Das Dokument behandelt die datenschutzrechtlichen Herausforderungen bei der Nutzung sozialer Netzwerke, insbesondere in Bezug auf die DSGVO und die eigene Verantwortung der Nutzer und Betreiber. Wichtige Themen sind die Haushaltsausnahme, die gemeinsame Verantwortung bei der Datenverarbeitung und die Notwendigkeit von Datenschutzerklärungen sowie klare Einwilligungen zur Nutzung von Cookies und sozialen Plugins. Es wird auch auf die rechtlichen Rahmenbedingungen und mögliche Risiken eingegangen, die bei der Verarbeitung personenbezogener Daten in sozialen Medien entstehen können.

1. Soziale Netzwerke – So bezwingen
Sie datenschutzrechtliche Hürden!
SOCIAL MEDIA IN DER PRAXIS

2. ©2022 Privacy Xperts
Social Media & Datenschutz
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998

3. Agenda:
1. Einführung
2. Gemeinsame Verantwortung
3. Datenschutzerklärung
4. Social Plugins / Cookies
©2022 Privacy Xperts
Social Media & Datenschutz

4. Einführung
©2021 Privacy Xperts

5. ©2022 Privacy Xperts
Einführung
Social
Media
Facebook
Twitter
LinkedIn
Xing
Instagram
Snapchat
WhatsApp
TikTok
Youtube
Pinterest
…

6. ©2022 Privacy Xperts
Einführung
Bsp.:
Facebook
(priv.)
Profilseite
Kontakte
Posten,
Sharen,
Liken
Gruppen PN
(nicht-priv.)
Fanpage
vgl.
Profilseite
+ Analyse

7. ©2022 Privacy Xperts
Einführung
„Haushaltsausnahme“
 Social-Media-Nutzung =
ausschließlich persönliche
oder familiäre Tätigkeit?
Ausnahmen vom sachlichen
Anwendungsbereich (Art. 2 Abs. 2 DSGVO)
 Tätigkeit, die nicht in den Anwendungs-
bereich des Unionsrechts fällt
(Gesetzgebung in Drittstaaten)
 Besondere Bestimmungen über die EU-
Außen- und -Sicherheitspolitik
 Ausübung ausschließlich persönlicher oder
familiärer Tätigkeiten durch natürliche
Personen (Privatpersonen)
 Verhütung, Ermittlung, Aufdeckung oder
Verfolgung von Straftaten / Straf-
vollstreckung bzw. Abwehr von Gefahren
für die öffentliche Sicherheit
(Strafverfolgungs- & Ordnungsbehörden)

8. ©2022 Privacy Xperts
Einführung
„ausschließlich private“ Nutzung von Social Media?
 rein privater Zweck (z.B. Weiterleitung einer Stellenanzeige des Arbeitgebers)?
 privater Umfang (öffentliches Posting oder auf bestimmte Gruppe beschränkt,
z.B. Familienmitglieder und Freunde)?
 Wie viele Nutzer haben Zugriff auf das Posting - mehr als 10? mehr als 100?
mehr als 10.00? alle?

9. ©2022 Privacy Xperts
Einführung
EuGH, „Lindqvist“-Urt. v. 06.11.2003, Az. C-101/01
 Verarbeitung personenbezogener Daten im Internet nicht mehr „rein privat“,
da eine unbegrenzte Anzahl von Personen Zugang haben
 Fazit: für Haushaltsausnahme ist eine Datenverarbeitung zu rein privaten
Zwecken und in privatem Umfang erforderlich!

10. ©2022 Privacy Xperts
Einführung
DSGVO anwendbar, da Daten mit Personenbezug verarbeitet werden, z.B.
 (Nutzer-) Name
 Status-Update
 Kommentar
 Kurznachricht
 Kontakt
 Gruppe
 Veranstaltung
 gefolgte Fanpage
 Foto / Video
 Verlinkung / Markierung
 Geodaten
 IP-Adresse

11. ©2022 Privacy Xperts
Einführung
Tätigkeit Netzwerkanbieter Fanpagebetreiber
Status-Updates - Speicherung
- Übermittlung
- Eingabe
- Speicherung
- Übermittlung
Postings anderer Nutzer - Speicherung
- Übermittlung
- Übermittlung
Kurznachrichten - Speicherung
- Übermittlung
- Eingabe
- Speicherung
- Übermittlung
Reichweitenanalyse - Erhebung
- Speicherung
Verantwortlichkeiten
(Fanpage)

12. ©2022 Privacy Xperts
Einführung
Rechtsgrundlage Risikoanalyse geeignete TOMs
DSFA? Datenschutzerklärung
Reaktion auf
Betroffenenrechte
Aufnahme ins VVT
Datentransfer in
Drittstaaten
…

13. ©2022 Privacy Xperts
Einführung
Höhe des Risikos?
Pflicht zur DSFA?

14. ©2022 Privacy Xperts
Einführung
Risikoabwägung / potentielle Schäden (vgl. ErwGr 75 DSGVO) [1/2]
 Diskriminierung
 Identitätsdiebstahl oder –betrug
 finanzieller Verlust
 Rufschädigung
 Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
 unbefugte Aufhebung der Pseudonymisierung
 sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
 unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
 grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10)
 Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
 Verarbeitung einer großen Menge von Daten
 große Anzahl von Betroffenen

15. ©2022 Privacy Xperts
Einführung
Risikoabwägung / potentielle Schäden (vgl. ErwGr 75 DSGVO) [2/2]
 Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile),
insbesondere von
 Arbeitsleistung
 wirtschaftliche Lage
 Gesundheit
 persönliche Vorlieben / Interessen
 Zuverlässigkeit
 Verhalten
 Aufenthaltsort / Ortswechsel

16. ©2022 Privacy Xperts
Einführung
Kriterien für „hohes Risiko“ gem. Art.-29-Gruppe (WP248)
 Evaluierung- oder Scoring-Maßnahmen
 automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den
Betroffenen (Profiling)
 systematische Beobachtung von Betroffenen
 Verarbeitung besonderer Kategorien personenbezogener Daten
 in großem Umfang verarbeitete personenbezogene Daten
 Abgleich bzw. Kombination versch. Datensätze
 personenbezogene Daten verletzlicher Datensubjekte
 Einsatz neuartiger Lösungen / Technologien
 Übermittlung personenbezogener Daten in Drittstaaten
 Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen
oder einen Dienst / Vertrag zu nutzen

17. ©2022 Privacy Xperts
Einführung
Auskunftsanspruch
Person bekannt
Antwortschreiben
gem. Art. 12, 15
Person nicht bekannt
Negativauskunft
Identitätsfeststellung
Anfrage ggf. über
Social Media…

18. Gemeinsame Verantwortung
©2021 Privacy Xperts

19. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Auftrags-
verarbeitung
(AV)
getrennte
Verantwortung
Daten-
transfer
gemeinsame
Verantwortung

20. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Auftragsverarbeitung (AV)?
 Weisungsbefugnis des Verantwortlichen ggü. Auftragnehmer?
 keine Verarbeitung der Daten zu eigenen Zwecken des Auftragnehmers?
 ggf. Entscheidung des Auftragnehmers über Mittel, aber nicht über Zwecke der
Verarbeitung?
 Verarbeitung der Daten aufgrund gesetzlicher Verpflichtung durch Auftragnehmer?
 Kerntheorie?
 korrekter AV-Vertrag mit den erforderlichen Pflichtinhalten?

21. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Gemeinsame Verantwortung (JC)?
 mehrere Verantwortliche entscheiden gemeinsam über Zwecke und Mittel der
Datenverarbeitung? (nicht unbedingt 50:50, auch z.B. Aufteilung 90:10 möglich)
 korrekter JC-Vertrag?
 Zurverfügungstellen der wesentlichen Vertragsinhalte ggü. Betroffenen (auf Anfrage)?
 EuGH, „Facebook Fanpage“-Urt. v. 05.06.2018, Az. C-210/16
 EuGH, „FashionID“-Urt. v. 29.07.2019, Az. C-40/17

22. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Auszug aus Facebook Seiten-Insights-Ergänzung

23. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Muster / Beispiel
 Vereinbarung über gemeinsame Verantwortung
 Informationen zur gemeinsamen Verantwortung
 LfDI Baden-Württemberg
 https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-
verantwortlichkeit-sinnvoll-gestalten/

24. Datenschutzerklärung
©2021 Privacy Xperts

25. ©2022 Privacy Xperts
Datenschutzerklärung
allg. (Offline-)
Datenschutzhinweise
Pflichtangaben
gem. Art. 13,
14 DSGVO
Online-
Datenschutzerklärung
Pflichtangaben
gem. Art. 13,
14 DSGVO
…

26. ©2022 Privacy Xperts
Datenschutzerklärung
Art. 13 Abs. 1 DSGVO
 Namen und Kontaktdaten des Verantwortlichen
 Kontaktdaten des Datenschutzbeauftragten
 Zweck(e) der Datenverarbeitung
 Rechtsgrundlage(n) der Datenverarbeitung
 ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt
werden
 ggf. Empfänger oder Kategorien von Empfängern
 ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale
Organisation

27. ©2022 Privacy Xperts
Datenschutzerklärung
Art. 13 Abs. 2, 3 DSGVO
 Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer)
 Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung,
Widerspruch, Widerruf, Datenportabilität, Beschwerde)
 Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
 Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte
 Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf.
aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung
 ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)

28. ©2022 Privacy Xperts
Datenschutzerklärung
Typische Online-Technologien
 Analyse-Tools (Google Analytics, Facebook Custom Audience / Pixel, Matomo,
Etracker…)
 Kontaktformular
 Newsletter
 Online-Werbung (Google AdSense…)
 Cookies
 Social Plugins
 Social-Media-Feeds / -Profile
 WebFonts (Google WebFonts, FontAwesome…)
 Einbindung von Fremdinhalten (Youtube, Google Maps…)
 Verschlüsselung (SSL- / TLS-Zertifikat)
 Partnerprogramme (Amazon, eBay…)
 Stellenausschreibungen / Online-Bewerberverfahren
 usw. usw.

29. ©2022 Privacy Xperts
Datenschutzerklärung
Facebook
Twitter
LinkedIn
Youtube
Xing
…

30. ©2022 Privacy Xperts
Datenschutzerklärung

31. Social Plugins / Cookies
©2021 Privacy Xperts

32. ©2022 Privacy Xperts
Social Plugins / Cookies

33. ©2022 Privacy Xperts
Social Plugins / Cookies
„2-Klick-Lösung“ (o.ä. Technik)*
 Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)
 Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text
 Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
 Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers
 ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung
 Info & Vertrag über gemeinsame Verantwortlichkeit
* z.B. c‘t Shariff (Heise Verlag)

34. ©2022 Privacy Xperts
Social Plugins / Cookies
Exkurs: EuGH, „Planet49“-Urt. v. 01.10.2019, Az. C-673/17
 regelmäßig Einwilligung für Cookies erforderlich (o.ä. Technologien, wie z.B.
localStorage, Fingerprint…)
 (techn.) notwendige Cookies: keine Einwilligung erforderlich (Rechtsgrundlage z.B.
Vertragserfüllung oder berechtigtes Interesse)
 (techn.) nicht notwendige Cookies: Einwilligung z.B. über Opt-In-Funktion per
Consent Management (Cookie Banner)
 „neue“ Regelungen in §§ 25, 26 TTDSG (Einwilligung auch, wenn keine
personenbezogenen Daten verarbeitet werden)

35. ©2022 Privacy Xperts
Social Plugins / Cookies
 (tech.) notwendige Cookies für…  (techn.) nicht notwendige Cookies
für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von Zahlungsdienstleistern Social Plugins
Opt-out-Option eingebettete Inhalte (Youtube, Vimeo,
Google Maps…)
Live-Chats / Messenger
Speicherung der Zustimmung / Ablehnung
von Cookies

36. ©2022 Privacy Xperts
Social Plugins / Cookies
Checkliste Cookie-Banner
 echte Opt-In-Lösung
 Einholung von Einwilligung(en) für Datenerhebung, -weiterverarbeitung und ggf.
-übermittlung ins Ausland in einer Erklärung möglich (Transparenz!)
 keine vorausgefüllten Checkboxen
 echte Wahlmöglichkeit, z.B. durch zusätzliche Option („Nein“, „Abbrechen“ o.ä.)
 kein übermäßiges „Nudging“ (z.B. durch voreingestellte Aktivierung von Marketing-
Cookies)
 ausreichende Informationen über Cookies / Cookie-Kategorien
 sprechender Link auf Datenschutzerklärung
 Beschreibung aller Details in Datenschutzerklärung
 kein Verdecken von Rechtstexten (Impressum, Datenschutzerklärung…)
 Sonderproblem: Einsatz von US-Tools

37. ©2022 Privacy Xperts
Social Plugins / Cookies
Exkurs: EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18
 „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016
gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die
Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“
 keine Übergangs- oder Schonfrist
 EuGH fordert zusätzliche Garantien, z.B. für Rechtsstaatlichkeit und
Rechtsschutzmöglichkeiten
 Warten auf das Trans-Atlantic Data Privacy Framework (TADPF)…

38. ©2022 Privacy Xperts
Social Plugins / Cookies

39. …noch Fragen?
©2021 Privacy Xperts