Neue Leitlinien zu zielgerichteter Ansprache von Nutzern im Zusammenhang mit sozialen Medien
Viele Unternehmen, die eigene Websites betreiben oder Social Media-Accounts unterhalten, aber auch Behörden[1], die einen Social Media-Auftritt zur moderneren, bürgernäheren Kommunikation unterhalten, und natürlich andere Werbetreibende wie zum Beispiel politische Parteien oder sonstige Interessenvereinigungen sind nach den beiden großen Entscheidungen des EuGH[2] zu einer gemeinsamen Verantwortlichkeit im Hinblick auf die Verarbeitung personenbezogener Daten (mindestens) verunsichert: Wer ist für was verantwortlich? Wem kommen welche Rechte und Pflichten zu? Wie werden diese verteilt, nach welchen Rollen? Wie lassen sich diese Rollen trennscharf bestimmen? Kann ich als Werbetreibender bzw. Websitebetreiber Social Media-Angebote überhaupt noch rechtskonform nutzen bzw. einbinden? Anstatt schlicht ein „Weiter so“ zu betreiben, sollte man sich mit der Rechtsvereinbarkeit des eigenen Tuns bzw. des eigenen Angebots auseinandersetzen. Dazu geben neue Leitlinien des Europäischen Datenschutzausschusses (EDPB) einen Anlass und die Möglichkeit.[3]
Überblick über Arten, Akteure und Verantwortlichkeiten
Die Leitlinien befassen sich mit der zielgerichteten Ansprache von Nutzern im Kontext sozialer Medien. Zwar handelt es sich dabei um eine erste (vorläufige) englische Version zur öffentlichen Auseinandersetzung, eine „version for public consultation“. Sie bietet in diesem Themengebiet jedoch einen guten Überblick über diverse Aspekte, die mit der Verwendung und Einbindung von Social Media-Angeboten oder auch dem aktiven Werben auf diesen Plattformen einhergehen. So werden zum Beispiel die dabei relevanten Akteure und unterschiedlichen Rollen aufgeschlüsselt und dargestellt. Auch die unterschiedlichen Arten des „Targetings“, also mithilfe welcher unterschiedlicher Daten Werbung zielgerichtet zugeschnitten werden kann, und die mit diesen verbundenen unterschiedlichen Rollen und gesetzlichen Regelungen werden einzeln analysiert. Insbesondere auch auf die Problematik der Verarbeitung besonderer Kategorien personenbezogener Daten[4] wird dabei eingegangen. Schließlich werden die Situationen und Konsequenzen gemeinsamer Verantwortlichkeit für die Verarbeitung personenbezogener Daten, die entsprechenden dazugehörigen Vereinbarungen und Verantwortungsebenen beleuchtet.
Mehr Transparenz und einfachere Handhabung für Betroffene
Dem erklärten netzpolitischen Ziel, die Online-Welt transparenter und – besonders für Verbraucher – verständlicher zu gestalten, wird auch in den Leitlinien Rechnung getragen. So sollte laut Abschnitt 6[5] deutlich dargestellt werden, welche Verarbeitungstätigkeiten vom jeweiligen Dienst ausgeführt werden und wie sich diese in der Praxis auf die Nutzer auswirken. Explizit wird empfohlen, in leicht verständlicher Sprache darüber zu informieren, ob anhand des Nutzungsverhaltens auf der Plattform oder Website ein Profil erstellt wird sowie welche Arten von Daten dafür (und letztlich auch für die damit meist bezweckte zielgerichtete, verhaltensorientierte Werbung) genutzt werden.
Auch die Implementierung eines einfachen Tools, das den betroffenen Personen den Zugang zu ihren Daten und speziell die Ausübung ihrer Rechte ermöglicht oder erleichtert, wird nahegelegt. Soweit unterschiedliche Akteure (beispielsweise Plattformbetreiber und Targeter) gemeinsame Verantwortliche i.S.d. Art. 26 DSGVO sind, sollten diese sicherstellen, dass betroffenen Personen ein passendes und nutzerfreundliches System zur Verfügung steht, um auf die eigenen personenbezogenen Daten – einschließlich derjenigen, die für das Targeting genutzt werden – zuzugreifen. Dabei sei auch zu beachten, dass der Targeter zwar nicht unbedingt als „Empfänger“ der personenbezogenen Daten i.S.d. Art. 4 Nr. 9 DSGVO anzusehen sein muss, da ihm diese möglicherweise gar nicht offengelegt, sondern lediglich in aggregierter und/oder anonymisierter Form, etwa als Statistiken, vorliegen. Dennoch muss den Nutzern dessen Identität mitgeteilt werden, sofern er datenschutzrechtlich (mit-)verantwortlich ist, sodass diese ihre Rechte als betroffene Personen auch dem Targeter gegenüber geltend machen können.[6]
Fazit
Alles in allem gibt das Dokument einen guten Überblick über die Problematik, die grundsätzlich hinter zielgerichteter Werbung steckt, die verschiedenen Methoden, die unterschiedlichen Rollen und Verantwortlichkeiten, die jeweiligen gesetzlichen Grundlagen und darüber, was es hinsichtlich der gemeinsamen Verantwortlichkeit zu bedenken gilt. Sicherlich schadet auch bei diesem Dokument eine gewisses Datenschutzvorwissen nicht.
Interessant wird sein, welche Aspekte und Anregungen gegebenenfalls noch durch Eingaben im Rahmen des öffentlichen Konsultationsprozesses, der mittlerweile abgeschlossen ist, Berücksichtigung im späteren (überarbeiteten) Dokument finden werden, welches dann wahrscheinlich auch in deutscher Sprache veröffentlicht werden wird.
[1] Siehe beispielsweise zur Ankündigung und dann auch erfolgten Aufgabe des Twitter-Accounts des baden-württembergischen Landesbeauftragten für Datenschutz und Informationsfreiheit, Stefan Brink: Parbel, Behörden auf Social Media – Stefan Brink meint es ernst mit dem Datenschutz, Netzpolitik.org, 24.02.2020 (abgerufen am 29.10.2020) und Parbel, Behörden auf Social Media – „Öffentliche Stellen müssen rechtmäßig kommunizieren“, Netzpolitik.org, 16.01.2020 (abgerufen am 29.10.2020).
[2] Die beiden großen Entscheidungen zu diesem Themenkomplex sind: EuGH, Urt. v. 05.2018 – C-210/16 – „Wirtschaftsakademie“ und EuGH, Urt. v. 29.07.2019 – C-40/17 – „Fashion ID“.
[3] EDPB, Guidelines 8/2020 on the targeting of social media users, Version 1.0, Adopted on 2 September 2020 (letzter Abruf am 29.10.2020).
[4] Siehe dazu Art. 9 DSGVO.
[5] EDPB, Guidelines 8/2020 on the targeting of social media users, Version 1.0, Adopted on 2 September 2020, S. 24 ff.; dort auch zum Folgenden (letzter Abruf am 29.10.2020).
[6] Insoweit wird darauf hingewiesen, dass Art. 15 DSGVO zwar nicht ausdrücklich in Art. 26 Abs. 1 DSGVO genannt werde, dem Wortlaut und Sinn und Zweck der Verordnung nach indes sehr wohl erfasst sei.