GDD-Infotag 2012

Die Vorträge aus Hamburg und Frankfurt sind teilweise identisch!

• Jaspers - Der Entwurf der EU-Datenschutz-Grundverordnung - Stellungnahme von GDD und CEDPO
• Eiermann - Social Media aus Sicht der Aufsichtsbehörde
• Helfrich/Schneider - Social Media |a| BAG
• Schwartmann/Keber - Chancen und Risiken von Social Media
• Brink - Social Media aus Sicht der Aufsichtsbehörde

Leitthema „Social Media im Unternehmen“

Am 21. Juni und 6. Juli 2012 führte die GDD in Hamburg und Frankfurt am Main ihren traditionellen Informationstag durch.

Die diesjährige Veranstaltung stand unter dem Motto „Social Media im Unternehmen“  und wurde in Hamburg von dem GDD-Vorstandsvorsitzenden Prof. Gola und in Frankfurt a.M. von der stellevertretenden GDD-Vorstandsvorsitzenden Frau Dr. Astrid Breinlinger geleitet. Die Gastgeberrolle übernahmen - wie im Vorjahr – die Mitgliedsunternehmen Vattenfall Europe Hamburg AG in Hamburg und die Fraport AG in Frankfurt. Der GDD-Vorstand und die Geschäftsstelle danken den genannten Unternehmen an dieser Stelle nochmals ausdrücklich für Ihre freundliche Unterstützung.

 In der Tradition der bisherigen GDD-Informationstage gab der Geschäftsführer der GDD, Herrn Rechtsanwalt Andreas Jaspers, mit seinem Vortrag einen Überblick über aktuelle Entwicklungen in Bezug auf das Vorhaben der EU-Kommission eine EU-Datenschutz-Grundverordnung zu verabschieden. Nach einem kurzen Überblick zur Geschichte des europäischen Datenschutzrechts sowie einer kurzen Aufzählung der Bewegründe der EU-Kommission das europäische Datenschutzrecht zu reformieren, ging er auf die Auswirkung des Inkrafttretens der geplanten EU-Datenschutz-Grundverordnung im Hinblick auf bereits bestehendes Datenschutzrecht ein. Bei der Vorstellung der inhaltlichen Schwerpunkte zeigte Herr Jaspers neue Regelungsansätze auf, konzentrierte sich im Wesentlichen auf die Auswirkungen der Verordnung für (betriebliche) Datenschutzbeauftragte (Wechsel von der Hinwirkungs- zur Überwachungspflicht; Anhebung der Schwelle der Pflicht zur Bestellung eines DSB).  Sodann erläuterte Herr Jaspers die wesentlichen Punkte der Stellungnahme der GDD. Diese hält in ihrer Stellungnahme die Verordnung für ein geeignetes Mittel zur Fortentwicklung des gemeinsamen europäischen Datenschutzes im Bereich der Privatwirtschaft, plädierte jedoch dafür, dass die Verordnung sich nicht auch auf den öffentlichen Bereich erstrecken solle, da dies dem Subsidiaritätsprinzip zuwiderlaufe wonach Verordnungen nur dort erlassen werden sollen, wo eine einheitliche Regelung erforderlich ist. Ein Vorteil einer Reformierung des öffentlichen Bereichs im Wege eines Richtlinienerlasses wäre, dass den Bürgern in Deutschland für die Datenverarbeitung durch öffentliche Stellen auch weiterhin der Weg zum Bundesverfassungsgericht offen stünde. Anschließend ging Herr Jaspers auf die Stellungnahme der Confederation of European Data Protection Organisations (CDEPO) ein, des europäischen Datenschutz-Dachverbands. Jaspers zufolge kritisiert die CEDPO an dem Entwurf der EU-DS-GVO, dass es an Anreizen für die nicht-öffentlichen Stellen fehle, Datenschutzbeauftragte zu bestellen. So könnten bei Bestellung eines DSB Pflichten die förmliche Konsultation der Aufsichtsbehörde entfallen (z.B. Datenschutz-Folgenabschätzung). Ein weiterer Kritikpunkt sei, dass die Unabhängigkeit der DSB dadurch gefährdet sei, dass ihre Bestellung mit Ablauf einer 2-Jahres-Frist ende.

Der folgende Vortrag von Prof. Dr. Schwartmann, Leiter der Kölner Forschungsstelle für Medienrecht an der Fachhochschule Köln (Referent in Frankfurt a.M.) und Dr. Tobias Keber, Akademischer Rat an der Universität Mainz (Referent in Hamburg) wies auf die „Chancen und Risiken von Social Media“ hin. Die Referenten gaben den Anwesenden, gemessen an der Kürze der zur Verfügung stehenden Zeit einen umfangreichen Überblick darüber, welche Rechtsgebiete bei der Nutzung von Sozialen Netzwerken Anwendung finden können und welche Stolperfallen für Nutzer von Sozialen Netzwerken ggf. existieren.  Beispielsweise könne bereits die Wahl eines bestimmten Pseudonyms als Nutzernamen innerhalb eines sozialen Netzwerks Markenrechte Dritter verletzen und das Risiko einer Abmahnung in sich bergen. Ein weiteres Risiko könne sich daraus ergeben, dass es an einer Datenschutzerklärung auf den eigenen Seiten innerhalb des sozialen Netzwerks nach dem § 13 Absatz 1 TMG oder anderen Pflichtangaben wie bspw. einer Anbieterkennzeichnung oder einer im Sinne des Presserechts verantwortlichen Person fehle (z.B. Fan- oder Unternehmensseite).  Ein weiteres „Minenfeld“ in sozialen Netzwerken sei die Verwendung von urheberrechtlich geschützten Materialien, da viele Handlungen der Nutzer leicht zu urheberrechtlichen Verstößen führen kann. Darüber hinaus bestehe die Gefahr durch unbedachte Veröffentlichungen über firmeneigene Repräsentanzen innerhalb von sozialen Netzwerken im Hinblick auf die Mitarbeiter oder Kunden das Recht am eigenen Bild zu verletzen. Weiter gingen die Referenten auf die Hintergründe des Phänomens des Astroturfing ein und erläuterten diesbezüglich die wettbewerbsrechtliche Tragweite. Neben den datenschutzrechtlichen Fragestellungen des E-Recruiting erläuterten die Referenten rechtliche Hintergründe der anwaltlichen Abmahnung sowie der strafbewehrten Unterlassungserklärung und zeigten deren mögliche Rechtsfolgen auf. 

Im Anschluss präsentierten die Ministerialräte beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz, Mainz, Dr. Stefan Brink (Referent in Hamburg) und Helmut Eiermann (Referent in Frankfurt a.M.) die Sichtweise der Aufsichtsbehörden zum Thema „Social Media“. Einen inhaltlichen Schwerpunkt legten beide Referenten auf die Erläuterung der technischen und datenschutzrechtlichen Hintergründe, warum ein datenschutzkonformer Einsatz der Social Media PlugIns (z.B. „Gefällt mir“ –Schaltfläche bzw. „I like“-Button) nach der derzeit geltenden Rechtslage nicht möglich ist. Sofern die Webseitenbetreiber nicht die zwar nicht datenschutzkonforme aber zumindest beanstandungsfreie Zwei-Klick-Variante einsetzen, werden Nutzerdaten, wie IP-Adresse, Cookie ID und URL der besuchten Website bereits beim bloßen Aufruf einer mit „Gefällt mir“-Schaltfläche ausgestatteten Webseite an Facebook (USA) übertragen. Besucht nun dieser Nutzer eine andere mit demselben Social Plug-In ausgestattete Website, weiß Facebook wer in welcher Abfolge welche Seiten aufgerufen hat. Meldet sich dieser Nutzer mit derselben IP-Adresse später bei Facebook an, könne Facebook die Daten zusammenführen und wisse, welche Webseiten der Nutzer besucht habe. Nur bei der zuvor erwähnten Zwei-Klick-Lösung erhalte der Nutzer die Kontrolle über seine Daten teilweise zurück, da er selbst entscheiden könne, ob von den Servern von Facebook das Skript mit der „Gefällt mir“-Schaltfläche nachgeladen werden soll, oder nicht. Allerdings sei auch diese Lösung nicht gänzlich datenschutzkonform, da im Falle des Nachladens des Skripts diverse Vorschriften des Telemediengesetzes nicht eingehalten würden, u.a. würden die Daten des Nutzers ohne Pseudonymisierung an Facebook übertragen und der Nutzer nicht auf sein Widerspruchsrecht hingewiesen. Beide Referenten gaben schließlich einen Ausblick auf das zukünftige Vorgehen der Aufsichtsbehörden. Danach sei erst mit konkreten Maßnahmen gegen nicht-öffentliche Stellen wenn gefestigte Rechtsprechung dazu existiere und sämtliche öffentliche Stellen ihre Facebook-Repräsentanzen deaktiviert haben.

Abschließend gaben die Referenten, Ralph Schneider, Bayer MaterialScience AG, Leverkusen, der in Hamburg  referierte und Thomas Helfrich, Social Media Manager, Bayer AG, Leverkusen, der in Frankfurt a.M. vortrug, den Anwesenden einen Einblick in die Tätigkeit eines Social Media Teams eines weltumspannenden Konzerns. So berichteten Sie über „Wildwüchse“ die dadurch entstehen können, dass couragierte Mitarbeiter Soziale Netzwerke namens und für ihren Arbeitgeber zu Darstellungszwecken im Außenverhältnis nutzen, ohne dass unternehmensweit Social Media Richtlinien existieren, die einheitliche Regeln für diese Art der Public Relations-Tätigkeit vorgeben. Und ferner, dass viel Aufwand betrieben werden musste, um diesem Wildwuchs Einhalt zu gebieten und einen gemeinsamen Kurs zu koordinieren. Die Referenten führten auch Beispiele für die für soziale Netzwerke typische Eigendynamik an. So müsse ein Unternehmen anders als bei den traditionellen Medien im Bereich des Social Media besonders schnell auf negative Nutzerkommentare reagieren, da anderenfalls im schlimmsten Fall auf den Unternehmensseiten auf Grund der in einem Netzwerk wie dem Internet immanenten Multiplikatorfunktion blitzartig eine exponentielle Welle der Entrüstung losgetreten werden kann, die ihren Weg zu anderen Medien findet und in diesem Stadium nur noch schwierig oder gar nicht mehr gestoppt werden kann (sog. Shitstorm). Die Referenten zeigten anhand von mehreren Beispielen auf, wie frühzeitiges Eingreifen solche Tendenzen zu de-eskalieren vermag. Die Bayer Facebook-Webseiten werden daher weltweit rund um die Uhr von speziell geschulten Social Media Mitarbeitern überwacht, so die Referenten. Die Referenten berichten, dass Bayer alle Mitarbeiter in der Benutzung von sozialen Netzwerken im Sinne der geltenden Social Media Guideline schult, die im beruflichen Kontext mit Social Media Themen in Berührung kommen. Bereits ein 45-minütiger Selbsttest sei in der Lage die Sensibilität der Mitarbeiter signifikant zu steigern.

Im Rahmen der sich an die Vorträge anschließenden Gesprächsrunde diskutierten die Referenten teils untereinander teils mit Zuhörern angeregt über Rückfragen aus dem Kreise der anwesenden GDD-Mitglieder.