- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
Rechtliche Probleme beim Betrieb eines Instagram-Shops (Insta-Shop) - Teil 1
Impressum und Datenschutzerklärung als Betreiber eines Instagram-Shops
Instagram bietet jetzt die Möglichkeit, Produkte direkt über Instagram zu verkaufen. Der nach amerikanischem Rechtssystem erstellte Shop verträgt sich jedoch nicht mit deutschem und europäischem Fernabsatzrecht und europäischen Datenschutzgesetzen. Wir geben Ihnen einen Überblick, welche Probleme man hinsichtlich der Compliance beachten muss, um keine rechtlichen Probleme zu erhalten.
Betreiber eines Instagram-Shops stehen insbesondere vor der Frage, welche Rechtstexte Sie zur Verfügung stellen müssen. Grundsätzlich gilt: Sobald Sie einen Instagram-Account betreiben, der nicht ausschließlich privaten Zwecken dient, müssen Sie ein Impressum und eine Datenschutzerklärung vorhalten. Betreiben Sie einen Instagram-Shop, benötigen Sie weitere Rechtstexte. Ebenfalls erforderlich ist ein korrekt funktionierender und rechtlich gesicherter herkömmlicher Onlineshop, der mit einem Instagram-Shop-Plugin versehen ist und die Produkte in den Instagram-Shop pusht.
Jeder, der geschäftsmäßig einen Account bei Instagram betreibt, unterfällt der Impressumspflicht. Das ist insbesondere der Fall, wenn ein Unternehmen auf Instagram Werbung für sich macht. Zudem muss der geschäftsmäßige Instagram-Nutzer die Besucher seines Accounts auch in datenschutzrechtlicher Hinsicht mittels einer eigenen Social-Media-Datenschutzerklärung informieren.
Dabei müssen jedoch zum Teil andere Vorgaben und kompliziertere datenschutzrechtliche Regelungen beachtet werden, als es bei Betreibern einer externen Internetseite bzw. eines separaten Onlineshops der Fall ist.
Welche Pflichtangaben muss das Impressum enthalten?
Inhaltlich muss ein Impressum u.a. die folgenden gesetzlich vorgeschriebenen Informationen beinhalten, damit der Verantwortliche seiner Informationspflicht nach § 5 TMG nachkommt:
- Name (Vor- und Nachname bei natürlichen Personen), Unternehmensname bei juristischen Personen (zusätzlich die Rechtsform und der Vertretungsberechtigte);
- ladungsfähige Anschrift der Niederlassung des geschäftsmäßigen Betreibers des Instagram-Accounts;
- Angaben, die eine schnelle und unmittelbare Kontaktaufnahme auf elektronischem Weg ermöglicht, in der Regel erfolgt hierfür die Angabe einer E-Mail-Adresse und der Telefonnummer;
- Angabe einer Umsatzsteueridentifikationsnummer nach § 27a des Umsatzsteuergesetzes oder eine Wirtschafts-Identifikationsnummer nach § 139c der Abgabenordnung, sofern vorhanden;
Neben denen in § 5 TMG genannten Informationspflichten können den Betreiber der Social-Media-Website ggf. weitere Pflichten aus anderen gesetzlichen Bestimmungen (beispielsweise aus dem Verbraucherstreitbeilegungsgesetz, der Dienstleistungs-Informationspflichten-Verordnung, sowie der europäischen Gesetzgebung wie der ODR-Richtlinie) treffen, die zwar nicht zwangsläufig im Impressum stehen müssen, jedoch bestenfalls dort aufgenommen werden können.
Was muss die Social-Media-Datenschutzerklärung enthalten?
Bei einem Instagram-Shop werden personenbezogene Daten der Kunden erhoben und verarbeitet. Über die Datenverarbeitung, den Datenaustausch mit anderen Websites und die besonderen Funktionen des Instagram-Shops (wie z.B. Instagram-Shopping oder Instagram-Anzeigen) müssen die Käufer informiert werden.
Hierzu kann nicht auf kommerziell erhältliche Datenschutzerklärungen für Onlineshop- bzw. Webseiten-Betreiber zurückgegriffen werden, da diese mitunter andere Rechtsgrundlagen, sowie abweichende besondere Funktionen enthalten. Auch ist die Art und Weise des Vertragsschlusses abweichend von der normalen Online-Shop Ausgestaltung.
In den nachfolgenden Ausführungen werden dementsprechend nur die Informationspflichten näher behandelt, bei denen es zu rechtlichen Besonderheiten kommt, bedingt dadurch, dass es sich hierbei um einen Betreiber einer Social-Media-Website mit Instagram-Shop und entsprechend weiteren spezielle Funktionen handelt.
Gemeinsame Verantwortlichkeit einschlägig?
Als erstes muss der Verantwortliche in der Datenschutzerklärung benannt werden (Art. 13 Abs. 1 lit. a DSGVO). Der Verantwortliche ist i.S.d. Art. 4 Nr. 7 DSGVO diejenige Person oder Firma, die die Daten erhebt, verarbeitet oder speichert bzw. dies durch Dritte vornehmen lässt.
Der EuGH hat in seiner Entscheidung bestimmt (EuGH 5.6.2018 – 210/16), dass der Betreiber einer Social-Media-Fanpage bei Facebook zusammen mit dem Betreiber des Social-Media-Kanals selbst eine (gemeinsame) datenschutzrechtliche Verantwortlichkeit für die zahlreichen Datenverarbeitungsvorgänge tragen. Die gemeinsame Verantwortlichkeit wurde vom EuGH auch im Hinblick auf die Einbindung eines Social-Media-Plugins bejaht (EuGH 29.7.2019 – 40/17).
Die Rechtssprechung des EuGH lässt sich wohl auch auf andere Social-Media-Kanäle (wie z.B. Instagram, Youtube, TikTok etc.) übertragen. Auch bei diesen Plattformen ist davon auszugehen, dass mehrere Beteiligte gemeinsam für die Datenverarbeitung verantwortlich sind, da die Daten auch zu eigenen Zwecken der Plattformbetreiber verarbeitet werden. Instagram wird seit 2012 ebenfalls von Facebook Inc. betrieben. Die Steuerung des Instagram Accounts ist somit generell auch über Facebook Business möglich.
Von einer gemeinsamen Verantwortlichkeit kann man gem. Art. 26 Abs. 1 S. 1 DSGVO grundsätzlich dann ausgehen, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Liegt eine gemeinsame Verarbeitung vor, müssen die beteiligten Unternehmen einen Vertrag zur gemeinsamen Verantwortlichkeit abschließen.
Wann genau eine gemeinsame Verantwortlichkeit anzunehmen ist, hängt von einer individuellen Überprüfung des konkreten Einzelfalls ab. Je partnerschaftlicher die arbeitsteilige Datenverarbeitung ausgestaltet ist, desto eher ist von einer gemeinsamen Verantwortlichkeit auszugehen.
Bei der Nutzung von „Facebook bzw. Instagram Insights“ bietet Facebook bereits ein „Page Controller Addendum“ zur gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO in den folgenden ergänzenden Nutzungsbedingungen an. Dieser ist innerhalb der Nutzungsbedingungen von Facebook hinterlegt und wird - laut Einschätzung von Facebook - Bestandteil des zwischen Facebook und dem Unternehmen stehenden Vertrages (vgl. https://www.facebook.com/legal/terms/page_controller_addendum).
In dieser Vereinbarung werden im Wesentlichen Regelungen zu den Insights-Daten getroffen, die im Rahmen dieser besonderen Funktion erhoben und verarbeitet werden, um das Nutzerverhalten auf Facebook und Instagram auszuwerten.
Inwieweit die mittlerweile aktualisierte Vereinbarung von Facebook als rechtssicher angesehen werden kann, kann derzeit nicht abschließend beurteilt werden, da es an Einflussmöglichkeiten des Betreibers einer Social-Media-Fanpage fehlt und einige Fragen der Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die in der Stellungnahme vom 01.04.2019 zu dem EuGH-Urteil (https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf) veröffentlicht wurden, auch weiterhin von Facebook ungelöst bleiben.
Die Vereinbarung regelt indes, dass Facebook die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten bei der Verarbeitung von Insights-Daten übernimmt und informiert über die dabei verbleibende datenschutzrechtliche Verantwortung der Social-Media-Betreiber.
Auch sollte bei der Verwendung von Instagram Insights die ausdrückliche Einwilligung des Social-Media-Website-Betreibers zur Datenübertragung an Instagram eingeholt werden. Mittels weiterer Nutzung des Social-Media-Dienstes gelten die neuen Geschäftsbedingungen von Facebook entsprechend als bestätigt.
Letztlich ist es unerlässlich, dass jeder Betreiber eine eigene Datenschutzerklärung für seine Social-Media-Website haben sollte. Aus der gemeinsamen Verantwortlichkeit des Betreibers einer Social-Media-Fanpage bei Facebook folgt dessen Pflicht, die Seiten-Besucher hinreichend über die dort stattfindende eigene Datenverarbeitung gem. Art. 13 DSGVO und über die Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortung zu informieren. Diesbezüglich sind unter anderem der Umfang und alle Zwecke der Datenverarbeitung, die jeweils zutreffende Rechtsgrundlage aus dem Katalog des Art. 6 Abs. 1 S. 1 DSGVO zu nennen, sowie der Umfang der Datenverarbeitung durch den Verantwortlichen mitzuteilen.
Fehlt es im konkretem Fall an einem Vertrag zur gemeinsamen Verantwortlichkeit, ist aus rechtlicher Vorsicht stets von der Verwendung der besonderen Funktionen der Social-Media-Plattform bzw. von sog. Social-Media-Plugins abzuraten, da ggf. sonst ein Bußgeld nach Art. 83 Abs. 4 DSGVO verhängt werden könnte.
Die durch Instagram bereitgestellten Daten
Dem Betreiber einer Instagram-Seite werden personenbezogene Daten seines Besuchers von Instagram selbst zur Verfügung gestellt. Es werden im Normalfall keine statistischen Daten direkt durch den Betreiber dieser Social-Media-Website erhoben, verarbeitet und gespeichert, wohl aber dem Seitenbetreiber zur Verfügung gestellt.
Mitunter sind anonymisierte Daten wie z.B. Informationen über die Verwendung von Instagram-Produkte und der speziellen Funktionen, Informationen des Nutzers auf anderen Social-Media-Kanälen innerhalb der Facebook-Unternehmensgruppe (z.B. über Transaktionen, Aktivitäten und dort bereitgestellte Informationen) oder Metadaten (z.B. die IP-Adresse des Nutzers) in dem Benutzermenü für den Betreiber der Social-Media-Website einsehbar.
Jedoch kann der Betreiber der Social-Media-Website, die ihm im INSTAGRAM-Benutzermenü bereitgestellten Daten so auswerten, dass die durch Facebook Inc. vorgenommene "Anonymisierung" mit Benutzerkonten zusammengeführt werden kann und die Interaktionen der Personen einzelnen Accounts zugewiesen werden kann. Da dies möglich ist, sind die Daten auch nicht hinreichend anonymisiert.
Weiterhin sind Instagram-Nutzer über die hier heranzuziehenden Rechtsgrundlagen der Datenverarbeitung zu informieren. Hier ist es möglich als Rechtsgrundlage die Art. 6 Abs. 1 S. 1 lit. a), b), c), d), f) DSGVO zu wählen.
Probleme bereitet dies insbesondere jedoch dann, wenn Social-Media-Sites von juristischen Personen des öffentlichen Rechts betrieben werden, da sich juristische Personen des öffentlichen Rechts gemäß Art. 6 Abs. 1 S. 2 DSGVO nicht des Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) bedienen können.
Zu dieser Problematik finden Sie weitere Informationen in unserem Beitrag unter: https://www.dury.de/onlinerecht-blog/rechtliche-probleme-beim-betrieb-von-internetseiten-von-juristischen-personen-des-oeffentlichen-rechts.
Ungeachtet dessen, werden in der Praxis üblicherweise Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Vertrag) und Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) als Rechtsgrundlagen herangezogen. Es wird dabei unterschieden, ob der Nutzer bei Instagram registriert bzw. eingeloggt ist oder nicht. Sofern der Instagram-Nutzer nicht registriert bzw. eingeloggt ist, erfolgt die Datenverarbeitung aufgrund des berechtigen Interesse in einer fehlerfreien Funktion der Plattform. Ist der Instagram-Nutzer indes registriert, erfolgt die Datenerhebung aufgrund des zwischen dem Nutzer und Facebook geschlossenen Nutzungsvertrags i.S.d. Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Hierbei ist ein Link zu den Nutzungsbedingungen von Instagram aufzunehmen, der sprechend ausgestaltet werden sollte.
Verwendung von besonderen Funktionen
Des Weiteren muss die Datenschutzerklärung gemäß § 13 DSGVO Bezug zu allen besonderen Funktionen auf Instagram nehmen, mit denen der Nutzer personenbezogene Daten an Instagram übermittelt. Über diese besonderen Funktionen sendet Instagram den Betreiber der Social-Media-Websites bestimmte personenbezogene Daten zu bzw. diese werden in Facebook Insights abrufbar zur Verfügung gestellt.
Beispielsweise handelt es sich bei den Business-Tools, wie z. B. Instagram Shopping, Shopping von Creators oder Instagram-Anzeigen um spezielle Funktionen der Instagram-App.
Dabei ist der App-Nutzer unter anderem über den Zweck der Datenverarbeitung und deren Rechtsgrundlage aus dem Art. 6 Abs. 1 S. 1 lit. a), b), c), d), f) DSGVO zu informieren. Je nach Verarbeitungsvorgang und angesichts des jeweiligen Benutzers der speziellen Funktion der Instagram-App werden üblicherweise Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Vertrag) und Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) als Rechtsgrundlagen in Betracht gezogen.
Nachfolgend müssen die Nutzer u.a. darüber informiert werden, welche Daten Instagram zur Verfügung stellt und in welcher Weise diese Daten durch den Betreiber der Social-Media-Website verarbeitet werden.
In Teil 2 unserer Beitragsreihe geben wir Ihnen einen Überblick über einige neue spezielle Funktionen der Instagram-App, die insbesondere zum erfolgreichen Betrieb eines Instagram-Shops unerlässlich erscheinen. Diese führen zu weiteren rechtlichen Problemen, die in der Datenschutzerklärung und den weiteren Rechtstexten, sowie im praktischen Umgang mit Instagram beachtet werden müssen.
Co-Autor: Stud. jur. Martina Hajas