th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: FAQ zu Sozialen Netzwerken

Antworten auf die wichtigsten Fragen

ACHTUNG: Hier kommen nicht nur datenschutzrechtliche, sondern auch telekommunikationsrechtliche Bestimmungen zur Anwendung!


  1. Welche Daten soll/darf ich für Soziale Netzwerke (LinkedIn, Facebook, etc) preisgeben, wenn ich hier mein Unternehmen präsentiere.
  2. Sind die Kundendaten auf einem Google Konto ein Problem?
  3. Wie schaut es mit fertigen zB Adressverzeichnissen von Google aus?
  4. Darf ich Termine mit Kundenname und Adresse in meine Google Kalender abspeichern?
  5. Muss ich Dienste von datensammelnden US-Anbietern von meiner Webseite entfernen? Zum Beispiel Google Maps, Facebook-Buttons usw.?
  6. Wie soll mit Google etwas geklärt werden, das ist doch praxisfremd.
  7. Muss ich meinen Mitarbeitern "WhatsApp" verbieten, wenn sich auf den Diensthandys Kontakte von Kunden befinden?
  8. Und wie sieht es mit Fotos aus, die auf Facebook und Instagram (mit Zustimmung und Unterschrift des Kunden) veröffentlicht werden zB Vorher-Nachher Fotos von Kunden? Wenn ohne Gesicht, dann auf der sicheren Seite?
  9. Welche Daten speichert WhatsApp? Können Rückschlüsse zwischen meinen Kunden und mir gezogen werden (ärztliche Schweigepflicht,...)?
  10. Kann man die Verwendung von Messengerdiensten (zB WhatsApp) zu betrieblichen Zwecken durch eine Zustimmung des Kunden rechtskonform „reparieren“? 
  11. Sind bei WhatsApp zusätzliche Punkte zu beachten, wenn die Geschäftstätigkeit einer gesetzlichen Verschwiegenheitspflicht unterliegt? zB Rechtsanwalt, Finanz- und Bankwesen
  12. Ich erhalte alle Daten über Facebook, was muss ich da beachten?
  13. Stimmt es, das Direktansprache via Xing und Linkeding durch die DSGVO nicht mehr möglich ist?
  14. Darf man als Personalberater Kandidaten weiterhin über Xing und Linkedin kontaktieren und diesen bei Interesse Jobs anbieten?
  15. Wie sieht es mit der Einbindung von Social Media-Plug-Ins auf Webseiten aus, zB Facebook-Like-Button?
  16. Wie sieht es mit Google Analytics aus?
  17. Was ist beim Einsatz von Firmenhandys zu beachten?
  18. Wie muss mit öffentlich zugänglichen Daten umgegangen werden. Bei Facebook stellen Personen Daten öffentlich zur Verfügung. Darf mit diesen Daten gearbeitet werden, ohne den User um seine Einwilligung zu bitten?
  19. Wenn ich in meiner Datenschutzerklärung darauf hinweise, dass ich Dropbox nutze ist es ok, oder?

1. Welche Daten soll/darf ich für Soziale Netzwerke (LinkedIn, Facebook, etc) preisgeben, wenn ich hier mein Unternehmen präsentiere.

Wenn Sie Ihre eigenen Unternehmensdaten preisgeben wollen, ist das Ihre freie Entscheidung. Mitarbeiter- oder Kundendaten sollten allerdings nicht ohne deren Einwilligung veröffentlicht werden.

2. Sind die Kundendaten auf einem Google Konto ein Problem?

IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern einer Auftragsverarbeitung entspricht.

3. Wie schaut es mit fertigen zB Adressverzeichnissen von Google aus?

Wurden hier Adressen von Google direkt erworben oder in Google allgemein abgefragt? Die Datenverarbeitung bei Ihnen braucht so oder so eine Rechtmäßigkeitsgrundlage. Wenn die Daten nur in der Google Suche auffindbar waren, heißt das nicht gleichzeitig, dass Sie diese uneingeschränkt verwenden dürfen (zB elektronische Post an veröffentlichte Mailadressen schicken dürfen).

4. Darf ich Termine mit Kundenname und Adresse in meine Google Kalender abspeichern?

Ja. IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern aber einer Auftragsverarbeitung entspricht und die entsprechenden Grundsätze einzuhalten sind.

5. Muss ich Dienste von datensammelnden US-Anbietern von meiner Webseite entfernen? Zum Beispiel Google Maps, Facebook-Buttons usw.?

Nein, allerdings müssen Sie über die „Datensammlung“ informieren. Bereits jetzt ist es Ihre Verpflichtung über das Implementieren von Cookies und Social Plug-Ins zu informieren (Zum Muster). 

6. Wie soll mit Google etwas geklärt werden, das ist doch praxisfremd.

Große IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern einer Auftragsverarbeitung entspricht. Google wird in den neuen Nutzungsbedingungen ohnehin die Standardklauseln des Auftragsverarbeitervertrages einarbeiten, nichtsdestotrotz ist es auch Ihre Pflicht dafür zu sorgen und gegebenenfalls nachzuhaken. Auch Google bietet Supportleistungen und Kontaktmöglichkeiten an. 

7. Muss ich meinen Mitarbeitern "WhatsApp" verbieten, wenn sich auf den Diensthandys Kontakte von Kunden befinden?

Die Verwendung von WhatsApp im Unternehmensbereich wirft gewisse datenschutzrechtliche Probleme auf (Verwendung zu betrieblichen Zwecken, Datensicherheit, Datenweitergabe im Konzernverhältnis sowie ins EU-Ausland, Datenzugriff, …). Datenschutzrechtlich gibt es nun erste Einschätzungen zur datenschutzrechtlichen Unzulässigkeit vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zu WhatsApp (vgl. den 7. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht).  Da allerdings sehr viele große Player im Moment ihre Dienste DSGVO konform ausgestalten bzw gerade dabei sind, sollte dieses Thema weiter beobachtet werden. Beachtet werden sollte dabei jedenfalls, dass eine Datenweitergabe ins EU-Ausland zumindest in den Datenschutz-Richtlinien des Anbieters selbst ausgewiesen wird (vgl whatsapp.com/legal bzw. die WhatsApp Datenschutzrichtlinie) und diese Datenweitergabe ins EU-Ausland an gewisse datenschutzrechtliche Voraussetzungen gebunden ist, die der Verantwortliche selbst zu prüfen hat (vgl auch WKO-Infoseite zum Thema). 

8. Und wie sieht es mit Fotos aus, die auf Facebook und Instagram (mit Zustimmung und Unterschrift des Kunden) veröffentlicht werden zB Vorher-Nachher Fotos von Kunden? Wenn ohne Gesicht, dann auf der sicheren Seite?

Wenn die Person, die abgebildet wurde, nicht erkennbar ist, wird es sich im Normalfall auch um keinen personenbezogenen Datensatz handeln. Wenn Sie aber die Einwilligung zur Ablichtung und Veröffentlichung dieser Person auf Facebook, Instagram usw haben, dann dürfen Sie das Foto auch bis zu einem allfälligen Widerruf der Einwilligung veröffentlichen. 

9. Welche Daten speichert WhatsApp? Können Rückschlüsse zwischen meinen Kunden und mir gezogen werden (ärztliche Schweigepflicht,...)?

Wir haben keine Einsicht darüber, was in Unternehmen geschieht. Bei der Verwendung von WhatsApp haben Sie auch Datenschutzbestimmungen zugestimmt, dort ist aufgezählt, was mit den Daten passiert, an wen diese weitergegeben werden usw. (zur betrieblichen Verwendung des Messengerdienstes vgl Frage 7).

10. Kann man die Verwendung von Messengerdiensten (zB WhatsApp) zu betrieblichen Zwecken durch eine Zustimmung des Kunden rechtskonform „reparieren“? 

Zur Verwendung von WhatsApp im Unternehmensbereich vgl Frage 7. Eine individuelle Vereinbarung oder Einwilligung von der betroffenen Person über die Verwendung wäre grundsätzlich denkbar. Problematisch wird es aber bereits, wenn die Einwilligung zB im Beschäftigungskontext erteilt wird, also zB der Abteilungsleiter anweist, WhatsApp zu verwenden. Außerdem hat die österreichische Rechtsprechung bislang bereits gefordert, dass bei der Einwilligung in die Datenübermittlung in ein „unsicheres“ Drittland auf diesen Umstand hingewiesen wird. Allerdings müsste das Drittland ausgewiesen werden, was schwierig ist, da der Dienst selbst ausweist „die Daten weltweit zu teilen“ vgl die WhatsApp Datenschutzrichtlinie).

11. Sind bei WhatsApp zusätzliche Punkte zu beachten, wenn die Geschäftstätigkeit einer gesetzlichen Verschwiegenheitspflicht unterliegt? zB Rechtsanwalt, Finanz- und Bankwesen

Diese Punkte sollten jedenfalls bei der Überlegung, den Dienst zu verwenden oder nicht, eine Rolle spielen. Die Frage ist, ob allfällige Zugriffs- oder Weitergaberechte des Unternehmens Ihrer allfälligen Verschwiegenheitspflicht widersprechen. Das ist allerdings berufsrechtlich und nicht datenschutzrechtlich abzuklären. Zur Frage der datenschutzrechtlichen Zulässigkeit des Messengerdienstes vgl Frage 7.

12. Ich erhalte alle Daten über Facebook, was muss ich da beachten?

Es ist leider nicht klar, was mit „alle Daten über Facebook“ zu erhalten gemeint ist. Es wird sich wohl die Frage nach der Rechtmäßigkeit der Datenverarbeitung stellen, dh es kann nicht schlichtweg davon ausgegangen werden, ausschließlich deshalb, weil Daten auf Facebook veröffentlicht sind, könnte man mit diesen „tun, was man will“. 

13. Stimmt es, das Direktansprache via Xing und LinkedIn durch die DSGVO nicht mehr möglich ist?

Die DSGVO enthält hierzu keine speziellen Regelungen. Plattformen regeln die jeweilige Kontaktmöglichkeit über die Plattform üblicherweise in deren Nutzungsbedingungen. 

14. Darf man als Personalberater Kandidaten weiterhin über Xing und Linkedin kontaktieren und diesen bei Interesse Jobs anbieten?

Die Kontaktaufnahme über die Plattform selbst richtet sich nach den Nutzungsbedingungen dieser Plattformen. Nur, weil eine Mailadresse dort veröffentlicht ist, heißt das aber zB nicht, dass Sie denjenigen per E-Mail kontaktieren dürfen. 

15. Wie sieht es mit der Einbindung von Social Media-Plug-Ins auf Webseiten aus, zB Facebook-Like-Button?

Eine Einbindung ist nach wie vor möglich, allerdings ist über diese in der Datenschutzerklärung auf der Website zu informieren (auch derzeitiger Stand). 

16. Wie sieht es mit Google Analytics aus?

Google Analytics ist ein Trackingtool, über welches zu informieren ist, Näheres hierzu finden Sie auf der WKO-Infoseite zum Thema.

17. Was ist beim Einsatz von Firmenhandys zu beachten?

Sie müssen darauf achten die Bestimmungen des Datenschutzrechts einzuhalten. Ein Handy kann leicht abhandenkommen, hier sind als Mindeststandards PIN-Eingabe oder uU auch Verschlüsselung von Daten zu nennen, bei Diebstahl ist die Möglichkeit der Fernlöschung durch eine Sicherheits-App empfehlenswert. Bei der Datenaufbewahrung zu Hause ist zb auf räumliche Trennung der Datensicherung zu achten um bspw. bei Feuerschaden weiterhin auf diese zugreifen zu können. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter www.it-safe.at verschaffen. Informationen dazu finden Sie im IT-Sicherheitshandbuch für KMU.

18. Wie muss mit öffentlich zugänglichen Daten umgegangen werden. Bei Facebook stellen Personen Daten öffentlich zur Verfügung. Darf mit diesen Daten gearbeitet werden, ohne den User um seine Einwilligung zu bitten?

Es gibt in der DSGVO bei schlicht personenbezogenen Daten keine weitergehende Verarbeitungsmöglichkeit für veröffentlichte Daten. Allerdings kann vermutlich einfacher mit einem berechtigten Interesse argumentiert werden. Veröffentlichte Daten sind allerdings kein „Freiwild“.

19. Wenn ich in meiner Datenschutzerklärung darauf hinweise, dass ich Dropbox nutze ist es ok, oder?

Dadurch wird es nicht zulässiger. Die Frage ist, ob Dropbox als zuverlässiger Auftragsverarbeiter gilt und das ist entsprechend zu prüfen (die Stellungnahme von Dropbox zur DSGVO bzw. Dropbox über seinen Leitfaden zu Sicherheit, Compliance und Datenschutz).


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.