Ein grundsätzliches Missverständnis in Unternehmen herrscht beim Umgang mit personenbezogenen Daten aus dem Social Web. Während im Social-Media-Marketing oft eine Einverständniserklärung der Nutzer eingeholt wird, ist beispielsweise im Social-Media-Monitoring, also dem Sammeln von Daten aus dem Web, keine direkte Zustimmung vorhanden. Diese Tatsache alleine führt bei manchen Unternehmen zu dem Schluss, dass selbst Pseudonyme von Social-Media-Nutzern geschwärzt werden müssten.

Technische Dienstleister sind aufgrund der Vorgaben von Unternehmen gezwungen, die Entität „Nutzername“ aus ihren Daten zu löschen und gegebenenfalls alle mit „zensiert“ zu bezeichnen. Ist jedoch die Zuordnung der Nutzer nicht mehr vorhanden, lässt sich nicht mehr erkennen, welcher Nutzer zum Typus Opinion-Leader gehört. Vollständige Diskussionsverläufe können so an Sinn und Bedeutung verlieren, da nicht mehr erkennbar wird, welcher Autor wem geantwortet hat. Ebenso werden KPI-Berechnungen aus Social Media unmöglich – wie aus Foren, Blogs oder Netzwerken wie Facebook. Schließlich gehört die Entität „Autor“ zu den wichtigsten Bausteinen im Social Web, wenn die Reichweite und der Einfluss eines Beitrags gemessen werden sollen. In Diskussionsverläufen wird beispielsweise die Anzahl der verschiedenen Autoren mit einer bestimmten Anzahl von Posts gezählt. Je mehr Autoren beteiligt waren, desto brisanter ist die Diskussion. Dagegen hat ein Meinungsaustausch unter wenigen Autoren in einem öffentlichen Forum trotz einer hohen Anzahl von Beiträgen eine geringere Reichweite. Heißen allerdings alle Autorennamen „zensiert“ oder ähnliches, kann die Technik nicht mehr sinnvoll rechnen. Auch manuelle Berater müssen bei solchen Vorgaben den Schwarzstift in ihren Reports ansetzen. Produktverantwortliche und Marketeers erkennen dann nicht mehr, welche Nutzer sich häufiger über ein Produkt beschweren und können kein klares Muster aus den Bewertungen ausmachen.

Dabei können die Unternehmen möglicherweise diese selbst gesetzten Hindernisse aus dem Weg räumen und der Agentur die gesamte Arbeit ersparen. Denn hinter einer solchen Zensur steckt gar keine rechtliche Notwendigkeit. Die rechtliche Bewertung der meisten Rechtsabteilungen geht meist nur einen Schritt. Er besagt, dass die Nutzernamen, ob Pseudonyme oder Realnamen, die im Social Web zu finden sind, keine direkte Einverständniserklärung benötigen, da sie durch ihre freiwillige Offenlegung konkludent sind. Bleibt es jedoch lediglich bei dieser Aussage, wundert es kaum, dass eine solche Begründung kaum der Prüfung einer höheren rechtlichen Stelle standhalten kann. Zu plump klingt die Ausrede, zu oft wurde genau diese Sichtweise auch von vielen Stellen kritisiert.

„Datenschutz bewegt in Deutschland die Gemüter wie in keinem anderen Land.“

Die Ursache liegt oft in der suboptimalen Bewertung durch die Rechtsabteilung. Zwar sind Datenschutzexperten oft zur Genüge vorhanden, wenn es um klassische Prozesse geht. Zu erwähnen sind hierbei Opt-Ins aus Gewinnspielen, Newsletter und CRM-Daten – sie alle gehören noch ins Zeitalter des Web 1.0. Das Zusammenspiel des deutschen Rechts mit dem Social Web und seinen technischen Gegebenheiten werden allerdings wenig oder gar nicht einbezogen. Das Phänomen, dass es an Social-Media-Experten fehlt, findet sich im Grunde genauso auch in den Rechtsabteilungen wieder wie in allen anderen Bereichen von Unternehmen auch. Datenschutz bewegt in Deutschland die Gemüter wie in keinem anderen Land. Der mediale Buzz um das Thema beeinflusst zudem auch Rechtsexperten, die für sich selbst noch keine Konzepte und Interpretationen für das Social Web erarbeiten konnten. Vielen fällt es einfacher, sich auf allgemeine Aussagen und die allgemeine Stimmung zu verlassen als sich intensiv juristisch mit dem Fachthema zu beschäftigen. Für den Rechtsberater ist es zudem wesentlich einfacher, Vorgänge zu untersagen als sie unter spezifischen Blickweisen zu betrachten und mit einem Restrisiko zu erlauben. Rechtskonformität und Trendbewusstsein sind allerdings zwei verschiedene Dinge. Während aus gesellschaftlicher Betrachtung nichts erlaubt zu sein scheint, ist aus rechtlicher Sicht in Deutschland mehr gestattet als zunächst angenommen. In vielerlei Dingen ist der deutsche Datenschutz sogar weniger restriktiv als der sonst so freizügig geglaubte Datenschutz in den USA. Der Unterschied liegt eher darin, dass man sich in Deutschland viel weniger traut, weil das Thema im Ländervergleich wesentlich gesellschafskritischer ist.

Öl ins Feuer wird derweil auch von einigen deutschen Verbänden gegossen, die in letzter Zeit Richtlinien für den Umgang mit Daten aus dem Social Web veröffentlicht haben. Vorreiter war vor einigen Jahren der in den Niederlanden ansässige Verband ESOMAR mit seiner Richtlinie „Guideline on Social Media Research“.Die Publikation sorgte für große Aufmerksamkeit, allerdings fast nur in Deutschland. Inspiriert davon schloss sich auch die Mehrheit der größten Verbände in Deutschland – unter anderem für Marktforschung und Marketing – der Idee an, ebenfalls eigene Guidelines für den Umgang mit Daten aus Social Media zu publizieren. Reputationsvorteile für die Verbände ergeben sich oft schon durch die Tatsache, dass das Thema brandaktuell ist. Zudem wurden die meisten Richtlinien verständlich, leicht adoptierbar und gesellschaftskonform verfasst.

„Viele Guidelines können provokativ sogar als populistische Werke bezeichnet werden.“

Durch die Simplizität dieser Richtlinien lassen sich Unternehmen schließlich beeinflussen, da sie selbst von juristisch weniger affinen Menschen nachvollzogen werden können. Einige Unternehmen schließen sich diesen Richtlinien vorbehaltlos an, andere wiederum nutzen sie als Entwurf und Vorlage für eigene. Und hier liegt das eigentliche Problem: Die Verbandsrichtlinien haben rechtlich gesehen eigentlich keine Kraft. Dementsprechend werden Verstöße dagegen allerhöchstens mit einer Rüge aus dem Verband geahndet, was angesichts der Tatsache, dass die Unternehmen selbst zahlende Mitglieder dieser Verbände sind, kaum vorkommt. Die meisten dieser Guidelines sind außerdem weder rechtswissenschaftlich untersucht noch untermauert. Provokativ können sie sogar als populistische Werke bezeichnet werden, die zur Bewahrung der Verbandsreputation dienlich und dementsprechend presse- und gesellschaftskompatibel sind. Viele Blogger tragen die Richtlinien zudem weiter, sie werden geshared und geliked. In fast allen diesen Publikationen wird der Aspekt des individuellen Schutzes von Personen als Grund für alle möglichen Restriktionen genannt. Am Ende entsteht der Eindruck, die Unternehmen seien zu großer Vorsicht aufgefordert – und im Zweifelsfall sei jegliche Nutzung personenbezogener Daten untersagt. Auf der Strecke bleiben dann echte Freiheiten, die der deutsche Gesetzgeber den Unternehmen in Wirklichkeit gegeben hat, damit sie weiterhin national und auch international wettbewerbsfähig bleiben können. Somit sind nicht die Gesetze selbst restriktiv, sondern die von den Konzernen selbst gemachten Auflagen, die nicht selten durch den medialen Buzz und teilweise auch gesellschaftlichen Druck entstanden sind. Ob das eine gewollte Selbstregulation der Unternehmen aus reiner Verantwortung ist oder eine versehentlich angelegte und ungewollte Fessel, ist je nach Unternehmen verschieden.

Erst im Herbst 2014 stoppte die Compliance-Abteilung eines der größten Automobilhersteller eine der bekanntesten Social-Media-Maßnahmen der PR-Abteilung, als sie feststellte, dass WordPress nicht ISO-zertifiziert ist. Zudem war dem Auditor die Software gänzlich unbekannt. Seine Aussage: Es müsse sich daher um eine aus der Luft gegriffene exotische Software handeln. Ironischerweise war die PR-Aktion aus der geplanten Fehlentscheidung der Rechtsabteilung entstanden, massenweise Abmahnungen an die größte Fan-Community des Unternehmens wegen Urheberrechtsverletzungen versenden zu wollen. Um diese Abmahnaktion und den quasi programmierten Shitstorm zu vermeiden, hatte sich die PR-Abteilung des Automobilkonzerns dazu entschlossen, mit einer Social-Media-Aktion Nutzer mit einem Belohnungsprinzip dazu zu motivieren, die Urheberrechtsverletzungen zu entfernen. Hierzu hatte der Konzern eigene Bilder zur Verfügung gestellt, mit denen die User ihre Inhalte ersetzen und verschönern durften. Den Nutzern winkten Preise, und die Maßnahme wurde von der Community äußerst positiv aufgenommen – bis die WordPress-Website der PR-Abteilung aufgrund ihrer fehlenden Zertifizierung schließlich abgeschaltet werden musste. Dieses Beispiel zeigt, wie sehr einige Rechtsabteilungen heute noch auf alten Audit- und Compliance-Konzepten sitzen und die Social-Media-Umgebung weder technisch noch kulturell oder rechtlich für sich erschlossen haben.

Bezüglich des Umgangs mit personenbezogenen Daten aus dem Web sind sich Rechtsexperten außerhalb der Unternehmen im Grunde weitgehend einig: Das konkludente Einverständnis der Nutzer, weil sie ihre Daten öffentlich preisgeben, ist nur ein kleiner und eher unbedeutender Aspekt in der rechtlichen Bewertung. Wichtiger ist, dass der Gesetzgeber für §3 VI BDSG anerkannt hat, dass „eine Anonymisierung im Sinne des Datenschutzrechts ausreichend ist, wenn die Angaben lediglich durch einen unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer Person zugeordnet werden können“ [2]. Eine besondere Analogie, wenn sich in Deutschland Bürger in Rechtsgetratsche wälzen, hat der Begriff „Unverhältnismäßigkeit“. Jeder scheint ein eigenes Verständnis für diesen Rechtsbegriff zu haben. Der Grund: Er taucht in vielen Gesetzestexten ohne weitere Erklärung auf und bietet so dem Normalsterblichen unzählige Interpretationsmöglichkeiten. Kneipengespräche sind vorprogrammiert, die sich leider zu oft auch in professioneller Unternehmensumgebung wiederfinden.

„Aufgrund des rasanten Fortschritts des Social Webs laufen die Rechtsabteilungen den Entwicklungen oft noch hinterher.“

Tatsache ist jedoch, dass eine Unverhältnismäßigkeit oft nicht zur Debatte steht und in vielerlei Hinsicht auch als Füllwort in der Rechtssprache gelten kann. Man könnte schelmisch behaupten, der Begriff sei nur eingeführt worden, um die Bevölkerung von der eigentlichen Rechtslage abzulenken. Der Gesetzgeber berücksichtigt nämlich in der Bewertung bei der Nutzung personenbezogener Daten, ob das Unternehmen überhaupt ein Interesse daran hat, die Daten zu deanonymisieren, also die Personen dahinter ausfindig zu machen [1]. Ein Produktmanager, der nur aufgrund von Pseudonymen im Web die Reichweite seiner Kampagne oder Beliebtheit seines Produktes messen will, hat jedoch kaum einen wirtschaftlichen Nutzen oder ein Interesse daran zu wissen, ob die Person dahinter Herr Schmitz aus Stinkviertel oder Frau Müller aus Kuhdorf ist. Dementsprechend fehlt der wirtschaftliche Zweck, was in diesem oben genannten Fall die Nutzung dieser Daten für seine Zwecke rechtlich sogar befürwortet. Es spielt also eine wichtige Rolle für den Gesetzgeber, „für wen eine Deanonymsierung unverhältnismäßig sein muss“ [2]. Das bedeutet im Grunde, dass allgemeine Compliance-Regelungen im Umgang mit Daten aus dem Social Web nicht nur hinderlich, sondern in den meisten Fällen unzutreffend sind. Jede Marketing-Kampagne oder Datensammlung muss daher von einem Social-Media-Rechtsexperten als Einzelfall betrachtet werden. Diese Vorgehensweise setzt allerdings eine organisatorische Infrastruktur mit den jeweiligen Prozessen und Ressourcen im Unternehmen voraus. Aufgrund des rasanten Fortschritts des Social Webs und den damit einhergehenden innovativen Marketing-Kampagnen der Abteilungen laufen die Rechtsabteilungen den Entwicklungen oft noch hinterher. So ist es auch an dieser Stelle für Unternehmen unerlässlich, dass entsprechende Social-Media-Kompetenzen in den Rechtsabteilungen aufgebaut werden.

Eine große Anzahl von Kanzleien, Rechtsexperten und auch Richtern hat sich dem Thema mittlerweile aus verschiedenen Perspektiven gewidmet. Obwohl die Fachleute eher zu dem Schluss kommen, dass eine vehemente Unschärfe in der Gesetzgebung existiert, ist genau diese Tatsache letztlich eine wichtige Information. Sie bedeutet, dass für den Datenschutz bis heute keine präzise Gesetzgebung vorhanden ist. Der Bundesdatenschutz ist quasi ein Fossil aus dem Jahr 1977 und wurde für das heutige digitale Zeitalter nur unwesentlich geändert. Die beiden deutschen Rechtsexperten Kühling & Klar sprechen hier vom Fehlen passender Fundamentalkategorien für den Datenschutz, höchstrichterlicher Rechtssprechung sowie unzureichender Bereitschaft von Datenschutzbehörden,, um „Ordnungsverfügungen zu erlassen und damit gerichtlich überprüfbare Entscheidungsgrundlagen zu schaffen“. Aufgrund dieser legislativen Unklarheit meiden die Datenschutzbehörden aufsichtsrechtliche Maßnahmen; und somit sind gerichtliche Auseinandersetzungen in diesem Bereich kaum zu verzeichnen. Lässt man zunächst einen möglichen gesellschaftlichen Imageschaden außer Acht, sind den Unternehmen rechtlich gesehen im Grunde die Hände wenig gebunden. Die Frage ist, inwieweit sich die Rechtsabteilungen der Unternehmen dieser Tatsache bewusst sind und sie sich mit den ihnen zur Verfügung stehenden Freiheiten auseinandersetzen.

Aufgrund dieser unzureichend definierten Gesetze und der dadurch fehlenden staatlichen Verfolgung in Deutschland haben deutsche Unternehmen sogar mehr Freiheiten als US-amerikanische Unternehmen. Dortzulande gilt die Federal Trade Commission (FTC) als eine der strengen staatlichen Aufsichtsbehörden, die die Einhaltung des Datenschutzes für die US-Bürger gewährleistet. Sie übernimmt daneben auch die Aufgabe des Verbraucherschutzes und ist eine staatliche Vollzugsbehörde mit Vollstreckungsbefugnissen. Prompt musste sich auch Facebook 2011 einer ausgiebigen und unangenehmen FTC-Prüfung unterziehen, als es die Änderung seiner Datenschutzeinstellungen bekannt gab. Die FTC zwang Facebook mit Androhung eines behördlichen Verfahrens, ein internes Datenschutzmanagementsystem aufzubauen und sich alle zwei Jahre auf eigene Kosten prüfen zu lassen [3].

Damit nicht genug: Ähnlich wie das FBI veröffentlicht auch die FTC nach amerikanischer Manier erfolgreich durchgesetzte Untersuchungen und Vollstreckungen gegen Unternehmen, darunter auch Facebook, öffentlich auf ihrer Website unter ftc.gov. Auf der Liste der ins Visier geratenen Unternehmen finden sich auch zahlreiche mittelständische Firmen, Startups und große Konzerne. Geahndet wird gegen jedes Unternehmen, sobald entsprechende Beschwerden eingereicht werden. Von solchen Auflagen bleiben deutsche Unternehmen verschont, ist doch selbst der Verbraucherschutz in Deutschland ein ziviler und gemeinnütziger Verein mit keinerlei staatlichen Befugnissen. US-amerikanische Unternehmen haben daher beim Datenschutz mit wesentlich mehr Auflagen und Reglementierungen zu kämpfen. Zudem stehen die Unternehmen hier unter staatlicher Aufsicht, sodass die Konsequenzen bei kleineren Unternehmen existenzbedrohende Ausmaße annehmen können. Vor allem jedoch ist die Verfolgung weitaus entschiedener und strenger. Ein Fakt, der im Grunde in Deutschland zumindest von der Gesellschaft genau anders herum wahrgenommen wird. Doch in Deutschland herrscht fast schon ein paradiesischer Zustand – mit dem Ergebnis, dass sich deutsche Unternehmen tatsächlich freiwillig selbst härtere Auflagen auferlegt haben als es das Gesetz von ihnen verlangt. Vielleicht sind die Deutschen aber auch einfach nur verantwortungsbewusster und brauchen keine strengen Auflagen. Zumindest eins ist klar: Datenschutz ist in Deutschland weniger eine rechtliche und vielmehr eine kulturelle Angelegenheit.

Dr. William Sen ist Geschäftsführer von infospeed, einem der führenden Anbieter für Social-Media-Monitoring. Er lehrt an zahlreichen Hochschulen Social-Media-Marketing und Communication-Controlling und ist Autor mehrerer Bücher.

• [1] Däubler, W.; Klebe, T.; Wedde, P.; Weichert, T. (2014): Bundesdatenschutzgesetz – Kompaktkommentar zum BDSG. 4. Aufl., Bund-Verlag.
• [2] Kühling, J.; Klar, M. (2013): Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität. NJW 2013, 3611-3617.
• [3] FTC (Federal Trade Commission) (2011): Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises, http://www.ftc.gov/news-events/press-releases/2011/11/facebook- settles-ftc-charges-it-deceived-consumers-failing-keep (aufgerufen am 26.11.2014).