Einsatz von Social Media in Organisationen

Soziale Netze aus Datenschutzsicht

04.01.2018 von Regina Mühlich

Auf soziale Netze kann zu Kommunikationszwecken in Unternehmen kaum noch verzichtet werden. Informationsbeschaffung, Bestellungen und vieles andere läuft über digitale Kanäle. Was sollten Unternehmen dabei hinsichtlich des Datenschutzes beachten?

Soziale Netze sind Plattformen im Internet, auf der Menschen sich treffen und vernetzen, austauschen und kommunizieren. Es sind virtuelle Gemeinschaften. Bekannte soziale Netze sind zum Beispiel Facebook und Twitter, Xing und LinkedIn. Aber auch Messenger-Dienste, wie WhatsApp zählen zu den sozialen Netzen.

Bei der Kommunikation über soziale Netze sind die Bestimmungen des Datenschutzes zu beachten.
Foto: Rawpixel-Shutterstock.com

Die Frage aus Sicht des Datenschutzes ist: Was machen Facebook, Xing oder andere Plattformen wie WhatsApp mit (personenbezogenen) Daten, also mit "meinen" Daten? Diese Frage nach der Datennutzung innerhalb der sozialen Netze wird viel diskutiert. Im extremen Widerspruch zu dieser mehr als berechtigten Sorge steht die der Praxis, in den Unternehmen und im Besonderen in der sozialen Arbeit, zum Beispiel in Kindergärten und gemeinnützigen Vereinen.

Soziale Netze

Auf soziale Netze kann zu Kommunikationszwecken im Arbeitsalltag kaum noch verzichtet werden. Informationsbeschaffung, Bestellungen und vieles andere läuft über digitale Kanäle. Die Unternehmen haben letztendlich keine andere Möglichkeit als sich auf diese Kommunikationsart ihrer Gesprächspartner einzustellen. Auch in der sozialen Arbeit haben soziale Netze Einzug gehalten, und sind als Kommunikationsweg mit Klienten und Patienten nicht mehr wegzudenken.

Umso wichtiger ist es für Organisationen, also für Unternehmen, Betriebe, Vereine und soziale Einrichtungen, ihren Mitarbeitern Medien- und Informationskompetenz zu vermitteln. Für die Nutzung der digitalen Medien sollten Organisationen ihre Mitarbeiter gut vorbereiten.

Datenschutz digital: ein wichtiges Thema

Unternehmen sind gesetzlich verpflichtet, sich um das Thema Datenschutz zu kümmern. Auch Vereine, Selbständige, Handwerksbetriebe und soziale Einrichtungen unterliegen den gültigen Datenschutzgesetzen. Insbesondere soziale und medizinische Einrichtungen sollten auf die Einhaltung der gesetzlichen Vorgaben achten, da hier vielfach mit sensiblen Daten (Sozial- und Patientendaten) gearbeitet wird und diese einem besonderen Schutz unterliegen.

Es geht dabei nicht nur um das Bundesdatenschutzgesetz - ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DS-GVO) gültig - sondern auch um die Schweigepflicht (§ 203 StGB), Berufsgeheimnisse, vertragliche Vereinbarungen mit Kunden und Lieferanten sowie um die Einhaltung der Vorschriften aus den Sozialgesetzbüchern (SGB) und anderen Datenschutzvorschriften.

Konsequenzen

Verstöße gegen Datenschutzgesetze sind kein Kavaliersdelikt. Ein nicht gesetzeskonformer Umgang mit personenbezogenen Daten kann nicht nur Vertrauensverlust von Kunden, Geschäftspartnern, Vereinsmitgliedern, Einrichtungen und Patienten bedeuten. Auch finanzielle und rechtliche Konsequenzen drohen.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Der Gesetzgeber sieht im Bundesdatenschutzgesetz (BDSG) Geldbußen von bis zu 300.000 Euro vor. In der EU-Datenschutzgrundverordnung werden bei Datenschutzverstöße gegen Betroffenenrechte bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (§ 83 DS-GVO). Die Betroffenen können, wenn gegen Datenschutzvorschriften verstoßen wurde, bei der Aufsichtsbehörde ihres Bundeslandes sowie auch bei Verbraucherschutzverbänden Beschwerde einreichen.

Was sollten Unternehmen tun?

Aufklärung und Handlungsempfehlungen sind die beste Möglichkeit, um Awareness und Sensibilisierung bei den Mitarbeitern zu schaffen.
Schulungen sollten regelmäßig durchgeführt werden.
Klare Definition durch das Unternehmen, welche Social-Media-Kanäle für welchen Zweck von welchen Mitarbeitern genutzt werden dürfen.
Private und dienstliche Kommunikation sind strikt zu trennen. Es empfiehlt sich, die Nutzung von privaten Geräten für eine dienstliche Kommunikation nicht zu gestatten.
Eine private Kommunikation über dienstliche Geräte und die Nutzung der auf diesen Geräten bereitgestellten Dienste sollte untersagt werden.
Die Nutzung von Messenger und WhatsApp sollte nicht für Beratungen, Weiterleitung von Daten und Dokumentenaustausch erfolgen. Dies gilt auch für Facebook & Co.
Mitarbeiten sollten schriftlich über Verhaltensregeln, Grundsätze und Zwecke der Kommunikation in sozialen Netzen informiert werden.

Woran sollte noch gedacht werden?

Fotos und Videos von Personen, dürfen nur mit deren Einverständnis gepostet und veröffentlicht werden.
Eine Einwilligung muss vor der Veröffentlichung erfolgen und schriftlich eingeholt werden.
Die Nachweispflicht über die Zustimmung durch den Betroffenen liegt bei der verantwortlichen Stelle, sprich bei der Organisation, beim Arbeitgeber.
In Organisationen, die einen Betriebsrat haben, sind die Vorgehens- und Verhaltensweisen gemäß § 87 Abs. 1 Betriebsverfassungsgesetz mit diesem abzustimmen und gegebenenfalls über Betriebsereinbarungen zu regeln.
Ein Impressum auf Facebook-, Google+, Xing-Seiten und anderen Social-Media-Plattformen sind für Unternehmen verpflichtend. Die Pflicht zur so genannten "Anbieterkennzeichnung" (Impressumpflicht) ergibt sich unter anderem aus § 5 Telemediengesetz. (haf)