LfDI-Anforderungen an Social Media für Unternehmen ✅

Q: Braucht unser Unternehmen bei Social Media immer Einwilligungen?

Nicht für jede Interaktion. Für reine Kommunikation/Service kann Art. 6 Abs. 1 f DSGVO reichen. Tracking-/Targeting-Funktionen (z. B. Insight-Daten, Lookalikes) erfordern regelmäßig Einwilligungen. Beachten Sie: Website-Pixel/Plugins unterliegen zusätzlich dem TDDDG (Endgerätezugriff).

Q: Gilt die LfDI-Richtlinie nur für Behörden?

Formell ja, viele Dokumente adressieren öffentliche Stellen. Die Maßstäbe (Transparenz, Joint Control, Risiko-/Transferprüfung, alternative Kanäle) gelten jedoch als Best Practice auch für Unternehmen, da sie unmittelbar aus der DSGVO abgeleitet sind.

Q: Was ist mit Unternehmensprofilen bei LinkedIn oder TikTok?

Auch hier sind Joint-Control-Vereinbarungen relevant (die Plattformen stellen Addenda bereit). Prüfen Sie deren Substanz, ergänzen Sie Ihre Hinweise, und bewerten Sie Transfers (USA/weitere Drittstaaten).

Q: Benötigen wir eine Datenschutz-Folgenabschätzung (DSFA) für Social Media?

Wenn Art, Umfang, Umstände oder Zwecke voraussichtlich hohe Risiken verursachen (z. B. Social Listening, großflächiges Targeting, Kinder/Jugendliche als Fokus, sensible Themen), führen Sie eine DSFA durch. Orientieren Sie sich an behördlichen Beispielen – die Methodik lässt sich auf Unternehmen übertragen.

Q: Wie setzen wir Betroffenenrechte um, wenn die Plattform „am längeren Hebel“ sitzt?

Beschreiben Sie in Ihren Hinweisen, wie Anfragen gestellt werden können, und definieren Sie intern Eskalationspfade zur Plattform. In Joint-Control-Set-ups muss geregelt sein, wer welche Pflichten erfüllt – die wesentlichen Inhalte sind bereitzustellen.

Q: Müssen wir Social-Media-Profile löschen, wenn Compliance nicht möglich ist?

Wenn Risiken nicht mitigierbar sind, ist ein Kanal-Stopp (oder Wechsel auf datenschutzfreundlichere Kanäle) ernsthaft in Betracht zu ziehen – und in Ihrem Nutzungskonzept als Option zu dokumentieren.

Inhaltsverzeichnis:

Governance und Konzept statt „Post-by-Post“
Rollen klären: (Gemeinsame) Verantwortlichkeit, Verträge und Transparenz
Rechtsgrundlagen und Einwilligungen
Internationaler Datentransfer (Art. 44 ff. DSGVO)
DPIA/DSFA und Risikosteuerung
Moderation, Löschung und Betroffenenrechte
Alternative Kanäle und Barrierefreiheit
Praktische To-do-Liste für DSB und Marketing
FAQ

Social-Media-Auftritte sind für Kommunikation, Recruiting und Markenpflege kaum noch wegzudenken. Gleichzeitig steigen die regulatorischen Anforderungen – getrieben von Positionspapieren der Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), der Datenschutzkonferenz (DSK) und Gerichtsentscheidungen (u. a. EuGH „Wirtschaftsakademie“ zu Facebook-Fanpages).

Obwohl einige LfDI-Papiere explizit öffentliche Stellen adressieren, lassen sich die Maßstäbe – Transparenz, Rechtsgrundlage, Risiko- und Transferprüfung – auch auf Unternehmen übertragen. Dieser Leitfaden der Kedua GmbH fasst die wichtigsten Anforderungen zusammen und zeigt, wie Sie Ihren Unternehmensauftritt belastbar ausrichten.

Governance und Konzept statt „Post-by-Post“

Der LfDI fordert (für Behörden, aber übertragbar) ein dokumentiertes Konzept mit Zweck, Zielgruppen, Kanälen, Verantwortlichkeiten, Monitoring, Moderations-/Löschregeln, alternativen Kommunikationswegen und Exit-Strategie. Unternehmen sollten dasselbe umsetzen – idealerweise mit einem Social-Media-Nutzungskonzept als Anhang zum Verzeichnis von Verarbeitungstätigkeiten. Ein Auftritt darf zudem nicht unbetreut laufen. Es braucht klare Prozesse für Anfragen, Betroffenenrechte, Community-Management, Hausordnung (Netiquette) und zeitnahe Reaktion auf Rechtsverletzungen.

Rollen klären: (Gemeinsame) Verantwortlichkeit, Verträge und Transparenz

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Bei vielen Plattformen (z. B. Facebook/Instagram, LinkedIn-Pages, TikTok-Unternehmensprofile) besteht eine Joint-Control-Konstellation. LfDI/DSK verlangen eine wirksame Vereinbarung nach Art. 26 DSGVO – die Standard-Addenda der Plattformen genügen nach behördlicher Einschätzung teils nicht vollständig. Unternehmen müssen die wesentlichen Inhalte der Vereinbarung bereitstellen und in ihren Hinweisen erläutern.

Eigene Datenschutzhinweise auf der Plattform: Zusätzlich zu den Plattform-Policies sind eigene, plattformspezifische Datenschutzhinweise zu verlinken (Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauern, Betroffenenrechte, Kontaktkanäle, gemeinsame Verantwortlichkeit, Transferinformationen). Platzieren Sie diese in der Profil-Navigation („Datenschutz“/„Privacy“-Link).

Impressum/Anbieterkennzeichnung: Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein (auf Plattformebene verlinkt, zwei Klicks sind i. d. R. akzeptabel). Prüfen Sie, ob die gewählte Plattform hierfür eine dedizierte Stelle bietet. Hinweis: Die LfDI-Hinweise für Behörden verlangen zusätzlich die Einhaltung der Telemedien-Pflichten; für Unternehmen gelten diese entsprechend.

Rechtsgrundlagen und Einwilligungen

Für das Betreiben der Unternehmensseite, das Antworten auf Kommentare/Nachrichten und Reichweitenmessung kommen je nach Gestaltung überwiegend berechtigte Interessen (Art. 6 Abs. 1 f DSGVO) in Betracht. Dabei ist bei Interaktionen und im Community-Management eine nachvollziehbare Interessenabwägung zu dokumentieren.

Soweit personenbezogene Tracking-Mechanismen, Profiling oder Reichweitenanalysen der Plattform involviert sind (z. B. Insight-Daten, personalisierte Ads, Lookalike Audiences), verlangen Aufsichten regelmäßig Einwilligungen – zumal eine granulare Abwahl auf vielen Plattformen nicht ausreichend sichergestellt ist. Das spiegelt sich auch in kritischen Bewertungen der DSK zu Fanpages wider.

Externe Einbindungen (Social Plugins, Feeds, Pixel) auf Ihrer Website fallen zusätzlich in den Anwendungsbereich des TDDDG (Endgerätezugriff). Hier ist in der Regel vorab eine Einwilligung über das Consent-Banner notwendig, bevor Pixel/Plugins laden.

Internationaler Datentransfer (Art. 44 ff. DSGVO)

Viele Plattformen verarbeiten Daten außerhalb der EU/EWR. Prüfen Sie:

Transfermechanismen (z. B. EU-US Data Privacy Framework; Standardvertragsklauseln),
die Notwendigkeit ergänzender Maßnahmen,
konkrete Datenflüsse (z. B. bei Seiten-Insights, Direct Messages, Lead-Formularen).

Die LfDI-Hinweise mahnen hier seit Jahren erhöhte Vorsicht an: Strukturelle Defizite bei Meta lassen sich nicht allein durch Nutzungsrahmen beheben. Dokumentieren Sie die Transferprüfung und informieren Sie transparent.

DPIA/DSFA und Risikosteuerung

Bei umfangreicher Beobachtung öffentlich zugänglicher Bereiche (Social Listening, Sentiment-Analyse), Profiling-Elementen, großen Follower-Zahlen oder sensiblen Zielgruppen kann eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich sein. Es gibt behördliche Beispiele (z. B. Regierungspräsidium Freiburg) für DSFA-Umsetzungen bei Social Media – ein guter Referenzpunkt für Ihre eigene Methodik.

Datenschutz Seminare für Einsteiger und Fortgeschrittene

Ein Mann steht an einem Whiteboard und erklärt lächelnd

Die Datenschutzexperten der KEDUA GmbH bietet für Einsteiger und Fortgeschrittene entsprechende Datenschutzseminare an.

Nicht nur gesetzliche Richtlinien, sondern auch umfangreiche branchen- und bereichsspezifische Informationen gilt es beim Thema Datenschutz zu kennen. Vom Grundlagenseminar bis hin zum tief greifenden Aufbauseminar ermöglichen wir Ihnen zahlreiches Datenschutz-Wissen.

zur Seminar-Übersicht

Moderation, Löschung und Betroffenenrechte

Betroffenenrechte: Richten Sie einen Prozess ein, um Auskunfts-, Lösch-, Widerspruchs- oder Einschränkungsanträge auch dann zu bedienen, wenn Daten (teilweise) in der Sphäre der Plattform liegen. Verweisen Sie bei Joint Control darauf, wie Anfragen intern an die Plattform eskaliert werden (Art. 26 Abs. 3 DSGVO).

Hausordnung: Veröffentlichen Sie klare Moderationsregeln (Umgang mit Hate Speech/Spam).

Löschkonzept: Definieren Sie Fristen (z. B. beleidigende Inhalte sofort, Anfragen nach Erledigung), dokumentieren Sie Löschungen.

Alternative Kanäle und Barrierefreiheit

LfDI-Papiere verlangen für öffentliche Stellen alternative Informationswege. Für Unternehmen ist das als Best Practice sinnvoll: Bieten Sie parallel Website, Newsletter, RSS oder Messenger-Kanäle an und verweisen Sie im Profil darauf. Das reduziert Abhängigkeiten und Risiken.

Praktische To-do-Liste für DSB und Marketing

1.) Social-Media-Konzept schreiben/aktualisieren (Zwecke, Rollen, Kanäle, KPIs, Risiko-/Exit-Plan).

2.) Rollenmodell je Plattform bestimmen: Verantwortlicher vs. gemeinsame Verantwortlichkeit; Art. 26-Addendum prüfen, öffentlich die wesentlichen Inhalte bereitstellen.

3.) Plattformspezifische Datenschutzhinweise und Impressum im Profil verlinken.

4.) Rechtsgrundlagen-Matrix (Interessenabwägungen, Einwilligungen) und Transfer-Check dokumentieren.

5.) Consent-Management für Website-Einbindungen (Pixel/Plugins) absichern.

6.) DSFA-Check (Trigger, Schwellen, ggf. Durchführung) inkl. Maßnahmenplan.

7.) Moderation und Löschkonzept plus Schulungen für Social-Media-Team.

8.) Prozess für Betroffenenrechte inkl. Eskalation an Plattformen.

9.) Alternative Kanäle bewerben; Social-Media-Exit-Szenario vorbereiten.

zwei Geschäftsmännerarme die sich die Hand geben — Partnerschaftliche Zusammenarbeit

Sie haben weitere Fragen oder benötigen Hilfe?

Kontakt

Unsere Datenschutz-Experten unterstützen Sie, geben Hilfestellung und bieten maßgeschneiderte, individuelle Lösungen für Ihr Unternehmen. Wir kümmern uns um Ihren Datenschutz – von der einfachen Beratung, bis hin zur Erstellung eines Datenschutz-Managementkonzeptes.

FAQ

Ist der Betrieb einer Facebook-/Instagram-Fanpage für Unternehmen datenschutzkonform möglich?

Die DSK bewertet Fanpages kritisch, weil die gemeinsame Verantwortlichkeit mit Meta und die Datenflüsse (inkl. Transfers) nicht hinreichend transparent/steuerbar sind. Mehrere LfDI sehen einen rechtssicheren Betrieb derzeit als schwierig an. Wenn Sie Fanpages dennoch einsetzen, brauchen Sie eine belastbare Art.-26-Vereinbarung, ausführliche Hinweise und eine enge Zweckbegrenzung – und sollten Alternativen prüfen.

Braucht unser Unternehmen bei Social Media immer Einwilligungen?

Gilt die LfDI-Richtlinie nur für Behörden?

Was ist mit Unternehmensprofilen bei LinkedIn oder TikTok?

Benötigen wir eine Datenschutz-Folgenabschätzung (DSFA) für Social Media?

Wie setzen wir Betroffenenrechte um, wenn die Plattform „am längeren Hebel“ sitzt?

Müssen wir Social-Media-Profile löschen, wenn Compliance nicht möglich ist?

LfDI-Anforderungen an Social Media für Unternehmen