Rechtliche Fallstricke bei Social Media Kampagnen – Teil 2a: Unternehmens-Community

Der erste Teil meines Artikels „Rechtliche Fallstricke bei Social Media Kampagnen – Teil 1: Videos“ behandelte die rechtlichen Probleme der Erstellung und Verbreitung von Unternehmens-Videos. Solche werden häufig innerhalb von Social Media Kampagnen im Employer Branding und im Marketing zur Kommunikation genutzt.

Im Folgenden werden die rechtlichen Probleme bei Unternehmens-Communities behandelt. Heute geht es um die Probleme des Anmelde-Prozesses bei einer Community. Im nächsten Teil (2b) geht es dann um die Nutzungsbedingungen.

Unternehmens-Communities (im Folgenden: Communities) werden von den Unternehmen in der Regel genutzt, um ihre Social Media Aktivitäten aus den und über die verschiedenen Kanäle(n) letztlich auf der eigenen Seite zu bündeln. Eine die Regel bestätigende Ausnahme, bei der seit kurzem auf die eigene Web-Präsenz komplett verzichtet wird, stellt der Egmont-Verlag bzw. vielmehr die FHM dar. Sie ist nur noch über die FHM-Facebook-Seite im Netz zu erreichen. Ob das der Weisheit letzter Schluss ist, bleibt abzuwarten. Ich würde jedenfalls meine Medien-Präsenz nicht ausschließlich in die Hände eines schwer zu kalkulierenden Vertragspartners wie Facebook legen wollen. (Hierzu vielleicht mein Artikel „Ein paar Gedanken zu den Nutzungsbedingungen von Facebook„)

Davon aber ab, gehen mehr und mehr Unternehmen dazu über nicht nur Social Media über Dritte zu betreiben, sondern auch selbst Zwei-Kanal-Kommunikationsangebote, insbesondere über Unternehmens-Communities vorzuhalten. Ein großes deutsches Unternehmen, das sicher weltweit zu den innovativsten seiner Branche zählt, bietet im personalisierten Community-Bereich beispielsweise nicht nur einen Produkt-Konfigurator, ein Magazin und zahlreiche andere nützliche Service-Leistungen im, sondern auch die Möglichkeiten, eigene Bilder vom persönlichen „Lieblings-Produkt“ der Firma hochzuladen und mit Kommentaren zu versehen. Klar, die Nähe zur Marke soll verstärkt werden und die (wie heißt es so schön?) persönliche Emotionalität der Marke auch für Dritte über dieses Tool erlebbar werden.

Nicht ganz so innovativ ist dabei allerdings der Anmelde-Prozess dieser Firma zum personaliserten Bereich. Der sieht aus wie folgt:

Die datenschutzrechtliche Einwilligungserklärung lautet dann in conreto:

Wie halten Sie davon? Sie finden, das sieht ganz gut aus? Vor allem erkennen Sie Ihren eigenen Anmeldeprozess auf der Website irgendwie wieder? Ich hatte es befürchtet.

Und zwar aus den folgenden Gründen:

Zu Gunsten des Daten- und des Verbraucherschutzes stellen u.a. das UWG (Gesetz gegen den unlauteren Wettbewerb), das TMG (Telemediengesetzt) sowie das BDSG (Bundesdatenschutzgesetz) zwar leider nicht ganz einfach zu verstehende, aber dafür um so striktere Vorgaben auf, wie, wann und wozu im elektronischen Verkehr Daten erhoben und verwendet werden dürfen sowie wie, wann und wo über eben diese beabsichtigte Verwendung zu informieren ist. Aber der Reihe nach.

Wenn Sie eine solche Unternehmens-Community für Ihre Kunden bereit halten wollen, dann sollten Sie auf das Folgende achten.

Anmeldeprozess in Bezug auf Nutzungsbedingungen, Marketing und Datenschutz
Der Anmeldprozess sollte sowohl in Bezug auf das (künftige) Marketing, den Datenschutz und die Nutzungsbedingungen rechtlich einwandfrei sein. Dies vor dem einfachen juristischen Hintergrund als das Verstöße gegen das UWG, TMG als Ordnungswidrigkeit mit bis zu 50.000 EUR , Verstöße gegen das BDSG mit bis zu 300.000 EUR (im Einzelfall sogar mehr) geahndet werden können. Und vor dem – für Sie vermutlich relevanteren – tatsächlichen Grund, dass man als Unternehmen eine „PR-Kampagne“ durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann.

Im Einzelnen:

Der Anmeldeprozess – 1: Einwilligung in die Datenerhebung
Gemäß § 13 I TMG  hat „der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“

Da in der Regel bei jedem Anmeldeprozess wenigstens die Email-Adresse anzugeben ist, welche ein personenbezogenes Datum ist, muss der Unterrichtungsverpflichtung nach § 13 I TMG nachgekommen werden. Da darüber hinaus nach § 12 I TMG „der  Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden darf, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“, muss der Nutzer eines Dienstes seine Einwilligung zu Erhebung dieser personenbezogenen Daten (hier: wenigstens Email-Adresse) abgeben. Schließlich wäre die Nutzung vieler dieser Dienste auch ohne die Abgabe personenbezogener Daten dem Grunde nach möglich.

Am besten erfolgt dies über das zur Verfügungstellen einer Datenschutzerklärung und einem Opt-In:

? Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

Wie eine solche Datenschutzerklärung im Einzelnen auszusehen hat, ist im Rahmen dieses Artikels nicht abzubilden und hängt darüber hinaus – oh Wunder – vom Einzelfall ab. Auf jeden Fall sollte eine Datenschutzerklärung aber die folgenden Punkte enthalten:

  • Art, Umfang und Zweck der Datenverarbeitung
  • Information über anonyme oder pseudonyme  Nutzungsmöglichkeit
  • Widerspruchs- und Widerrufsrechte
  • Auskunfts-, Berichtigungs-, Sperrungs- und  Löschungsrechte
  • (Email!)-Adresse zum Ausüben der genannten Rechte (folgt aus § 5 TMG)
  • Informationen über Cookies
  • Information über Tools wie Google Analytics und Facebook-Like-Buttons etc.
  • Hinweis auf besondere Datenschutzregelungen bei Nutzungen von bestimmten Angeboten der Website

Sehr schwierig ist die dargestellte „datenschutzrechtliche Einwilligungserklärung“ zu beurteilen! In dem Beispiel wird zum einen gerade nicht zu Beginn des Nutzungsvorgangs umfänglich über die Verwendung der Daten informiert. Denn die Datenschutzerklärung  des Unternehmens (die juristische mE für sich genommen auch kritisch zu betrachten ist) findet sich an anderer Stelle. Hiervon erfährt der Nutzer bei dem Anmeldeprozess jedoch nichts. Zum anderen wird die Einwilligung zur Datenerhebung mit der Einwilligung, Werbung zu erhalten, vermengt.

Nach § 12 III TMG a. F. war es dem Diensteanbieter „nicht erlaubt, die Bereitstellung von Telemedien von der Einwilligung des Nutzers in eine Verwendung seiner Daten für andere Zwecke (hier Werbung) abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu diesen Telemedien nicht oder nicht in zumutbarer Weise möglich ist“. § 12 III TMG a.F ist jedoch Ende 2009 aufgehoben worden. Damit besteht kein sog. eindeutiges Kopplungs-Verbot mehr. Ob es dennoch weiter besteht, ist strittig (vgl. § 12 Abs. III TMG iVm. § 28 BDSG). Streiten kann man im Beispielsfall auch, ob nicht ein Verstoß gegen § 6 I Nr. 1 TMG vorliegt, wonach die kommerzielle Kommunikation klar erkennbar sein muss. Ist es das im vorliegenden Fall? Der Nutzer muss schon sehr genau lesen, damit er erkennt, nicht nur eine datenschutzrechtliche Einwilligung abzugeben.

Nach dem Wortlaut des TMG wäre also die Verknüpfung der Einwilligung der Datenerhebung mit der Einwilligung zum Werbungserhalt zulässig, da eben eine Einwilligung vorliegt. Doch es handelt sich hier auch um die Einwilligung zu Email- und Telefonwerbung. Und damit sind wir beim nächsten Punkt:

Anmeldeprozess – 2: Einwilligung in Werbung
Nach dem Wettbewerbsrecht, genauer § 7 II Nr. 2 und Nr. 3 UWG, ist zur Telefon- und Email-Werbung die vorherige ausdrückliche Einwilligung notwendig. Damit ist klar gestellt, dass Email-Werbung nur zulässig ist, wenn per Opt-In vom Nutzer entsprechend votiert wird. In dem oben dargestellten Beispiel kann ich jedoch nur per Opt-In der Verwendung meiner Daten (wozu auch der Zweck der Werbung gehört) zustimmen und muss per Opt-Out der Verwendung meiner Daten zu Werbezwecken widersprechen.

Meines Erachtens ein klarer Verstoß gegen § 7 II UWG. Wenn sich das Justiziariat des betreffenden Unternehmens darüber Gedanken gemacht hat, wird es wahrscheinlich anders argumentieren. Nämlich, dass das doch ein Opt-In zum Erhalt von Werbezwecken gegeben ist und der Nutzer nur im Anschluss wieder ein Opt-Out wählen kann….

Ich halte eine solche Vorgehensweise für keine sehr schöne Lösung. Mag es rechtlich vielleich gerade so gehen (Ob tatsächlich, das werden künftige Entscheidungen zeigen). Aber nicht nur der „durchschnittliche Verbraucher“ im Sinne des UWG ist mittlerweile der „aufgeklärter und informierter Verbraucher“, auch der Internet-Nutzer erkennt bei einer solchen Vorgehensweise, dass es um nichts anderes geht als Daten-Abgriff zu Werbezwecken. Und selbst wenn er es auf den ersten Blick nicht sieht, wird er sich schrecklich aufregen, immer zu Werbung des betreffenden Unternehmen zu bekommen. Auch nicht das, was man sich als Kundenmeinung wünscht.

Äußerst problematisch wird es im Übrigen, wenn diese Art zu verfahren, nicht nur von mir, sondern auch von Gerichten als rechtswidrig beurteilt wird. Denn dann ist alles mit einem solchen Prozess gewonnenes Daten-Material „totes“ Material, das nicht verwendet werden darf. (Dazu unten noch mehr).

Ich würde sogar empfehlen, Telefon- und Email-Werbung getrennt von einander abzufragen. Bei einem „aufgeklärten Nutzer“ (um im Sprachbild zu bleiben) ist es mE viel wahrscheinlich, dass er bei grundsätzlichem Interesse zwar Email-Werbung optional erhalten wollen würde, aber bei gekoppelter Abfrage von Telefon und Email davor zurückschreckt, überhaupt eine Zustimmung zu Werbezwecken abzugeben. (Oder erhalten Sie gerne Werbeanrufe zu Hause?)

Im Übrigen sind mE die Standard-Einwände der Marketing-Abteilungen „Wenn wir das mit getrenntem (Double-)Opt-In machen, dann bekommen wir gar keine Daten!“ nicht stichhaltig. Denn zum einen sind ordentliche Anmelde-Prozesse vertrauensbildend. Und zum anderen ist rechtswidrig erlangtes Datenmaterial nicht zu verwenden. (Dazu sogleich).

Und so könnte es aussehen:

? Ja, ich habe die Datenschutzerklärung sowie die Nutzungsbedingungen gelesen und erkläre mich mit diesen einverstanden.

  • Ja, ich möchte in Zukunft Informationen über das Unternehmen und seine Produkte per Email erhalten.
  • Ja, ich möchte in Zukunft auch telefonisch über das Unternehmen und seine Produkte informiert werden.

Anmeldeprozess – 3: Double-Opt-In
Äußerst empfehlenswert, bzw. im Ergebnis aus praktischen wie rechtlichen Gründen zwingend, ist die Gestaltung des Anmeldeprozesses als Double-Opt-In.

Denn § 13 II TMG schreibt vor
„Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.“

    Schon aus diesen „Protokoll-Zwecken“ ist es mehr als ratsam, die Einwilligung(en) gleich als Double-Opt-In zugestalten. Die Einwilligung wird über die Response-Email für das Unternehmen automatisch protokolliert und der Nutzer bekommt per Email sogleich noch einmal den Inhalt seiner Einwilligung zugesendet, so dass dieser Inhalt dann jedenfalls für den Nutzer jederzeit abrufbar ist. Ich würde auch empfehlen in der dem Nutzer zu sendenden Email klar aufzuzeigen, wofür er sich entschieden hat. (Datenerhebung? Werbung? Und wenn ja welcher Art.)

    Anmeldeprozess – 4: Die Folgen
    Ein Verstoß gegen die vorgenannten Regelungen und (Informations-)Verpflichtungen des TMG kann jeweils bis zu 50.000 EUR kosten.

    Ein Verstoß gegen § 7 II Nr. 2 UWG schlägt ebenfalls mit bis zu 50.000 EUR zu Buche.

    Kurz und knapp könnte man sagen: Liegen keine oder keine ordnungsgemäßen Einwilligungen vor oder werden Informationspflichten verletzt, setzt sich das Unternehmen immer der Gefahr aus, eine Ordnungswidrigkeit begangen zu haben.

    Werden darüber hinaus Daten zu Werbezwecken verwandt, bei denen der Nutzer diesem Verwendungszweck ausdrücklich widersprochen hat, können nach dem BDSG bis zu 300.000 EUR und mehr fällig werden.

    Und wer jetzt meint, ihn betreffe das alles nicht: Die Datenschützer und die Verbraucherschutzverbände sind derzeit (nicht ganz zu unrecht) auf den Barrikaden. Und da kann der – von mir eingangs genannte – tatsächliche Grund, dass man als Unternehmen eine „PR-Kampagne“ durch den behördlichen Datenschutzbeauftragten oder die Verbraucherschutzzentrale schlichtweg nicht gebrauchen kann, auch mehr weh tun als ein paar tausend Euro.

    In diesem Sinne. Eine gute Nacht!