Archiv für den Monat: August 2010

Lex Facebook – Was ist da eigentlich dran?

Vor wenigen Tagen hat das Bundesministerium für Inneres die (vorerst) letzte Version des “Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes” veröffentlicht. Grund genug, mich heute mit dem “lex facebook”, wie es auch getauft wurde, näher zu beschäftigen. Schließlich rauscht es diesbezüglich doch immer wieder ganz gehörig durch den Blätter-Wald bzw. die Webseiten. Doch was ist eigentlich dran an dem Entwurf?

Zunächst einmal handelt es sich weniger um ein “lex facebook” als eben um einen “Entwurf zur Regelung des Beschäftigtendatenschutzes”. Das heißt, mit dem  Bundesdatenschutzgesetz sollen künftig auch explizit die personenbezogenen Daten von Beschäftigten besser geschützt werden. Bisher ergab sich dieser Schutz aus einer Zusammenschau des Bundesdatenschutzgesetzes (BDSG), des Betriebsverfassungsgesetzes und einigen gerichtlichen Einzelentscheidungen (wie es im Arbeitsrecht auch üblich ist, da das Arbeitsrecht vorwiegend “Richterrecht” ist, d.h. mehr durch die Rechtsprechung als Gesetze geformt wurde). Laut Entwurf soll nun “durch klarere gesetzliche Regelungen [...] die Rechtssicherheit für Arbeitgeber und Beschäftigte erhöht werden”. Da bin ich mal sehr gespannt, schließlich zeichnet sich das BDSG nicht gerade durch klare gesetzliche Regelungen aus. Schon gar nicht, wenn man es zusammen mit weiteren Normen wie etwa dem Telemediengesetz (TMG) lesen muss. Der Entwurf verspricht aber “praxisgerechte Lösungen”. Nun denn.

Konkret heißt das, dass der bisherige § 32 BDSG “Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses” aufgehoben und anstelle dessen die § 32 bis § 32 l BDSG-E, d.h. 12 Einzelnormen, geschaffen werden sollen. Darunter finden sich Regelungen zur Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungungen (§ 32 e BDSG-E), zu “ärztliche Untersuchungen und Eignungstests” (§ 32 a BDSG-E), zur “Videoüberwachung” oder zur “Ortung” von Beschäftigten (§ 32 f und g BDSG-E). Kurz zusammengefasst werden hier also die öffentlich gewordenen Sünden der letzten Jahre großer deutscher Konzerne in Gesetz gegossen.

Insbesondere in § 32 und § 32 a (sowie § 32 i BDSG-E) finden sich die Regelungen, die für Social Media Anwendungen relevant sind.

§ 32 Datenerhebung  vor Begründung eines Beschäftigungsverhältnisses
So heißt es in § 32 Abs. 1 BDSG-E:
“Der Arbeitgeber darf den Namen, die Anschrift, die Telefonnummer und die Adresse der elektronischen Post eines Beschäftigten [...] vor Begründung eines Beschäftigungsverhältnisses erheben. Weitere personenbezogene Daten darf er erheben, soweit die Kenntnis dieser Daten erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen. Er darf zu diesem Zweck insbesondere Daten über die fachlichen und persönlichen Fähigkeiten, Kenntnisse und Erfahrungen sowie über die Ausbildung und den bisherigen beruflichen Werdegang des Beschäftigten erheben.”

Weiter in Abs. 6
Beschäftigtendaten sind unmittelbar bei dem Beschäftigten zu erheben. Wenn der Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten personenbezogene Daten des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen über den Inhalt der erhobenen Daten Auskunft zu erteilen. Die Absätze 1 bis 5 sowie § 32a bleiben unberührt.”

Übersetzt bedeutet dies, dass ein “Google-Check” des potentiellen Arbeitnehmers, nach dem die Bewerbung eingegangen ist, grundsätzlich nur erfolgen darf, wenn der Arbeitgeber den Bewerber darauf hingewiesen hat. D.h., demnach dürfte ein an mir interessierter Arbeitgeber mich nicht googeln und meinen Blog finden, wenn er mich nicht schon bei Beginn des Bewerbungsprozesses darüber informiert hätte, dass er dies tun werde (bspw. in der Stellenanzeige o.ä.). Der “es sei denn Satz” bedeutet: Selbst wenn der Arbeitgeber mich informiert hätte und ich aber keinen Rechts-Blog, sondern einen Blog über meinen Diddl-Maus-Fan-Club führen würde, könnte es sein, dass er diese Information nicht erheben dürfte, da ich ein berechtigtes schutzwürdiges Interesse haben könnte, mein Privatleben mit der Diddl-Maus auch privat halten zu dürfen. (Wobei sich hier schon die Katze in den Schwanz beißt, denn “Erheben” heißt “Beschaffen von Daten”, der Personaler weiß die Tatsache des Diddl-Maus-Blogs aber doch schlicht in dem Moment, in dem er den Diddl-Maus-Blog gefunden hat und könnte daraus sowohl seine persönlichen wie-auch-immer-gearteten Ableitungen vornehmen als auch die entsprechende Aktennotiz im Kopf behalten.)

S. 2 geht aber noch weiter. Demnach sind auch allgemein zugängliche Daten aus sozialen Netzwerken selbst bei einem solchen Hinweis des Arbeitgebers unter keinen Umständen zu verwerten. Denn hier legt das Gesetz klar fest, dass in diesem Fall stets das “schutzwürdige Interesse” des potentiell Beschäftigten überwiegt. Eine Abwägung zwischen den berechtigten Interessen des Arbeitgebers und dem schutzwürdigen Interesse des Arbeitnehmers ist also in Bezug auf soziale Netzwerke gar nicht möglich. Völlig unerheblich ist dabei auch, ob der Bewerber seine Daten der Allgemeinheit absolut offensiv zur Verfügung stellt, bspw. in dem er den Zugriff von Suchmaschinen auf sein Profil erlaubt und er keine Einstellung zu seiner Privatssphäre vornimmt, d.h. alle Texte und Bilder öffentlich sind. Gängige Rechtsprechung ist in solchen Fällen, bspw. im Presserecht, dass derjenige, der sich selbst seiner Rechte (allgemeines Persönlichkeitsrecht) derart begibt, deren Schutz nicht mehr einfordern kann. Mit dem Entwurf des BDSG wird dieser Grundsatz jedoch ad absurdum geführt.

Noch heiterer wird es meines Erachtens dann mit dem Folgesatz, der von der gesetzlichen Feststellung, dass eine Abwägung der Interessen bei Sozialen Netzwerken nicht möglich ist, diejenigen ausnimmt, die “zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind”. Welche sind das denn? Dem Grunde nach sicher Xing und LinkedIn. Doch auch diese Netzwerke werden von einigen zur Pflege Ihres privaten Freudeskreises verwendet, während etliche andere Facebook & Co (BranchOut!) zur Pflege Ihrer beruflichen Kontakte nutzen. Die Grenzen schwimmen also. Gezogen werden können Sie meines Erachtens so nicht auf eine sinnvolle Art und Weise.

Davon abgesehen ist aber die viel interessantere Frage: Wer kontrolliert das und wie soll das überhaupt kontrolliert werden? Ich zumindest weiß nicht, wer hinter den Suchabfragen steht, mit denen mein Blog gefunden wird. Bei Facebook weiß ich gar nicht, wer im Zweifel auf meiner Seite war und bei XING kann ich anonymisierte Besucher haben. Und muss das auch kontrolliert werden können? Sollte nicht vielmehr jeder selbst verantwortlich im Internet – und  gerade in Sozialen Netzwerken (!) – mit seinen Informationen umgehen (müssen)?

Und sicher eine der interessantesten Fragen: Wie wirken sich diese Regelungen auf das Headhunter-Business aus? De facto vermutlich gar nicht. Denn schließlich ist das Headhunting via Google und Social Media Accounts schon jetzt an sich unzulässig und wird doch betrieben.

§ 32a Abs. 2 Eignungstests vor Begründung eines Beschäftigungsverhältnisses
In § 32a Abs. 2 BDSG-E heißt es dann:
“Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer
sonstigen Untersuchung oder Prüfung abhängig machen, wenn die Untersuchung
oder Prüfung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer
Ausübung erforderlich ist, um festzustellen, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme für die vorgesehenen Tätigkeiten geeignet ist (Eignungstest). Der Beschäftigte muss in den Eignungstest nach Aufklärung über dessen Art und Umfang
sowie in die Weitergabe des Ergebnisses des Eignungstests an den Arbeitgeber eingewilligt haben. Der Eignungstest ist nach wissenschaftlich anerkannten Methoden
durchzuführen, sofern solche bestehen. Dem Beschäftigten ist das Ergebnis des Eignungstests mitzuteilen. Sind Eignungstests ganz oder teilweise durch Personen durchzuführen, die einer beruflichen Schweigepflicht unterliegen, darf dem Arbeitgeber insoweit nur mitgeteilt werden, ob der Beschäftigte nach dem Ergebnis des Eignungstests für die vorgesehenen Tätigkeiten geeignet ist.”

Viele Unternehmen führen mittlerweile (E-)Assessments, also (elektronische) Eignungstests durch. Interesssant ist bei dieser Regelung, dass nun explizit eine Einwilligung des Bewerbers zu diesem Test nach Aufklärung über Art und Umfang und zur Weitergabe der Daten an den Arbeitgeber vorliegen muss. D.h. demnach müsste auch  hier (wie bei der Einwilligung zum Erhalt von Email-Werbung) eine Double-Opt-In-Lösung angewendet werden. Meines Erachtens ein bißchen viel des Guten. Schließlich hat der Bewerber einerseits doch schon mit seiner Bewerbung kund getan, dass er den Bewerbungsprozess gerne durchlaufen möchte. Und andererseits: Was passiert, wenn der Bewerber nicht einwilligt? Er wird den Test nicht machen dürfen/können und damit auch ganz sicher nicht eingestellt werden. Insoweit ist die hier gesetzlich geregelte Einwilligung de facto eine Zustimmungspflicht für den Bewerber.

Weiter sind die Ergebnisse dem Bewerber mitzuteilen. Was heißt denn das? Zusage “Sie sind eine Runde weiter” und Absage “Sie sind leider nicht mehr dabei” oder aber die konkreten Test-Ergebnisse?Im letzteren Fall würden sich sicher die Dienstleister freuen, die diese Tests und die Ergebnisse erstellen. Denn die müssten dann von den Arbeitgebern den zusätzlichen Auftrag bekommen, die (nackten) Test-Ergebnisse jeweils verständlich für den Bewerber aufzubereiten. Die Arbeitgeber hingegen wären über eine solche Auslegung der Norm vermutlich “not amused”. Insbesondere da diese extra aufbereiteten Daten im Falle der Absage wieder gelöscht werden müssten (vgl. § 32c BDSG-E).

Fazit:
Die Regelungen zum Beschäftigten-Datenschutz in Bezug auf Social Media zeigen , dass der Gesetzgeber entweder immer noch nicht verstanden hat, was Social Media eigentlich bedeutet. Denn meines Erachtens sind die in diesem Entwurf vorgenommenen Regelungen für Social Media Anwendungen in Bezug auf potentielle Bewerber so überflüssig wie ein Kropf – was sich insbesondere aus oben genannten Gründen in der Formulierung “dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind” spiegelt.

Oder aber dieser Teil des Entwurfs dient schlicht der populistischen Befriedigung der Angst vor den großen “bösen” Datenkraken, derer sich dann die Arbeitgeber bedienen. Vergessen wird dabei aber doch, dass es jedem einzelnen überlassen ist, was er im Netz der Allgemeinheit zur freien Verfügung stellt.

Ob der Schutz personenbezogener Daten durch diese Regelungen “klarer” wird und “praxisorientierte Lösungen” bietet, lass ich jetzt einfach mal dahingestellt…

PS: § 32 i BDSG-E wird dann noch mal im Zusammenhang mit Social Media Policies besprochen. Ich will ja niemanden mit Romanen erschlagen…

Zum Update.

Rechtliche Fallstricke bei Social Media Kampagnen – Teil 2b: Unternehmens-Community

In Teil 2a meiner kleinen Serie ging es um die Probleme des Anmelde-Prozesses bei einer Unternehmens-Community. Heute sollen die Nutzungsbedingungen abgehandelt werden.

Wie schon in Teil 2a dargestellt, nutzen mittlerweile viele große deutsche Unternehmen Communities, um ihre Social Media Aktivitäten aus den und über die verschiedenen Kanäle(n) letztlich auf der eigenen Web-Site zu bündeln. Nicht selten gibt es dann für den User/Consumer/Kunden die Möglichkeit, seine Erlebnisse mit der Marke und/oder dem Produkt bzw. der Dienstleistung in Wort und Bild mit anderen zu teilen sowie spezielle Service-Angebote zu nutzen.

Da jede Community anders ist und andere Angebote bereithält, ist es nicht möglich hier die Standardnutzungsbedingungen zu formulieren. Vielmehr werden im folgenden die Aspekte aufgezeigt, die bei der Gestaltung von Nutzungsbedingungen im Auge bleiben sollten:

I. Datenschutzerklärung
Datenschutzerklärung? Wurde die nicht schon in Teil 2a abgehandelt? Ja, dort wurden die Anforderungen an die Inhalte der allgemeinen Datenschutzerklärung einer Unternehmens-Website dargestellt.  Es kann jedoch sein, dass für die Nutzung spezieller Service-Angebote bspw. die personenbezogenen Daten an Dritt-Unternehmen weitergeleitet werden müssen.  Hierüber muss dann in den Nutzungsbedingungen zu diesen Angeboten noch einmal gesondert hingewiesen werden. Wichtig ist dabei immer, dass die allgemeine Datenschutzerklärung mit den besonderen Datenschutzregelungen in den Nutzungsbedingungen korrespondiert.

So sollte beispielsweise nicht in der allgemeinen Datenschutzerklärung stehen “Wir geben Ihre personenbezogenen Daten niemals an Dritte weiter”. Und in den Nutzungsbedingungen “Zur Nutzung dieses Angebots müssen wir Ihre Daten an das Dritt-Unternehmen XY weitergeben.” Besser wäre eine Formulierung in der allgemeinen Datenschutzerklärung wie “Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn dies ist zur Durchführung von besonderen Service-Angeboten notwendig und Sie haben uns hierzu ausdrücklich Ihre Einwilligung über die Zustimmung zu den entsprechenden Nutzungsbedingungen gegeben.” Und in den Nutzungsbedingungen korrespondierend “Mit der Zustimmung zu den Nutzungsbedingungen geben Sie uns die ausdrückliche Einwilligung, Ihre personenbezogenen Daten an das Unternehmen XY weiterzuleiten, um Ihnen die Durchführung des Service-Angebots Z zu ermöglichen.”

Auch aufgrund dieser oftmals inhaltlich Verknüpfung sollte bei dem Anmeldeprozess meines Erachtens immer zeitgleich das Einverständnis in Bezug auf die Datenschutzerklärung und die Nutzungsbedingungen durch den Nutzer erklärt werden – wie in Teil 2a schon dargestellt.

II. Regeln für die Nutzer zur Darstellung Ihrer Erlebnisse in Worten und Bildern
Sollen die User Ihre Erlebnisse mit der Marke oder dem Produkt mit Worten beschreiben und in Bildern ausdrücken können, dann sind in den Nutzungsbedingungen hierzu klare Regeln aufzustellen, welche Art von Inhalten veröffentlicht werden dürfen. Dabei geht es nicht um die Netiquette, sondern um die Einhaltungen von Rechten und Gesetzen. Insbesondere sollten Veröffentlichungen entgegen dem Äußerungsrecht, dem Urheberrecht, dem allgemeinen Persönlichkeitsrecht, dem Jugenschutzrechts und dem Strafrecht untersagt sein.

Folgende Inhalte sollten die User keinesfalls veröffentlichen dürfen:

  • urheberrechtlich geschützte Werke, wenn sie nicht über entsprechende Rechte verfügen
  • Beleidigungen, unwahre Tatsachenbehauptungen
  • Bilder auf denen Personen zu erkennen sind, ohne dass deren Einwilligung vorliegt
  • strafrechtlich relevante Äußerungen und Bilder (wie etwa: nationalsozialistische, gewalt- und kriegsverherrlichende, rassistische, kinder- oder gewaltpornografische sowie Aufforderungen zu Straftaten)
  • sexuelle oder sonst kinder- und jugendgefährdende Inhalte (es sei denn, es handelt sich um eine Community ab 18)

Darüber hinaus kann darüber nachgedacht werden, ob die folgenden Inhalte in die Nutzungsbedingungen mit aufgenommen werden sollten.

  • Verbot der Ent-Anonymisierung von anderen Nutzern
  • Verbot der Nutzung der Plattform für eigenen kommerzielle Zwecke
  • Verbot der Veröffentlichung von personenbezogenen Daten Dritter
  • Verbot der (ausschließlichen) politischen oder religiösen Betätigung

Die vorgenannten Regelungen sind deswegen wichtig, weil auch derjenige, der nur eine Plattform zur Veröffentlichung von Inhalten Dritten zur Verfügung stellt, für diese Inhalte Dritter zur Verantwortung gezogen werden kann. Gibt es in den Nutzungsbedingungen keine klaren Regelungen, welche Inhalte erlaubt sind und wie der Plattform-Betreiber dagegen vorgeht, kann der Plattformbetreiber unter Umständen sogar auf Schadensersatz haften. Diese Haftung kann in der Regel durch gute Nutzungsbedingungen für den Plattformbetreiber auf ein Minimum, nämlich die Haftung auf Unterlassung reduziert werden.

Die Einzelheiten dazu sind komplex. Es geht in erster Linie um Fragen der Störerhaftung und hier weiter, ob dem Plattformbetreiber sog. Prüfpflichten obliegen. D.h. ob dieser den Content Dritter im Vorwege oder fortlaufend auf rechtswidrige Inhalte zu kontrollieren hat. Der entscheidende Unterschied besteht darin, dass der Plattform-Betreiber bei dem Bestehen von Prüfpflichten und einem Verst0ß hiergegen nicht nur auf Unterlassung, sondern auch auf Erstattung der Rechtsverfolgungkosten (bspw. einer Abmahnung) haftet. Deswegen wird um das (Nicht-)Bestehen von Prüfpflichten oft gestritten. Aus diesem Grunde sollte – für den Fall der Fälle – das Folgende in die Nutzungsbedingungen mit aufgenommen werden.

III. Freistellungsanspruch
Durch die Nutzungsbedingungen sollte das Unternehmen stets in dem Fall, dass die Nutzer doch Rechte Dritter über die Unternehmensplattform verletzten, von dem Nutzer auf erstes Anfordern freigestellt werden. Anders ausgedrückt: Unternehmen U betreibt eine Unternehmens-Community. Nutzer N erstellt eine Fotomontage, die aber Unternehmen M in seinen Markenrechten verletzt. Unternehmen M nimmt zunächst Unternehmen U wegen der Markenverletzung in Anspruch und mahnt dieses bspw. ab. Für die deswegen entstehenden Kosten kann bei einem geregelten Freistellungsanspruch der Nutzer N sofort von Unternehmen U in Anspruch genommen werden.

An diesem Beispiel wird deutlich, warum es sinnvoll ist, vom Nutzer nicht nur eine Email-Adresse und einen Nutzernamen, sondern tatsächlich konkrete personenbezogene Daten bei der Anmeldung zu verlangen. Denn ein Rückgriff auf “Micky Mouse” mit der Adresse micky-mouse@entenhausen.de wird sich relativ schwierig gestalten.

IV. Rechteeinräumung
Weiter kann es sinnvoll sein, sich als Unternehmen die Rechte an den in die Community eingestellten Inhalten einräumen zu lassen. Beispielsweise, um Fotomontagen von Usern später selbst in der Werbung nutzen zu können.

V. Folgen von Verstößen gegen die Nutzungsbedingungen
Deutlich gemacht werden sollten auch die möglichen Folgen von Verstößen gegen die Nutzungsbestimmungen und auf welche Art diese erfolgen. Bspw. kann das Löschen von Inhalten oder aber auch die Sperrung von ganzen Accounts eine Folge des Verstoßes sein.

PS: Wer die §§ in diesem Beitrag vermisst, mir wurde von mehreren Seiten gesagt, dass sei zu “juristisch” und störe den Lesefluss. Wen jetzt die fehlenden §§ stören, der möge sich melden. ;)

Rechtliche Fallstricke bei Social Media Kampagnen – Teil 2a: Unternehmens-Community

Der erste Teil meines Artikels “Rechtliche Fallstricke bei Social Media Kampagnen – Teil 1: Videos” behandelte die rechtlichen Probleme der Erstellung und Verbreitung von Unternehmens-Videos. Solche werden häufig innerhalb von Social Media Kampagnen im Employer Branding und im Marketing zur Kommunikation genutzt.

Im Folgenden werden die rechtlichen Probleme bei Unternehmens-Communities behandelt. Heute geht es um die Probleme des Anmelde-Prozesses bei einer Community. Im nächsten Teil (2b) geht es dann um die Nutzungsbedingungen.

Unternehmens-Communities (im Folgenden: Communities) werden von den Unternehmen in der Regel genutzt, um ihre Social Media Aktivitäten aus den und über die verschiedenen Kanäle(n) letztlich auf der eigenen Seite zu bündeln. Eine die Regel bestätigende Ausnahme, bei der seit kurzem auf die eigene Web-Präsenz komplett verzichtet wird, stellt der Egmont-Verlag bzw. vielmehr die FHM dar. Sie ist nur noch über die FHM-Facebook-Seite im Netz zu erreichen. Ob das der Weisheit letzter Schluss ist, bleibt abzuwarten. Ich würde jedenfalls meine Medien-Präsenz nicht ausschließlich in die Hände eines schwer zu kalkulierenden Vertragspartners wie Facebook legen wollen. (Hierzu vielleicht mein Artikel “Ein paar Gedanken zu den Nutzungsbedingungen von Facebook“)

Davon aber ab, gehen mehr und mehr Unternehmen dazu über nicht nur Social Media über Dritte zu betreiben, sondern auch selbst Zwei-Kanal-Kommunikationsangebote, insbesondere über Unternehmens-Communities vorzuhalten. Ein großes deutsches Unternehmen, das sicher weltweit zu den innovativsten seiner Branche zählt, bietet im personalisierten Community-Bereich beispielsweise nicht nur einen Produkt-Konfigurator, ein Magazin und zahlreiche andere nützliche Service-Leistungen im, sondern auch die Möglichkeiten, eigene Bilder vom persönlichen “Lieblings-Produkt” der Firma hochzuladen und mit Kommentaren zu versehen. Klar, die Nähe zur Marke soll verstärkt werden und die (wie heißt es so schön?) persönliche Emotionalität der Marke auch für Dritte über dieses Tool erlebbar werden.

Nicht ganz so innovativ ist dabei allerdings der Anmelde-Prozess dieser Firma zum personaliserten Bereich. Der sieht aus wie folgt:

Die datenschutzrechtliche Einwilligungserklärung lautet dann in conreto:

Wie halten Sie davon? Sie finden, das sieht ganz gut aus? Vor allem erkennen Sie Ihren eigenen Anmeldeprozess auf der Website irgendwie wieder? Ich hatte es befürchtet.

Und zwar aus den folgenden Gründen:

Zu Gunsten des Daten- und des Verbraucherschutzes stellen u.a. das UWG (Gesetz gegen den unlauteren Wettbewerb), das TMG (Telemediengesetzt) sowie das BDSG (Bundesdatenschutzgesetz) zwar leider nicht ganz einfach zu verstehende, aber dafür um so striktere Vorgaben auf, wie, wann und wozu im elektronischen Verkehr Daten erhoben und verwendet werden dürfen sowie wie, wann und wo über eben diese beabsichtigte Verwendung zu informieren ist. Aber der Reihe nach.

Wenn Sie eine solche Unternehmens-Community für Ihre Kunden bereit halten wollen, dann sollten Sie auf das Folgende achten.

Anmeldeprozess in Bezug auf Nutzungsbedingungen, Marketing und Datenschutz
Der Anmeldprozess sollte sowohl in Bezug auf das (künftige) Marketing, den Datenschutz und die Nutzungsbedingungen rechtlich einwandfrei sein. Dies vor dem einfachen juristischen Hintergrund als das Verstöße gegen das UWG, TMG als Ordnungswidrigkeit mit bis zu 50.000 EUR , Verstöße gegen das BDSG mit bis zu 300.000 EUR (im Einzelfall sogar mehr) geahndet werden können. Und vor dem – für Sie vermutlich relevanteren – tatsächlichen Grund, dass man als Unternehmen eine “PR-Kampagne” durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann.

Im Einzelnen:

Der Anmeldeprozess – 1: Einwilligung in die Datenerhebung
Gemäß § 13 I TMG  hat “der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.”

Da in der Regel bei jedem Anmeldeprozess wenigstens die Email-Adresse anzugeben ist, welche ein personenbezogenes Datum ist, muss der Unterrichtungsverpflichtung nach § 13 I TMG nachgekommen werden. Da darüber hinaus nach § 12 I TMG “der  Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden darf, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.”, muss der Nutzer eines Dienstes seine Einwilligung zu Erhebung dieser personenbezogenen Daten (hier: wenigstens Email-Adresse) abgeben. Schließlich wäre die Nutzung vieler dieser Dienste auch ohne die Abgabe personenbezogener Daten dem Grunde nach möglich.

Am besten erfolgt dies über das zur Verfügungstellen einer Datenschutzerklärung und einem Opt-In:

◘ Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

Wie eine solche Datenschutzerklärung im Einzelnen auszusehen hat, ist im Rahmen dieses Artikels nicht abzubilden und hängt darüber hinaus – oh Wunder – vom Einzelfall ab. Auf jeden Fall sollte eine Datenschutzerklärung aber die folgenden Punkte enthalten:

  • Art, Umfang und Zweck der Datenverarbeitung
  • Information über anonyme oder pseudonyme  Nutzungsmöglichkeit
  • Widerspruchs- und Widerrufsrechte
  • Auskunfts-, Berichtigungs-, Sperrungs- und  Löschungsrechte
  • (Email!)-Adresse zum Ausüben der genannten Rechte (folgt aus § 5 TMG)
  • Informationen über Cookies
  • Information über Tools wie Google Analytics und Facebook-Like-Buttons etc.
  • Hinweis auf besondere Datenschutzregelungen bei Nutzungen von bestimmten Angeboten der Website

Sehr schwierig ist die dargestellte “datenschutzrechtliche Einwilligungserklärung” zu beurteilen! In dem Beispiel wird zum einen gerade nicht zu Beginn des Nutzungsvorgangs umfänglich über die Verwendung der Daten informiert. Denn die Datenschutzerklärung  des Unternehmens (die juristische mE für sich genommen auch kritisch zu betrachten ist) findet sich an anderer Stelle. Hiervon erfährt der Nutzer bei dem Anmeldeprozess jedoch nichts. Zum anderen wird die Einwilligung zur Datenerhebung mit der Einwilligung, Werbung zu erhalten, vermengt.

Nach § 12 III TMG a. F. war es dem Diensteanbieter “nicht erlaubt, die Bereitstellung von Telemedien von der Einwilligung des Nutzers in eine Verwendung seiner Daten für andere Zwecke (hier Werbung) abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu diesen Telemedien nicht oder nicht in zumutbarer Weise möglich ist”. § 12 III TMG a.F ist jedoch Ende 2009 aufgehoben worden. Damit besteht kein sog. eindeutiges Kopplungs-Verbot mehr. Ob es dennoch weiter besteht, ist strittig (vgl. § 12 Abs. III TMG iVm. § 28 BDSG). Streiten kann man im Beispielsfall auch, ob nicht ein Verstoß gegen § 6 I Nr. 1 TMG vorliegt, wonach die kommerzielle Kommunikation klar erkennbar sein muss. Ist es das im vorliegenden Fall? Der Nutzer muss schon sehr genau lesen, damit er erkennt, nicht nur eine datenschutzrechtliche Einwilligung abzugeben.

Nach dem Wortlaut des TMG wäre also die Verknüpfung der Einwilligung der Datenerhebung mit der Einwilligung zum Werbungserhalt zulässig, da eben eine Einwilligung vorliegt. Doch es handelt sich hier auch um die Einwilligung zu Email- und Telefonwerbung. Und damit sind wir beim nächsten Punkt:

Anmeldeprozess – 2: Einwilligung in Werbung
Nach dem Wettbewerbsrecht, genauer § 7 II Nr. 2 und Nr. 3 UWG, ist zur Telefon- und Email-Werbung die vorherige ausdrückliche Einwilligung notwendig. Damit ist klar gestellt, dass Email-Werbung nur zulässig ist, wenn per Opt-In vom Nutzer entsprechend votiert wird. In dem oben dargestellten Beispiel kann ich jedoch nur per Opt-In der Verwendung meiner Daten (wozu auch der Zweck der Werbung gehört) zustimmen und muss per Opt-Out der Verwendung meiner Daten zu Werbezwecken widersprechen.

Meines Erachtens ein klarer Verstoß gegen § 7 II UWG. Wenn sich das Justiziariat des betreffenden Unternehmens darüber Gedanken gemacht hat, wird es wahrscheinlich anders argumentieren. Nämlich, dass das doch ein Opt-In zum Erhalt von Werbezwecken gegeben ist und der Nutzer nur im Anschluss wieder ein Opt-Out wählen kann….

Ich halte eine solche Vorgehensweise für keine sehr schöne Lösung. Mag es rechtlich vielleich gerade so gehen (Ob tatsächlich, das werden künftige Entscheidungen zeigen). Aber nicht nur der “durchschnittliche Verbraucher” im Sinne des UWG ist mittlerweile der “aufgeklärter und informierter Verbraucher”, auch der Internet-Nutzer erkennt bei einer solchen Vorgehensweise, dass es um nichts anderes geht als Daten-Abgriff zu Werbezwecken. Und selbst wenn er es auf den ersten Blick nicht sieht, wird er sich schrecklich aufregen, immer zu Werbung des betreffenden Unternehmen zu bekommen. Auch nicht das, was man sich als Kundenmeinung wünscht.

Äußerst problematisch wird es im Übrigen, wenn diese Art zu verfahren, nicht nur von mir, sondern auch von Gerichten als rechtswidrig beurteilt wird. Denn dann ist alles mit einem solchen Prozess gewonnenes Daten-Material “totes” Material, das nicht verwendet werden darf. (Dazu unten noch mehr).

Ich würde sogar empfehlen, Telefon- und Email-Werbung getrennt von einander abzufragen. Bei einem “aufgeklärten Nutzer” (um im Sprachbild zu bleiben) ist es mE viel wahrscheinlich, dass er bei grundsätzlichem Interesse zwar Email-Werbung optional erhalten wollen würde, aber bei gekoppelter Abfrage von Telefon und Email davor zurückschreckt, überhaupt eine Zustimmung zu Werbezwecken abzugeben. (Oder erhalten Sie gerne Werbeanrufe zu Hause?)

Im Übrigen sind mE die Standard-Einwände der Marketing-Abteilungen “Wenn wir das mit getrenntem (Double-)Opt-In machen, dann bekommen wir gar keine Daten!” nicht stichhaltig. Denn zum einen sind ordentliche Anmelde-Prozesse vertrauensbildend. Und zum anderen ist rechtswidrig erlangtes Datenmaterial nicht zu verwenden. (Dazu sogleich).

Und so könnte es aussehen:

◘ Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

  • Ja, ich möchte in Zukunft Informationen über das Unternehmen und seine Produkte per Email erhalten.
  • Ja, ich möchte in Zukunft auch telefonisch über das Unternehmen und seine Produkte informiert werden.

Anmeldeprozess – 3: Double-Opt-In
Äußerst empfehlenswert, bzw. im Ergebnis aus praktischen wie rechtlichen Gründen zwingend, ist die Gestaltung des Anmeldeprozesses als Double-Opt-In.

Denn § 13 II TMG schreibt vor
“Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.”

    Schon aus diesen “Protokoll-Zwecken” ist es mehr als ratsam, die Einwilligung(en) gleich als Double-Opt-In zugestalten. Die Einwilligung wird über die Response-Email für das Unternehmen automatisch protokolliert und der Nutzer bekommt per Email sogleich noch einmal den Inhalt seiner Einwilligung zugesendet, so dass dieser Inhalt dann jedenfalls für den Nutzer jederzeit abrufbar ist. Ich würde auch empfehlen in der dem Nutzer zu sendenden Email klar aufzuzeigen, wofür er sich entschieden hat. (Datenerhebung? Werbung? Und wenn ja welcher Art.)

    Anmeldeprozess – 4: Die Folgen
    Ein Verstoß gegen die vorgenannten Regelungen und (Informations-)Verpflichtungen des TMG kann jeweils bis zu 50.000 EUR kosten.

    Ein Verstoß gegen § 7 II Nr. 2 UWG schlägt ebenfalls mit bis zu 50.000 EUR zu Buche.

    Kurz und knapp könnte man sagen: Liegen keine oder keine ordnungsgemäßen Einwilligungen vor oder werden Informationspflichten verletzt, setzt sich das Unternehmen immer der Gefahr aus, eine Ordnungswidrigkeit begangen zu haben.

    Werden darüber hinaus Daten zu Werbezwecken verwandt, bei denen der Nutzer diesem Verwendungszweck ausdrücklich widersprochen hat, können nach dem BDSG bis zu 300.000 EUR und mehr fällig werden.

    Und wer jetzt meint, ihn betreffe das alles nicht: Die Datenschützer und die Verbraucherschutzverbände sind derzeit (nicht ganz zu unrecht) auf den Barrikaden. Und da kann der – von mir eingangs genannte – tatsächliche Grund, dass man als Unternehmen eine “PR-Kampagne” durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann, auch mehr weh tun als ein paar tausend Euro.

    In diesem Sinne. Eine gute Nacht!

    Artikel im FAZ-Blog: “Wie man auf Twitter eine große Nummer wird”

    Als Betthupferl für den Montagabend sei der folgende Artikel aus dem FAZ-Blog ans Herz gelegt:

    “Wie man auf Twitter eine große Nummer wird”

    Hier wird seziert, warum es auf Größe, vielmehr Follower-Zahl, nicht ankommt. Viel entscheidender ist nach dem Artikel (bzw. einer Studie, mit dem sich der Artikel befasst) die Anzahl der active follower. Das sind demnach nicht etwa diejenigen, die retweeten. Sondern diejenigen, die einen verbreiteten Link auch aktiv anklicken/rezipieren. Mhm. Ganz logisch finde ich dieses Ergebnis wiederum nicht. Es nützt mir ja auch nichts, wenn ich nur insoweit active follower habe, als die immer fleißig meinen Link klicken, aber nichts zur viralen Verbreitung unternehmen. So sieht es denn auch eine weitere Studie, die der Artikel vorstellt, die den “Einfluss-Passivitäts-Algorithmus (IP)” als Kriterium für die Wichtigkeit eines Twitter-Accounts heranziehen will:  “Dieser soll ausweisen, inwieweit es Twitterern gelingt, ihre definitionsgemäß eher passiven Follower zum Weiterleiten und Klicken auf einen Link zu motivieren.”

    Jedenfalls wären mir 10 x 10 x 10 x 10 x (usw.) active follower im doppelten Sinne (verbreiten und rezipieren) auch lieber als 500 Klick-Rezipienten. Auch wenn ich die wiederum lieber hätte als 500 pure consumer.

    Und als Tat des Tages kreiiere ich noch schnell den künftigen Begriff für den active follower im doppelten Sinn:

    quality follower.

    Toll, oder? Ich finde jedenfalls, das klingt besser als “Einfluss-Passivitäts-Algorithmus (IP)”.

    PS: Werde ich jemals 500 Follower haben? ;)

    Like-Buttons bei WordPress von WordPress!

    23.19 Uhr. Nach dem ich mich vor gar nicht langer Zeit über den Like-Button und den Datenschutz bei Facebook ausgelassen habe, finde ich hier nun mit einmal auch Like-Buttons. Siehe am Ende dieses und des vorherigen Textes. Die sind doch neu? Oder leide ich schon an halbschläfrigen Halluzinationen? Und wenn sie neu sind und da sind, funktionieren sie wie die Facebook-Buttons? Wer erzählt was über wen? Spannend. Hier stehts, scheint brandfrisch zu sein:

    http://www.thehindu.com/sci-tech/article551640.ece?homepage=true

    Mehr dazu demnächst.

    Rechtliche Fallstricke bei Social Media Kampagnen – Teil 1: Videos

    Social Media Kampagnen sind der Trend momentan. Wer noch keine solche für sein Unternehmen oder sein Produkt gelauncht hat, der verpasst nach den zahlreichen aktuellen Artikeln in der Internet World, der Horizont oder der w&v den Anschluss an den Kunden oder Bewerber (Ganz unrecht haben sie damit wahrscheinlich nicht, aber das nur nebenbei bemerkt.). Zeitgleich warnen diese Artikel vor den sich wiederholenden Fehlern im Bereich Social Media und deren schwerwiegenden Folgen.

    Immer wieder – oder besser: immer noch – wird der qualitative und quantitativ Aufwand von Social Media Kampagnen und langfristiger Social Media Kommunikation unterschätzt. Schließlich genügt es nicht, ein hübsches Video auf die Unternehmenswebsite zu stellen, es muss sinnvoll und effektiv über die verschiedenen Social Media Kanäle verbreitet werden. Darüber hinaus muss der Erfolg der Kampagne kontrolliert und gegebenenfalls nachjustiert werden. Unterschätzt wird aber auch die Durchschlagskraft, die ein Fehler einer solchen Kampagne für die Unternehmenskommunikation haben kann. Ich möchte nur beispielhaft an die “authentische” Xing-Kunden-Kampagne “Es hat Xing gemacht!” von Februar diesen Jahres erinnern, bei der sich hinterher herausstellte, dass es sich eben nicht um Kunden, sondern um Mitarbeiter des Unternehmens handelte. Xing verschlimmbesserte diesen Lapsus noch, in dem es im Xing Blog den Sachverhalt später so hinstellte, als ob die Verwirrung darum gewollt gewesen wäre! Die Glaubwürdigkeit der Kampagne war natürlich dahin. Und der Ruf der zuständigen Agentur hinsichtlich Ihrer Social Media Kompetenz wohl auch.

    Die tatsächlichen Probleme solcher Social Media Kampagnen sind mittlerweile aber wenigstens relativ bekannt bzw. das Problembewusstsein dafür im Vordringen.

    Kaum ein Augenmerk wird auf die rechtlichen Aspekte gelegt. Dieser und die Folgeartikel wollen die rechtlichen Fallstricke von Social Media Kampagnen aufzeigen. Beginnen wir mit

    Teil 1: Das Video
    Video? Was ist an Video denn Social Media? Und was soll es hier an juristischen Fallstricken geben? Eben. Diese Fragestellung ist schon das Problem Nr. 1. Wird nämlich ein Video zur Unternehmenskommunikation, zum Employer Branding oder aus Marketingzwecken gedreht und ins Netz gestellt, stellen sich zahlreiche juristische Fragen. Über die “normalen” diesbezüglichen Fragen hinaus, muss im Hinterkopf behalten werden, dass sich das Video im besten Falle nahezu unkontrolliert verbreitet und es kaum noch einzufangen ist. Besser also, die Verantwortlichen verfügen über alle notwendigen Rechte im notwendigen Umfang.

    Urheberrechte des Erstellers/Nutzungsrechte des Unternehmens
    Unternehmensvideos gleich welcher Art, werden gemeinhin nicht von Mitarbeitern des Unternehmens erstellt. Sondern von Dritten. In der Regel wird eine Agentur mit der Erstellung beauftragt sein. Diese bucht dann entsprechend Kamera, Tontechnik und Regie und “verkauft” anschließend  das fertige Werk an das Unternehmen. Juristisch ausgedrückt, lizensiert es die Nutzungsrechte an dem Werk, die die Agentur sich selbst von den ursprünglichen Erstellern, den Ur-hebern, hat einräumen lassen. Rechtliche Grundlage ist hier das Urhebergesetz. Ohne in Einzelheiten diesbezüglich gehen zu wollen, ist auf die folgenden Punkte im Vertrag mit der Agentur besonders zu achten:

    • Zusicherung der Agentur, über alle Rechte, die sie selbst gegenüber dem Unternehmen einräumt, zu verfügen. (Auch bei in den Film eingefügten Computeranimationen an die Rechteübertragung denken!)
    • Haftungsklausel für den Fall, dass sich hinterher herausstellt, dass die Agentur nicht über alle Rechte verfügen konnte.
    • Einräumung der Nutzungsrechte der Agentur gegenüber dem Unternehmen: Zu klären sind die zeitliche und räumliche Nutzung, ggf. eine zweckgebundene Nutzung sowie die Frage des einfachen oder ausschließlichen Nutzungsrechts. Je unbeschränkter das Nutzungsrecht eingeräumt wird, desto höher ist in der Regel der Preis. Jedoch wird es im Ergebnis ungleich teurer, wenn bspw. das räumliche Nutzungsrecht überschritten wird und der Rechteinhaber darauf aufmerksam macht, dass das Video auch auf amerikanischen Seiten abzurufen ist, während nur eine beschränkte Nutzung auf .de-, .at- und .ch-Seiten vereinbart war. Zu vernachlässigen ist unter Umständen das ausschließliche, d.h., alleinige Nutzungsrecht, denn ein konkretes Unternehmensvideo wird für Dritte kaum von Interesse sein und deswegen Dritten gegenüber nicht tatsächlich lizensiert werden können (Einzelfall abhängig!! Auch an Teilverwertung denken. Bspw. bestimmte Computeranimation könnte drittverwertet werden. Möchte man das?)

    Persönlichkeitsrecht/Recht am eigenen Bild
    Treten Menschen in dem Video auf, sind die Persönlichkeitsrechte zu klären. Jeder Mensch hat das Recht am eigenen Bild und darf über die Verwendungen von solchen Bildern bestimmen. Einfach gesetzlich ist dies im Kunsturhebergesetz festgehalten. Geregelt werden muss wieder vor allem die räumliche, zeitliche Verwendung sowie der Zweck. Vergessen werden sollte die Klärung vor allem auch dann nicht, wenn es sich um eigene Mitarbeiter handelt. Gemeinhin enthalten Arbeitsverträge hierzu keine Regelung, so dass gesondert eine Vereinbarung getroffen werden muss. Sollten Models über die Agentur gebucht sein, muss die Agentur auch hier für die entsprechende Einholung der Rechte am eigenen Bild einstehen.

    Ich habe schon den Fall erlebt, dass ein Unternehmensvideo, dass zur viralen Verbreitung gedacht war, nicht auf Youtube verbreitet werden durfte, weil ein Protagonist dieses Videos eine solche Verbreitung seines Bildes nicht wünschte und die Rechtefrage im Vorfeld nicht hinreichend geklärt wurde.

    Musikrechte
    Gemeinhin werden Unternehmensvideos auch mit Musik unterlegt. Wenn hierfür nicht eigens ein Musiker beauftragt wird, der ein neues Werk für das Video komponiert und von dem die auschließlichen Nutzungsrechte eingeräumt werden, sondern auf bestehende Musik zurückgegriffen wird, dann ist auf das Folgende zu achten:  Bei einem Video on Demand wird die Musik verbreitet, vervielfältigt und öffentlich zugänglich gemacht im Sinne des Urhebergesetzes. Auch hier müssen deswegen unbedingt die Nutzungsrechte eingeholt werden, bzw. die Lizenzierung abgegolten werden. Dies erfolgt bei der Verwertungsgesellschaft GEMA.

    Zum anderen muss auch das sogenannte Filmherstellungsrecht beachtet werden. Das Filmherstellungsrecht umfasst das Recht zur Verbindung von Musikwerken mit Werken der Gattung “Film” und liegt bei dem Berechtigten (Urheber, bzw. Nutzungsrechtsinhaber idR Musiklabel/Verlag). Bei der Herstellung eines Unternehmensvideos mit Musik muss deswegen das Einverständnis zur Nutzung der Musik bei dem jeweiligen Verlag eingeholt werden. Dies kann bedeuten, dass der Verlag sich diese Benutzung zusätzlich zu den GEMA-Gebühren bezahlen lässt.

    Auch bei Verkürzungen oder sonstigen Veränderungen eines Musikstücks ist das sogenannte “Urheberpersönlichkeitsrecht” zu beachten und der Urheber bzw. Rechteinhaber muss seine Einwilligung hierzu geben.

    Die vorletzten Worte
    Was hier jetzt so kurz und knapp dargestellt wurde, kann im echten Leben und in echten Verträgen zum Haare raufen sein. Dies vor allem auch deswegen, weil um den Umfang der Rechteeinräumung gern gestritten wird. Der Rechteinhaber/Lizenzgeber möchte möglichst wenig Rechte einräumen und das teuer bezahlt wissen. Der Lizenznehmer möchte möglichst umfangreich Rechte eingeräumt bekommen und möglichst wenig bezahlen. Die klassische Verhandlungssituation also.
    Befindet man sich in einer solchen, sollte man vielleicht die Geschichte vom Jever-Mann, der uns alle über Jahre begleitet hat, im Kopf behalten. Angeblich sind die Nutzungsrechte/Persönlichkeitsrechte hinsichtlich seines Konterfeis nicht klar geregelt gewesen, so dass die Aufnahmen nur für einen einmaligen Flight verwendet werden durften. Die Werbekampagne war jedoch so erfolgreich, dass auf den Jever-Mann nicht verzichtet werden konnte. Der gute Mann soll sich dumm und dusselig verdient haben… Bleiben zwei Fragen: Handelt es sich um eine Geschichte aus der Yucca-Palme? (Bei Gelegenheit werde ich das recherchieren, aber nicht um 23.06 Uhr) Und musste der Jever-Mann nun gehen, weil er endgültig zu teuer oder zu alt war?

    Gleichwie, die Moral von der Geschicht, kümmere Dich nicht um Deine Vertragsinhalte nicht!

    Die allerletzten Worte für heute
    Das war Teil 1 mit der doch recht übersichtlichen Zusammenfassung der rechtlichen Fallstricke bei einem Unternehmensvideo. In Teil 2 wird es dann um die (Rechts-)Probleme einer Community auf der Unternehmens-Website gehen und im dritten Teil schließlich um die Unternehmenskommunikation via Facebook, Twitter & Co.

    Nun aber erstmal. Gute Nacht!