INSTAGRAM BUSINESS

Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.

Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.


WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?

Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.

Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.

Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.

Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.


WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN

Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.


WOHIN MIT DEN PFLICHTANGABEN?

Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.

Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.

Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.


FAZIT

Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage –  nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.

Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen die international in der klinischen Forschung tätig sind. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzkonferenz
  • Facebook
  • Instagram
  • Soziale Netzwerke
  • TTDSG
Lesen

OLG DÜSSELDORF: VERÖFFENTLICHUNG VON KINDERFOTOS

Erst vor kurzem beleuchteten wir in unserem Beitrag „Einwilligungen – Wie? Wann? Wofür nicht?“ welche Anforderungen an eine rechtskonforme Einwilligung zu stellen sind und in welchen Situationen sich ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet. Im Rahmen des Beitrages wiesen wir bereits darauf hin, dass bei bestimmten Datenverarbeitungen, welche Kinder betreffen, es der Einwilligung der Träger der elterlichen Verantwortung bedarf. Aus einem aktuellen Beschluss des Oberlandesgerichts Düsseldorf (OLG Düsseldorf, Beschl. v. 20.07.2021 – 1 UF 74/21) geht nun hervor, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist.


SACHVERHALT

Dem streitgegenständlichen Sachverhalt ist zu entnehmen, dass es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die gemeinsamen Kinder leben bei der Mutter, wobei der Vater mit den Kindern einen regelmäßigen Umgang pflegt. Die neue Lebensgefährtin des Vaters wiederum betreibt einen Friseursalon und verbreitete zu Werbezwecken für ihr Friseurgewerbe auf den einschlägigen Profilen bei Facebook und Instagram Aufnahmen der Kinder. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Die Mutter ging hiergegen mit Erfolg gerichtlich vor.


ENTSCHEIDUNG DES OLG DÜSSELDORF

Auch wenn im Rahmen des Beschlusses des OLG Düsseldorf im Kern die Anwendung des § 1628 BGB (Bürgerliches Gesetzbuch) hinsichtlich der gerichtlichen Entscheidung bei Meinungsverschiedenheiten der Eltern thematisiert wird, deren Ausführungen an dieser Stelle nicht weiter ausgeführt werden sollen, sind die weiteren datenschutzrechtlichen Betrachtungen von besonderer Bedeutung:

Zunächst stellt das Gericht klar, dass „das öffentliche Teilen der Bilder bei Facebook und Instagram und ihre Einstellung auf der Webseite […] schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder [hat].“ Dies ergebe sich „aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit.“ Weiterhin wird im Rahmen des Beschlusses deutlich gemacht, dass eine derartige Veröffentlichung von Fotoaufnahmen gegenüber einem unbegrenzten Personenkreis erfolgt und eine Weiterverbreitung dieser kaum kontrollierbar ist. Dies führe zwangsläufig dazu, dass die Kinder (potenziell) für einen unbegrenzten Zeitraum und gegenüber einem unbeschränkten Personenkreis mit Fotoaufnahmen aus der Zeit ihrer Kindheit konfrontiert werden. Nach Auffassung des Gerichtes „tangiert [dies] spürbar die Integrität ihrer Persönlichkeit und ihrer Privatsphäre.“

Darüber hinaus führt das OLG Düsseldorf mit Verweis auf eine frühere Entscheidung des Bundesgerichtshofes (BGH, Urt. v. 28.09.2004 – VI ZR 305/03) aus , dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO (Datenschutz-Grundverordnung) ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dementsprechend komme es grundsätzlich auch nicht darauf an, „ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. […] Denn entscheidend sind nicht die Neigungen, die Bindungen oder der Wille der Kinder. Den Ausschlag gibt [vorliegend] vielmehr die Rechtswidrigkeit der Bildverbreitung mangels der Zustimmung der Mutter.“


AUSWIRKUNGEN FÜR DIE PRAXIS

Für die Praxis ergibt sich aus dem Beschluss des OLG Düsseldorf zwangsläufig die Anforderung, dass im Rahmen einer Veröffentlichung von Fotoaufnahmen von Kindern die Einwilligungen sämtlicher sorgeberechtigter Parteien eingeholt werden. Das bedeutet, dass neben den allgemeinen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung, diese so zu gestalten ist, dass die Notwendigkeit der Einwilligung sämtlicher Sorgeberechtigten deutlich hervortritt. Dies kann beispielsweise durch eine entsprechende Gestaltung der Unterschriftenfelder oder im Rahmen elektronischer Einwilligungserklärungen beispielsweise durch eine Hervorhebung im Text erreicht werden.

Sofern es der verantwortlichen Stelle zuzumuten ist und diese gegebenenfalls bereits Informationen über die sorgeberechtigten Personen vorliegen hat, sollte eine entsprechende Überprüfung der Einwilligungserklärungen erfolgen.


BESONDERER SCHUTZBEDARF PERSONENBEZOGENER DATEN VON KINDERN

Weiterhin ergibt sich aus den Entscheidungsgründen ein weit wesentlicher Aspekt: Die Veröffentlichung von Kinderfotos im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen kann auf die Entwicklung von Kindern enorme negative Auswirkungen haben. In diesem Zusammenhang sollten verantwortliche Stellen – insbesondere solche mit Nähe zu Kindern, z.B. Kindertageseinrichtungen – stets hinterfragen, ob die Veröffentlichung von Kinderfotos im Internet zwingend erforderlich ist. (Zur Erforderlichkeit der Abbildung konkreter Personen unser Beitrag: „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“, DSB 2021, S. 128 ff.). Dies ergibt sich bereits aus Art. 5 Abs. 1 lit. c DS-GVO – dem Grundsatz der Datenminimierung. Eine Veröffentlichung von Fotoaufnahmen verbietet sich erst recht dann, wenn Kinder (teilweise) unbekleidet abgebildet sind. Einen Perspektivenwechsel ermöglicht hierbei auch der Blog von Toyah Diebel.

Darüber hinaus wird in der datenschutzrechtlichen Literatur auch ein weiterer nicht zu vernachlässigender Gesichtspunkt diskutiert: Influencer:innen und Blogger:innen nutzen im Rahmen Ihrer Reichweite Fotoaufnahmen ihrer Kinder zur Platzierung von Werbung. Bei den benannten Personen handelt es sich sodann zugleich sowohl um die datenschutzrechtlich verantwortliche Stelle als auch um die Träger der elterlichen Verantwortung. Ist vor diesem Hintergrund eine solche Datenverarbeitung zulässig oder handelt es sich hierbei womöglich um ein unwirksames Insichgeschäft im Sinne des § 181 BGB?


FAZIT

Aus dem Beschluss des OLG Düsseldorf geht deutlich hervor, dass eine Veröffentlichung von Fotoaufnahmen von Kindern erhebliche Auswirkungen auf die Entwicklung der Kinder haben kann. Die Dimension einer solchen Veröffentlichung bedingt – und dies wurde bereits durch den Gesetzgeber und andere Gerichte erkannt – stets einer Einwilligung sämtlicher sorgeberechtigter Personen. Aufgrund möglicher weitreichender Folgen sollte durch verantwortliche Stellen stets im Vorfeld einer Veröffentlichung geprüft werden, ob eine solche zwingend erforderlich ist und bejahendenfalls für eine konforme Einwilligung der sorgeberechtigten Personen Sorge tragen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Fotoveröffentlichung
  • Internetseite
  • Kinder
  • Soziale Netzwerke
Lesen

VERÖFFENTLICHUNG VON GRUPPENFOTOS IN SOZIALEN NETZWERKEN

Die Veröffentlichung von Fotoaufnahmen einer oder mehrerer Personen im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen stellt eine Verarbeitung personenbezogener Daten dar, welcher einer einschlägigen Rechtsgrundlage bedarf. Verantwortliche Stellen und Datenschutzbeauftragte stehen regelmäßig vor der Herausforderung der datenschutzrechtlichen Einschätzung, ob und in welchem Rahmen eine derartige Veröffentlichung vorgenommen werden kann. Anhaltspunkte liefert hierbei eine aktuelle Entscheidung des Oberverwaltungsgerichts Lüneburg (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20).


SACHVERHALT

Im Rahmen einer öffentlichen Veranstaltung eines Ortsvereins einer politischen Partei mit insgesamt rund 70 Teilnehmenden nahm einer der Veranstaltungsteilnehmer ein Foto auf, auf welchem ein Großteil der Teilnehmenden abgebildet war. Hierunter auch der Vorsitzende des Ortsvereins sowie das Ehepaar F. Dieses Foto wurde durch denselben Ortsverein vier Jahr später in einem sozialen Netzwerk veröffentlicht. Herr F. wandte sich hierauf mit Verweis auf das für die Veröffentlichung fehlende erforderliche Einverständnis an den Ortsverein und forderte diesen zur Stellungnahme und Löschung auf. Zudem legte Herr F. bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde ein, welche umgehend ein aufsichtsbehördliches Prüfverfahren einleitete. Der Ortsverein führte aus, dass die Veröffentlichung weder gegen die Datenschutz-Grundverordnung (DS-GVO) noch gegen das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) verstoße. Gegen die daraufhin ergangene aufsichtsbehördliche Verwarnung erhob der Ortsverein Klage. Das Verwaltungsgericht Hannover bestätigte erstinstanzlich den Bescheid (VG Hannover, Urt. v. 27.11.19 – 10 A 820/19), das OVG lehnte nunmehr den Antrag auf Berufungszulassung ab.


ENTSCHEIDUNGSGRÜNDE UND AUSWIRKUNGEN AUF DIE PRAXIS

Die Veröffentlichung von Fotografien innerhalb eines sozialen Netzwerkes stellt nach Ansicht des OVG unstreitig eine Verarbeitung personenbezogener Daten unter gemeinsamer Verantwortlichkeit des Betreibers der jeweiligen Seite mit dem Betreiber des sozialen Netzwerkes dar. Die streitgegenständliche Datenverarbeitung sei nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO nicht gerechtfertigt und mithin als Verstoß gegen die DS-GVO zu werten. Die Veröffentlichung der Fotografien könne unter anderem weder auf die Rechtsgrundlagen des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO noch auf die spezialgesetzlichen Regelungen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO gestützt werden.

Das OVG legte dar, dass es im vorliegenden Fall grundsätzlich an der Erforderlichkeit der konkreten Datenverarbeitung fehlte. Darüber hinaus haben im Rahmen einer Interessenabwägung des Ortsvereins die entgegenstehenden Rechte und Interessen der betroffenen Personen lediglich in unzureichendem Umfang Eingang gefunden. Weiterhin entspricht die konkrete Datenverarbeitung auch nicht den vernünftigen Erwartungen der betroffenen Personen. Die Anwendung der spezialgesetzlichen Normen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO scheidet zudem aufgrund eines fehlenden journalistischen Verarbeitungszweckes aus.

Für die Praxis ergeben sich aus dem Urteil für die Veröffentlichung von Fotografien wichtige Hinweise, insbesondere welche Kriterien im Rahmen einer Interessenabwägung einbezogen werden sollten. Hierzu zählen unter anderem der Aspekt der Erforderlichkeit, die näheren Umstände der Anfertigung sowie das Veröffentlichungsmedium und der Zeitpunkt der Veröffentlichung.

Eine umfassende Darstellung der Entscheidungsgründe sowie der Auswirkungen und Handlungsempfehlungen für die Praxis können Sie unserem Beitrag „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“ entnehmen, welcher in der Ausgabe Nr. 04/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Erforderlichkeit
  • Fotoveröffentlichung
  • Interessenabwägung
  • Soziale Netzwerke
Lesen