Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.
Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.
WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?
Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.
Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.
Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.
Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.
WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN
Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.
WOHIN MIT DEN PFLICHTANGABEN?
Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.
Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.
Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.
FAZIT
Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage – nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.
Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.
Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.
Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.
