Rechtliche Probleme beim Betrieb eines Instagram Shops (Insta-Shop) - Teil 4: Weitere Punkte der Datenschutzerklärung

 In den Teilen 1 - 3 unserer Beitragsreihe gingen wir auf wichtige Punkte ein, die in der Datenschutzerklärung für einen Instagram-Shops zu beachten sind. In diesem Beitrag beschäftigen wir uns mit den Themen Datenaustausch und Cookies. Des Weiteren zeigen wir Möglichkeiten auf, wie man Impressum und Datenschutzerklärung rechtssicher bei Instagram hinterlegen kann.

Unterrichtung über den Datenaustausch mit anderen Websites

Social-Media-Websites verwenden üblicherweise Java-Script-Inhalte (z.B. Plugins) von externen Anbietern. Ruft man solch eine Social-Media-Seite auf, leitet diese personenbezogene Daten des jeweiligen Besuchers an die externen Webservices weiter. Hierbei ist ggf. eine Datenverarbeitung außerhalb der EU möglich.

Gem. Art. 13 Abs. 1 lit. c) DSGVO hat der Verantwortliche die Pflicht den Betroffenen über den Zweck und die Rechtsgrundlage für die Verarbeitung seiner personenbezogenen Daten aufzuklären. Dementsprechend muss die Datenschutzerklärung Hinweise zu allen zum Einsatz kommenden Webtools enthalten, sofern deren Verwendung einen Datenaustausch mit fremden Webseiten bzw. Servern ermöglicht. Um der Informationspflicht genüge zu tragen, ist es ausreichend, dass der Betreiber der Social-Media-Website hierzu einen aktiven Link zur Datenschutzerklärung von Instagram aufnimmt.

Weiterhin sind Instagram-Nutzer u.a. über die hier heranzuziehende Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten zu informieren, die aus dem Katalog des Art. 6 Abs. 1 S. 1 DSGVO stammt.
Bedingt durch den jeweiligen Instagram-Nutzer werden in der Praxis insbesondere Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Vertrag) und Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) als Rechtsgrundlagen herangezogen. Zudem empfiehlt es sich einen aktiven Link zu den Nutzungsbedingungen von Instagram hinzuzufügen.

Grundsätzlich ist hier insbesondere noch zu bedenken, dass der Einsatz von amerikanischen Webtools (z.B. Facebook) nach wie vor problematisch ist.

Es besteht nämlich eine gewisse Unsicherheit bei der Datenübermittlung in die USA. Es ist dabei zu beachten, dass die Datenübermittlung in ein Drittland den allgemeinen Grundsätzen des Art. 44 DSGVO unterliegt. Die Datenübertragung in Staaten außerhalb der EU ist nur dann zulässig, wenn das gewährleistete Schutzniveau für Daten von natürlichen Personen auch den europäischen Standards entspricht.

Zu der Privacy-Shield-Problematik finden Sie weitere Informationen in unserem Beitrag.

Der Nutzer ist bei einer Datenübermittlung in die USA diesbezüglich ausdrücklich zu informieren. Sofern keine Rechtsgrundlage besteht, ist auch hierauf ein Hinweis zu setzen.

Wir empfehlen aus rechtlicher Vorsicht stattdessen auf europäische Webtools zurückzugreifen, bei denen zahlreiche datenschutzrechtliche Probleme nicht gegeben sind.

Die Verwendung von Cookies

Instagram verwendet Cookies für sich selbst, um bestimmte Funktionen der Instagram-App zu ermöglichen und externe Websites zu integrieren. Diese Textdateien werden im Browser des Nutzers hinterlegt und bei einem erneuten Besuch der Social-Media-Website wieder ausgelesen. Hierdurch erfolgt eine eindeutige Identifizierung des Browsers, wenn im Bestellvorgang eine Weiterleitung des Nutzers zu der externen Unternehmensseite bzw. zu einem seperaten Online-Shops stattfindet. Dadurch setzt die Social-Media-Plattform und auch die externe Webseite Cookies.

Um seinen Informationspflichten gem. Art. 13 Abs. 1 lit. f) DSGVO nachzukommen, genügt es einen aktiven Link zu der Cookie-Richtlinie des Betreibers des Social-Media-Kanals in der Datenschutzerklärung aufzunehmen. Dort erhält der Instagram-Nutzer Informationen unter anderem zum Umfang und Zweck der Verarbeitung der personenbezogenen Daten.

Zudem sind Angaben zu der hier heranzuziehenden Rechtsgrundlage für die Datenverarbeitung aufzunehmen. Hier ist es möglich als Rechtsgrundlage die Art. 6 Abs. 1 S. 1 lit. a), b), c), d), f) DSGVO zu wählen. In der Praxis zieht man auch hier üblicherweise Art. 6 Abs. 1 S. 1 lit. b) DSGVO (Vertrag) und Art. 6 Abs. 1 S. 1 lit. f) DSGVO (berechtigtes Interesse) als Rechtsgrundlagen heran.

Zudem ist zu berücksichtigen, ob der Betreiber einer Social-Media-Seite ggf. eine juristische Person des öffentlichen Rechts ist. In diesem Fall ist die Verwendung der Rechtsgrundlage „berechtigtes Interesse“ aus Art. 6 Abs. 1 Abs. 1 lit. f) DSGVO nicht möglich, da der Ausnahmetatbestand aus Art. 6 Abs. 1 Abs. 2 DSGVO einschlägig ist.

Ebenfalls sollte ein aktiver Link zu den Nutzungsbedingungen von Instagram die diesbezüglichen Angaben ergänzen.

Das Benennen eines Datenschutzbeauftragten

Die Kontaktdaten des Datenschutzbeauftragten des Beauftragten des sozialen Netzwerks (hier: Instagram) sind in die Datenschutzerklärung entsprechend aufzunehmen. Dies gilt auc für die Kontaktdaten des Datenschutzbeauftragten des Unternehmens, dass das Social-Media-Profil betreibt, sofern ein solcher benannt wurde (vgl. Art. 37 Abs. 7 DSGVO).

Wirksame Einbeziehung der Rechtstexte auf Instagram

Problematisch ist es das Impressum und die Social-Media-Datenschutzerklärung bei Instagram rechtsicher zu hinterlegen. Hierfür hat der Betreiber des Social-Media-Kanals die technischen Voraussetzungen noch nicht geschaffen.

Eine Möglichkeit besteht darin, das Impressum und die Social-Media-Datenschutzerklärung in die Biografie einzufügen. Unter „Steckbrief“ kann der Instagram-Nutzer Einträge erstellen, allerdings hat dieses Feld eine Begrenzung auf 150 Zeichen. In der Regel wird bereits für ein rechtsicheres Impressum wesentlich mehr Zeichen gebraucht. Daher erscheint das Hinterlegen ordnungsgemäßer Rechtstexte unter dem „Steckbrief“ rechtlich problematisch.

Jedoch muss das Instagram-Profil nicht zwingend selbst das Impressum und die Social-Media-Datenschutzerklärung enthalten. Eine Möglichkeit ist das Einbinden der erforderlichen Rechtstexte auf einer Unterseite der eigenen Unternehmensseite bzw. im separaten Onlineshop.

Ein sprechender Link, der auf die extern gehosteten Rechtstexte weiterleitet, ist grundsätzlich ausreichend. Der Betreiber der Instagram-Fanpage hat hierbei sicherzustellen, dass die Rechtstexte auf der externen Website leicht auffindbar und mit maximal 2 Klicks erreichbar sind. 

Es empfiehlt sich, den entsprechenden Link unter „Webseite“ zu hinterlegen. Unter „Steckbrief“ ist dies nicht möglich, da dort Einträge nur als reiner Text dargestellt werden. Problematisch ist hierbei, dass der Profil-Inhaber nur einen einzigen Link platzieren kann. Angesichts dessen empfehlen wir dort einen entsprechenden Link, durch den die Instagram-Besucher zu einem extern gehosteten Impressum mit kombinierter Social-Media-Datenschutzerklärung gelangen, zu hinterlegen.

In Teil 5 unserer Beitragsreihe behandeln wir die Allgemeinen Geschäftsbedingungen, die Widerrufsbelehrung und weitere Informationspflichten die in einem Instagram-Shop auch nicht fehlen sollten.

 Co-Autor: Stud. jur. Martina Hajas

Autor: Benjamin Schmidt

Diplomjurist & Business Development Manager

Autoren-Info:

Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist zertifizierter Datenschutzbeauftragter (TÜV-Rheinland) und Leiter des Online-Teams von DURY LEGAL. In dieser Funktion ist er zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten, Apps und Online-Shops. Sein Online-Team bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY GRUPPE angehört. Er unterstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.