Das Internet bietet dank sozialen Netzwerken wie Facebook, Twitter, XING oder YouTube inzwischen ein enormes Potential zum Meinungsaustausch. Logischerweise haben auch Unternehmen in den letzten Jahren ein Interesse daran entwickelt, ob, was und wie über sie im Netz diskutiert wird. Es liegt daher nahe, automatisiert mittels sog. Social Listening Software zu analysieren, wie sich Nutzer über das Unternehmen äußern – doch ist das datenschutzrechtlich überhaupt zulässig?
Der Inhalt im Überblick
Was ist Social Listening?
Zunächst sollte geklärt werden, was Social Listening überhaupt ist. Es handelt sich um das automatisierte Beobachten und Sammeln von Nutzeräußerungen in sozialen Netzwerken über ein Unternehmen. Im Gegensatz zum Social Monitoring erfolgt danach aber noch eine mehr oder weniger umfassende Analyse der Äußerungen und deren Kontext. Sinn und Zweck ist z.B. eine gezieltere PR-Arbeit oder die Verbesserung des Dialogs zwischen Nutzern und dem Unternehmen.
Datenschutzrechtlich stellen sich nun mehrere Fragen:
- Ist eine solche Datensammlung und -verarbeitung überhaupt erlaubt?
- Wenn ja, was ist datenschutzrechtlich zu beachten?
- Ergeben sich Änderungen und Probleme mit der Datenschutz-Grundverordnung?
Rechtsgrundlage des Social Listening
Nach der Systematik des Bundesdatenschutzgesetzes (BDSG) bedarf es nach § 4 I BDSG vor der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten entweder einer Erlaubnis des Betroffenen (§ 4a BDSG) oder eines sonstigen gesetzlichen Erlaubnistatbestands.
Zunächst handelt es sich bei einer Äußerung im Netz zumindest dann um ein personenbezogenes Datum i.S.v. § 3 I BDSG, wenn sie unter dem Klarnamen des Nutzers abgegeben wurde. Des weiteren fehlt es, mangels Kenntnis von der Datenerhebung, an einer Einwilligung des Betroffenen. Als einziger gesetzlicher Erlaubnistatbestand kommt für diese Konstellation § 28 I Nr. 3 BDSG in Betracht, der das Erheben, Speichern, Veränderung oder Übermitteln von personenbezogenen Daten oder deren Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke erlaubt,
„wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.“
Sind Äußerungen in sozialen Netzwerken öffentlich?
Allgemein zugänglich sind wiederum nach der Legaldefinition des § 10 V S. 2 BDSG solche Daten
„die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann.“
Gilt das nun auch für Nutzerkommentare und –beiträge in sozialen Netzwerken? Die wohl herrschende Ansicht bejaht dies zumindest für solche Äußerungen, die vom Verfasser vor Veröffentlichung nicht auf einen bestimmten Nutzerkreis beschränkt wurden. Als Konsequenz sieht die Norm ein Privileg der Datenverarbeitung vor, das nur ausnahmsweise bei offensichtlich überwiegenden Gegeninteressen des Betroffenen zurückstehen muss. Bei frei zugänglichen Daten ist die Schutzbedürftigkeit des Betroffenen von vornherein als eher gering einzustufen. Einer ausführlichen Einzelfallprüfung bedarf es daher nicht, was sich zudem auch aus der zusätzlichen Voraussetzung der Offensichtlichkeit ergibt.
Was ist bei Social Listening datenschutzrechtlich zu beachten?
Öffentliche Äußerungen im Netz dürfen daher grundsätzlich gesammelt und analysiert werden. Also steht dem Social Listening nun nichts mehr im Wege – könnte man meinen. Aber der sammelnden Stelle verbleiben verschiedenste Pflichten.
So sind die Betroffenen gem. § 33 I BDSG bei der erstmaligen Speicherung grundsätzlich zu benachrichtigen. Eine Ausnahme hiervon kann gem. § 33 II Nr. 7 a) BDSG (Unverhältnismäßigkeit wegen Vielzahl der betroffenen Fälle) vorliegen, bedarf aber ebenfalls einer Einzelfallabwägung. Außerdem stehen den Betroffenen das Recht auf Auskunft gem. § 34 I BDSG, auf Berichtigung, Löschung und Sperrung gem. § 35 I BDSG sowie auf Widerspruch gem. § 35 V BDSG zu. Weitere Probleme ergeben sich bei der Beauftragung eines externen Dienstleisters mit der Durchführung des Sammelns und Analysierens. Dann bedarf es einer ADV-Vereinbarung nach den Maßstäben des § 11 BDSG oder, sofern der Dienstleister von außerhalb der EU agiert, einer Regelung mittels EU-Standardvertragsklauseln.
Diesen vielfältigen Konsequenzen kann man entgegenwirken, indem die Daten von vornherein anonym erhoben, verarbeitet und genutzt werden. Hierdurch entfällt der Personenbezug – und damit der Anwendungsrahmen des BDSG.
Ausblick: Was ändert sich mit der Datenschutz-Grundverordnung?
Spannend bleibt nach wie vor die Frage, ob und was sich mit Inkrafttreten der Datenschutz-Grundverordnung im nächsten Jahr ändert.
Zunächst ist festzuhalten, dass die DSGVO keinen dem § 28 I Nr. 3 BDSG entsprechenden Erlaubnistatbestand kennt. Dieser Umstand relativiert sich durch den ebenfalls wegfallenden Grundsatz der Direkterhebung beim Betroffenen (bisher § 4 II S. 1 BDSG). Zukünftig regelt diesbezüglich Art. 14 DSGVO lediglich Informationspflichten der erhebenden Stelle, die für den Fall der Nichterhebung beim Betroffenen zu beachten sind. Darüber hinaus gewährt das zukünftige Recht dem Betroffenen lediglich gem. Art. 22 DSGVO
„das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die [dem Betroffenen] gegenüber rechtliche Wirkung entfaltet oder [ihn] in ähnlicher Weise erheblich beeinträchtigt“
Was heißt das im Klartext? Ohne eine direkte und zudem nicht unerhebliche Beeinträchtigung bleibt eine automatisierte (Massen-) Verarbeitung weiterhin grundsätzlich zulässig. Als Beispiel für eine solche direkte und nicht unerhebliche Beeinträchtigung nennt der Erwägungsgrund 71 der DSGVO
„die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“
Im Ergebnis dürfte das Schutzniveau damit noch niedriger liegen als derzeit bei § 28 I Nr. 3 BDSG. Denn das bisher geltende und an sich tendenziell weit zu verstehende „schutzwürdige Interesse“ des Betroffenen verengt sich auf wenige, konkret die Lebensführung beeinflussende Beeinträchtigungen. Dem Betroffenen verbleiben damit noch weniger effektive Möglichkeiten, sich gegen die massenhafte Erfassung seiner Äußerungen in sozialen Netzwerken bzw. im Internet generell zu wehren – sofern ihm kein unmittelbarer Nachteil daraus erwächst.
Verlockende Möglichkeit
Social Listening ist unter den gezeigten Voraussetzungen datenschutzkonform möglich. Zudem wird dies wohl mit der Datenschutz-Grundverordnung noch einfacher werden. Social Listening bleibt daher wohl für Unternehmen interessant. Bietet es doch die Möglichkeit, die Wahrnehmung am Markt quasi in Echtzeit zu beobachten und darauf zu reagieren. Auch im Hinblick auf den Einsatz immer besser werdende KI-Systeme bei der Datenaus- und bewertung dürfte das letzte Wort in dieser Hinsicht noch nicht gesprochen sein.
Schöner, übersichtlicher Artikelt!
Nur der folgende Absatz ist etwas missverständlich:
„Was heißt das im Klartext? Ohne eine direkte und zudem nicht unerhebliche Beeinträchtigung bleibt eine automatisierte (Massen-) Verarbeitung weiterhin grundsätzlich zulässig. Als Beispiel nennt der Erwägungsgrund 71 der DSGVO „die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“
Das Zitat wirkt auf mich, als wäre es ein Beispiel der DSGVO für eine grundsätzlich zulässige Verarbeitung. Denn der vorherige Satz bezieht sich auf den Aspekt der zulässigen Verarbeitung. Danach folgt ein Beispiel, welches sich jedoch auf den vorangehenden Absatz und den Wortlaut von Art. 22 DSGVO bezieht (Unzulässigkeit automatisierter Einzel-Entscheidungen).
Sie haben Recht – die Formulierung ist hier nicht ganz glücklich bzw. etwas missverständlich. Das Zitat aus dem Erwägungsgrund ist definitiv ein Negativbeispiel. Hier zum Verständnis der erste Satz im Vollzitat:
„Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“
Der Absatz wurde dementsprechend geändert.
Frage zum Listening aus DS-GVO Sicht.
Hallo,
sehe ich es richtig, dass die „personenbezogene“ Datenverarbeitung aus öffentlichen Quellen wie Facebook für Firmeninteressen „ohne Einwilligung“ der Beitragsschreiber erlaubt ist, z.B. zur Marktforschung?
Frage:
Müssen beim Listening die Verfasser der Kommentare gem. Artikel 14 über die Datenverarbeitung und den Zweck informiert werden?
Falls keine Info erfolgen muss, auf welcher Grundlage?
Momentan sehe ich keine Möglichkeit für personenbezogenes Monitoring, gemessen am Aufwand alle Beitragsschreiber auf die Nutzung ihrer Daten hinzuweisen.
Die Verarbeitung personenbezogener Daten ist stets nur dann zulässig, wenn es entweder eine gesetzliche Vorschrift (Rechtsgrundlage) gibt, die die Datenverarbeitung explizit erlaubt oder anordnet oder aber der von der Datenverarbeitung Betroffene seine Einwilligung dazu erteilt hat. Dies ist nach derzeitiger Rechtslage in § 4 Abs. 1 BDSG geregelt und gilt künftig ebenso gemäß Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 Abs. 1 S. 1 DSGVO. Im BDSG nimmt § 28 Abs. 1 S. 1 Nr. 3 BDSG auf die Verarbeitung „allgemein zugänglicher Daten“ explizit Bezug. Erforderlich ist aber auch bei diesen Daten stets eine Interessensabwägung, die ergibt, dass schutzwürdige Interessen der Betroffenen an dem Ausschluss der Verarbeitung nicht offensichtlich überwiegen.
Für die Verarbeitung personenbezogener Daten zum Zwecke der Markt- oder Meinungsforschung stellt § 30a BDSG eine Sonderregelung dar, die abweichende Voraussetzungen vorsieht. Jedenfalls muss stets der konkrete Einzelfall betrachtet und geprüft werden. In Zukunft richtet sich die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DSGVO und ist auf Basis dieser Vorschrift zu beantworten. Auch hier kommt es bei der Beurteilung stets auf den konkreten Sachverhalt und Einzelfall an, so dass ohne weitere Sachverhaltsinformationen keine allgemeingültige Aussage getroffen werden kann.
Die Informationspflichten des Art. 14 DSGVO gelten stets dann, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden. Ausnahmen sind in Art. 14 Abs. 5 DSGVO geregelt. In Ihrem Fall käme eventuell Art. 14 Abs. 5 lit. b) DSGVO in Betracht, dessen Voraussetzungen Sie prüfen sollten. Notwendig sind aber auch in diesem Fall „geeignete Maßnahmen“ zum Schutz der Interessen der betroffenen Personen, was beispielsweise die „Bereitstellung dieser Informationen für die Öffentlichkeit“ erfordern kann.