Neue EuGH-Rechtsprechung zu Facebook
Nach neuerer Rechtsprechung benötigt jede Instagram-Seite, die für Werbezwecke gebraucht wird, auch eine Datenschutzerklärung. Dies ergibt sich aus einem Urteil des EuGH, der eine Datenschutzerklärung für Facebook-Fanpages für verpflichtend erklärt hat.
Übertragbarkeit auf Instagram
Da Facebook und Instagram auf ähnliche Weise funktionieren und zu einer Unternehmensgruppe gehören, lässt sich diese Rechtsprechung unproblematisch auf Instagram übertragen: Sowohl Instagram als auch Facebook sind auf die Betreiber:innen der Fanpages angewiesen, da diese maßgeblich den Content produzieren, der die Nutzer:innen in die App „lockt“. Beide soziale Netzwerke finanzieren sich über die Erhebung von Daten ihrer Nutzer:innen, die nutzer:innenbezogene Werbung ermöglicht. Und sowohl Facebook als auch Instagram stellen den Betreiber:innen der Fanpages Informationen über die Nutzer:innen zur Verfügung (sog. Facebook oder Instagram Insights). Daraus folgt, dass kommerzielle Instagram-Seiten auch eine Datenschutzerklärung aufweisen müssen.
Wo kann ich die Datenschutzerklärung einbauen?
Im Gegensatz zu Facebook gibt es bei Instagram (noch) keine Möglichkeit, unter dem Stichwort „Datenrichtlinie“ auf die Datenschutzerklärung auf der eigenen Website zu verlinken. Für eine umfassende Datenschutzerklärung, die den Anforderungen der DS-GVO gerecht wird, ist die Zeichenanzahl in dem Bereich der Profilbeschreibung zu kurz. Denkbar wäre es zwar, in der Profilbeschreibung einen Link auf die Datenschutzerklärung einzufügen. Betreiber:innen einer Instagram-Seite werden aber meistens – und verständlicherweise – die Profilbeschreibung nicht für eine Datenschutzerklärung nutzen wollen. Deswegen bietet es sich an, auf die Datenschutzerklärung auf der Website über die Funktion „Link in Bio“ zu verlinken. Mit Hilfe verschiedener Anbieter kann hier eine Landingpage generiert werden, über die Nutzer:innen auf weiterführende Beiträge gelangen können. Eine dieser Kacheln muss dann mit „Datenschutzerklärung“ beschrieben sein. Klickt der:die Nutzer:in auf diese Kachel, muss er direkt auf die Datenschutzerklärung auf der Website des:der Betreiber:in weitergeleitet werden.
Welche Besonderheiten ergeben sich für die Datenschutzerklärung, wenn ich Instagram gewerblich nutze?
Die Datenschutzerklärung muss die Daten aufzählen, die gemeinsam mit Instagram erhoben werden. Dabei muss auch der Hinweis erfolgen, dass eine gemeinsame Verantwortlichkeit mit dem Unternehmen Instagram besteht. Gemäß der Vorschrift in der DS-GVO über die gemeinsame Verantwortlichkeit bedarf es einer Vereinbarung zwischen den Verantwortlichen über die Daten und Informationspflichten. Eine solche Vereinbarung hat Facebook zwar zur Verfügung gestellt. Es bezieht sich jedoch nur auf Facebook Fanpages. Dies ist neben dem Datentransfer in die USA der Grund, weshalb eine rechtskonforme Nutzung von Instagram derzeit nicht möglich ist. Gewerbliche Nutzer:innen müssen sich überlegen, ob sie das Risiko einer Unterlassungsaufforderung und das – geringere – Risiko eines Bußgelds auf sich nehmen wollen. Die Risikoabwägung sollte danach erfolgen, wie wichtig die Präsenz in den Sozialen Medien ist.
Erforderlich ist auch die Angabe der Rechtsgrundlage, aufgrund derer die Daten erhoben werden, und der Zweck der Datenverarbeitung. Bei Instagram ist dies für Fanpage-Betreiber:innen insbesondere die Kommunikation mit den Nutzer:innen (beispielsweise bei Kontaktaufnahme via Instagram) und das Marketing.
Zudem muss die Datenschutzerklärung einen Hinweis darauf enthalten, dass bei einer Nutzung von Instagram Daten der Nutzer:innen außerhalb der Europäischen Union verarbeitet werden können. Dieser Hinweis ist erforderlich, da der EuGH das sog. EU Privacy Shield für unwirksam erklärt hat. Zudem sollte ein Hinweis auf die sog. Standardvertragsklauseln erfolgen, die Facebook für kommerzielle Nutzer:innen mittlerweile in die AGB für seine Dienste eingebaut hat.
Ob diese Standardvertragsklauseln den Datenschutzbehörden genügen, steht nicht fest. Im Ernstfall hat man gegen die Behörden aber in der Hand, dass sie von der Europäischen Kommission zur Verfügung gestellt werden und somit jedenfalls keinen mutwilligen Verstoß gegen Datenschutzrecht darstellen.