Millionen potenzielle Kunden.

Neben vielen Potenzialen birgt die Einrichtung einer Firmenseite in den sozialen Medien aber auch rechtliche Herausforderungen. Insbesondere das Datenschutzrecht und das Arbeitsrecht stellen einige Anforderungen an einen rechtskonformen Social-Media-Auftritt von Unternehmen.

Vorgehen der Datenschutz-Konferenz gegen Facebook-Fanpages von Behörden

Dass die von Meta angebotenen Dienste Facebook, Instagram und WhatsApp in vielerlei Hinsicht nicht den Vorgaben des europäischen Datenschutzrechts genügen, belegt das kürzlich gegen Meta verhängte Bußgeld von EUR 1,2 Milliarden wegen unzulässiger Datentransfers in die USA. Die Datenschutzbehörden gehen aber nicht nur direkt gegen Meta vor, um Verbesserungen zu erzwingen. Sie bauen zunehmend auch indirekt Druck auf die Plattformen des Konzerns auf, indem sie sich an die Betreiber sogenannter Facebook-Fanpages wenden, also die Auftritte von Behörden oder Unternehmen bei Facebook. In einer Art Musterverfahren untersagte der Bundesdatenschutzbeauftragte im März 2023 dem Bundesamt für Presse und Information der Bundesregierung den Weiterbetrieb der Facebook-Fanpage der Bundesregierung. Das Bundesamt klagte gegen diese Anordnung, sodass die Verwaltungsgerichte nun die Rechtmäßigkeit der Untersagung klären müssen.

Grundlage für dieses Vorgehen ist ein im letzten Jahr von der Datenschutzkonferenz, dem Zusammenschluss der 18 deutschen Datenschutzbehörden, veröffentlichtes „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages". Das Ergebnis des Gutachtens: Es ist praktisch unmöglich, eine Fanpage datenschutzkonform zu betreiben. Denn der Betreiber der Fanpage sei für die Erhebung und Weiterverarbeitung der personenbezogenen Daten von Besuchern der Fanpage durch Meta mitverantwortlich. Er verstoße daher ebenso wie Meta gegen das Datenschutzrecht:

• das Cookie-Banner von Facebook sei nicht rechtskonform,
• die Besucher würden nicht transparent über die Verarbeitung ihrer Daten informiert, und
• der Datentransfer in die USA als – datenschutzrechtlich gesehen – unsicherem Drittstaat sei unzulässig.

Diese oder zumindest ähnliche Herausforderungen stellen sich Unternehmen und Behörden ebenso bei anderen sozialen Medien.

Was können Unternehmen für einen (möglichst) datenschutzkonformen Social-Media-Auftritt tun?

Auch wenn einzelne Unternehmen keinen Einfluss auf die Gestaltung des Cookie-Banners von Facebook haben, können sie dennoch einige Maßnahmen für möglichst datenschutzkonforme Auftritte in den sozialen Medien ergreifen:

Datenschutzrechtliche Vereinbarung

Bei der Anmeldung der Unternehmensseite im jeweiligen sozialen Netzwerk müssen Unternehmen mit dem Anbieter einen datenschutzrechtlichen Vertrag abschließen und dessen Vereinbarung dokumentieren. Je nach sozialem Medium kann das ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO oder eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO sein. Facebook bietet beispielsweise in Abhängigkeit vom jeweiligen Dienst sowohl einen Auftragsverarbeitungsvertrag als auch eine Vereinbarung zur gemeinsamen Verantwortlichkeit an, YouTube hingegen nur einen Auftragsverarbeitungsvertrag.

Datenschutzinformationen und Impressum

Ist die Anmeldung abgeschlossen, geht es an die Einrichtung: Jeder Unternehmensauftritt in einem sozialen Netzwerk stellt ein eigenes „Telemedium" dar. Der Betreiber muss daher sowohl Datenschutzinformationen für die Besucher als auch ein Impressum vorhalten. In den Datenschutzinformationen muss das Unternehmen insbesondere angeben,

• wie die datenschutzrechtlichen Verantwortlichkeiten mit dem Anbieter des sozialen Netzwerks verteilt sind,
• wie personenbezogene Daten erhoben werden,
• welche Daten das Unternehmen vom Anbieter des Netzwerks erhält, und
• ob die Daten der Besucher in einen Drittstaat außerhalb der Europäischen Union übertragen werden.

Stellt das Unternehmen redaktionelle Beiträge auf dem eigenen Auftritt ein, beispielsweise diesen Artikel, muss das Impressum neben den üblichen Pflichtinformationen zusätzlich einen Hinweis nach dem Medienstaatsvertrag darauf enthalten, wer inhaltlich für diese redaktionellen Inhalte verantwortlich ist.

Die Implementierung von Datenschutzinformationen und Impressum in den Auftritt ist je nach sozialem Medium leichter oder komplexer. Während Facebook auf der Unterseite „Info" ausreichend Platz hierfür vorsieht, müssen Unternehmen bei Instagram erfinderisch werden. Die Beschreibung des Profils darf nur wenige Zeichen und nur einen Link enthalten. Mögliche, wenn auch nicht optimale Lösungen sind die Einbindung der Datenschutzinformationen über eine ständig abrufbare Story oder die Verlinkung einer sogenannten Landing Page, auf der wiederum die Links zu Impressum und Datenschutzinformationen aufgelistet sind.

Fotos von Mitarbeitenden

Haben Unternehmen diese Hürden erfolgreich genommen, warten die nächsten rechtlichen Fallstricke bei der Produktion der Inhalte. Wer Fotos von Mitarbeitenden veröffentlicht, verarbeitet dadurch personenbezogene Daten der Mitarbeitenden und benötigt hierfür eine datenschutzrechtliche Rechtsgrundlage. In den seltensten Fällen ist die Verbreitung solcher Fotos für die Durchführung des Beschäftigungsverhältnisses unerlässlich. Die berechtigten Interessen des Unternehmens im Sinne der Datenschutz-Grundverordnung erlauben allenfalls die Veröffentlichung von Fotos größerer Veranstaltungen, die das Gesamtgeschehen und nicht individuelle Personen oder kleinere Gruppen abbilden. Abseits solcher Einzelfälle überwiegt aber das Interesse der Mitarbeitenden, dass ihr Bild nicht ungefragt in den sozialen Netzwerken verbreitet wird.

Unternehmen kommen daher häufig nicht daran vorbei, eine Einwilligung ihrer Mitarbeitenden in die Veröffentlichung der Fotos einzuholen. Diese bringt den Nachteil mit sich, dass die Mitarbeitenden sie jederzeit frei widerrufen können. Einen möglichen Ausweg stellen sogenannte Model-Release-Verträge dar. Damit diese rechtsverbindlich sind, muss das Unternehmen aber eine angemessene Gegenleistung gewähren. Bei der Gegenleistung muss es sich nicht zwingend um eine Geldleistung handeln. Denkbar ist beispielsweise auch die Gelegenheit, vom Fotografen weitere Aufnahmen für private Zwecke des Mitarbeitenden anfertigen zu lassen.

Corporate Influencer

Während das Unternehmen selbst eigene Beiträge nicht als „Eigenwerbung" kennzeichnen muss, können sogenannte „Corporate Influencer" dazu verpflichtet sein, werbliche Beiträge zugunsten des eigenen Unternehmens als Werbung zu kennzeichnen. Forcieren Unternehmen die berufliche Nutzung sozialer Netzwerke durch ihre Mitarbeitenden im Interesse des Unternehmens, sollten sie diese auf die datenschutz-, urheber- und wettbewerbsrechtlichen Anforderungen sowie die durch das Arbeitszeitgesetz gesetzten Grenzen hinweisen.

Social-Media-Richtlinien

Größere Unternehmen sind gut beraten, Social-Media-Richtlinien zu verfassen, die die betrieblichen Aktivitäten ihrer Mitarbeitenden in sozialen Netzwerken regulieren. Unternehmen mit Betriebsräten sollten bei der Aufstellung von Social-Media-Richtlinien beachten, dass solche Richtlinien häufig mitbestimmungspflichtige Angelegenheiten regeln und der Betriebsrat daher vor der Einführung entsprechender Richtlinien zu beteiligen ist. Enthalten Social-Media-Richtlinien etwa Regelungen, die das Verhalten der Mitarbeitenden und die Ordnung im Betrieb betreffen, ist das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 1 BetrVG betroffen. Dies gilt beispielsweise für Regelungen zum zeitlichen Umfang der Social-Media-Nutzung, zu den allgemeinen kommunikativen Verhaltensregeln (Netiquette) sowie zur IT-Sicherheit.

Beschränkt sich die Social-Media-Richtlinie nur auf den Hinweis auf die geltende Rechtslage und denkbare Sanktionen bei Zuwiderhandlungen, bestehen keine Mitbestimmungsrechte des Betriebsrats. Gleiches gilt, soweit in den Richtlinien nur allgemeine unternehmerische Ziele oder moralische und ethische Überzeugungen des Unternehmens dargestellt werden. Vor der Aufstellung von Social-Media-Richtlinien ist also im Einzelfall und ggf. hinsichtlich jeder einzelnen Regelung zu prüfen, ob Mitbestimmungsrechte des Betriebsrats bestehen.

Mitbestimmungsrechte beim Social-Media-Auftritt

Nicht nur bei der Aufstellung von Social-Media-Richtlinien, sondern auch bei der Gestaltung des Social-Media-Auftritts kommen Mitbestimmungsrechte des Betriebsrats in Betracht. So hat das Bundesarbeitsgericht im Zusammenhang mit der Nutzung einer Facebook-Fanpage schon im Jahr 2016 entschieden, dass Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG bestehen, wenn Unternehmen Facebook-Seiten betreiben und Nutzer dort Posts oder Kommentare hinterlassen können. Zur Begründung wurde ausgeführt, dass aufgrund des Inhalts von Nutzerkommentaren eine Leistungs- und Verhaltenskontrolle von Mitarbeitenden mittels einer technischen Einrichtung ermöglicht werde. Insofern besteht immer dann, wenn entsprechende Reaktionen Dritter auf Social-Media-Beiträge objektiv technisch möglich sind, ein Mitbestimmungsrecht des Betriebsrats. Gleiches haben Instanzgericht zwischenzeitlich auch für die Nutzung von Twitter entschieden.

Wenn Sie zu diesen oder anderen datenschutzrechtlichen oder arbeitsrechtlichen Themen Fragen haben, sprechen Sie uns gern an.