Das Internet und die sozialen Netzwerke bieten schier unendliche viele Möglichkeiten, aber sind diese auch immer mit der DSGVO vereinbar?
Fast jede Steuerkanzlei verfügt heutzutage über einen Internetauftritt. Viele Kanzleien sind zudem mit Auftritten bei Facebook, XING, LinkedIn, Instagram oder in anderen sozialen Netzwerken präsent. Die meisten Kanzleien haben ihren Internetauftritt mit einem entsprechenden Datenschutzhinweis versehen. Was aber ist mit den sozialen Netzwerken?
Auch für diese Profile muss dem Nutzer transparent dargelegt werden, was mit seinen Daten passiert, wenn er diesen Auftritten einen Besuch abstattet, oder deren Inhalte mit einem „Like“ versieht oder teilt. Je nachdem, um welche Plattform es sich handelt, ist dabei auch manchmal Kreativität gefragt: In so manchem sozialen Netzwerk ist dafür kein Platz vorgesehen. Bei Twitter steht beispielsweise nur eine eingeschränkte Anzahl Zeichen in der Profilbeschreibung zur Verfügung, in der man eigentlich die eigene Kanzlei beschreiben sollte. Der Platz muss hier auch für den Link zum Datenschutzhinweis genutzt werden. Denken Sie bei der Erstellung Ihrer Datenschutzerklärung auch daran, einen entsprechenden Hinweis zum jeweiligen sozialen Netzwerk aufzunehmen.
Wir stellen im Rahmen unserer Beratung immer wieder fest, dass es der Kanzleileitung teilweise gar nicht genau bekannt ist, was auf der eigenen Homepage passiert und in welchen Netzwerken die Kanzlei mit einem Auftritt vertreten ist. Hinsichtlich der Webseite kommt es oft vor, dass Agenturen oder Webentwickler z.B. PlugIns oder Tracking-Tools einbinden, die als „Stand der Dinge“ angesehen werden, sich jedoch datenschutzrechtlich auswirken und daher zum einen richtig konfiguriert und zum anderen in den Datenschutzhinweisen beschrieben werden müssen. Gerade in Kanzleien, in denen sich nicht der Berater selbst um das Thema Internet und Social Media kümmert, findet sich auch der ein oder andere Facebook- oder Twitter-Account, von dem der eigentlich Verantwortliche nichts weiß. Es empfiehlt sich deshalb, sich einen regelmäßigen Überblick über die Auftritte in den sozialen Netzwerken zu verschaffen und im Datenschutzmanagement der Kanzlei entsprechende Datenschutzhinweise vorzuhalten. Bei Facebook ist auch der Abschluss der „Vereinbarung über die gemeinsame Verarbeitung personenbezogener Daten (Seiten-Insights-Ergänzung bezüglich des Verantwortlichen)“ dringend zu empfehlen, auch wenn wir an dieser Stelle deutlich darauf hinweisen müssen, dass diese Vereinbarung durch die Aufsichtsbehörden in Deutschland keinesfalls als ausreichend angesehen wird. Es ist derzeit nach Auffassung der Aufsichtsbehörden schlichtweg nicht möglich, eine Facebook-Fanpage absolut datenschutzkonform zu betreiben!
In letzter Zeit bemerken wir zudem immer häufiger, dass Kanzleien die Besucher ihrer Facebook-Fanpage aktiv zu einer Bewerbung auffordern. Hierbei stellt sich die Frage, wie die Kanzlei sicherstellen will, dass im Falle einer vergeblichen Bewerbung sämtliche Daten durch Facebook gelöscht werden? Der abgelehnte Bewerber hat ein Recht darauf, dass seine Daten spätestens nach sechs Monaten gelöscht werden, und dass nichts mehr in der Kanzlei darauf hindeutet, dass er sich jemals dort beworben hat. Wenn die Kommunikation jedoch über Facebook erfolgt ist, wird sich das ggf. schwierig bis unmöglich gestalten. Da auch der Bewerber ebenfalls ein Anrecht darauf hat, in Zusammenhang mit seiner Bewerbung entsprechende Informationen durch die Kanzlei zu erhalten (Datenschutzhinweis für Bewerber), wie seine Bewerberdaten in der Kanzlei verarbeitet werden, dürfte sich auch der Passus zur Bewerbung über Facebook schwierig gestalten. Die Kanzlei ist gut beraten, auf Bewerbungen über Facebook zu verzichten und stattdessen lediglich die im Internet veröffentlichten Stellenanzeigen bei Facebook zu teilen und einen sicheren Kommunikationsweg anzubieten.
Das Thema Internet und soziale Netzwerke ist im Datenschutz so wichtig, weil hier wie an keiner anderen Stelle sofort für jedermann mit wenigen Klicks ersichtlich wird, ob die Kanzlei die Vorschriften der DSGVO umgesetzt hat. Fehlende oder falsche Datenschutzhinweise sind ein konkretes Anzeichen dafür, dass in der Kanzlei unzureichendes datenschutzrechtliches Knowhow oder kein externer Berater vorhanden ist. Aufgrund der Öffentlichkeitswirksamkeit steht dieser Punkt bei uns Beratern immer ganz oben auf der Checkliste bei der Umsetzung der DSGVO.
Machen Sie die Aktivitäten in Internet daher zur Chefsache und überzeugen Sie sich davon, dass Ihre Auftritte in den sozialen Netzwerken den Vorgaben der DSGVO genügen!