th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail LinkedIn Google-plus Facebook Whatsapp Flickr Youtube Instagram Pinterest Skype Vimeo Snapchat arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: FAQ zu Sozialen Netzwerken

Antworten auf die wichtigsten Fragen

ACHTUNG: Hier kommen nicht nur datenschutzrechtliche, sondern auch telekommunikationsrechtliche Bestimmungen zur Anwendung!


  1. Welche Daten soll/darf ich für Soziale Netzwerke (LinkedIn, Facebook, etc) preisgeben, wenn ich hier mein Unternehmen präsentiere.
  2. Sind die Kundendaten auf einem Google Konto ein Problem?
  3. Wie schaut es mit fertigen zB Adressverzeichnissen von Google aus?
  4. Darf ich Termine mit Kundenname und Adresse in meine Google Kalender abspeichern?
  5. Muss ich Dienste von datensammelnden US-Anbietern von meiner Webseite entfernen? Zum Beispiel Google Maps, Facebook-Buttons usw.?
  6. Wie soll mit Google etwas geklärt werden, das ist doch praxisfremd.
  7. Muss ich meinen Mitarbeitern "WhatsApp" verbieten, wenn sich auf den Diensthandys Kontakte von Kunden befinden?
  8. Und wie sieht es mit Fotos aus, die auf Facebook und Instagram (mit Zustimmung und Unterschrift des Kunden) veröffentlicht werden zB Vorher-Nachher Fotos von Kunden? Wenn ohne Gesicht, dann auf der sicheren Seite?
  9. Welche Daten speichert WhatsApp? Können Rückschlüsse zwischen meinen Kunden und mir gezogen werden (ärztliche Schweigepflicht,...)?
  10. Kann man die Verwendung von Messengerdiensten (zB WhatsApp) zu betrieblichen Zwecken durch eine Zustimmung des Kunden rechtskonform „reparieren“? 
  11. Sind bei WhatsApp zusätzliche Punkte zu beachten, wenn die Geschäftstätigkeit einer gesetzlichen Verschwiegenheitspflicht unterliegt? zB Rechtsanwalt, Finanz- und Bankwesen
  12. Ich erhalte alle Daten über Facebook, was muss ich da beachten?
  13. Stimmt es, das Direktansprache via Xing und Linkeding durch die DSGVO nicht mehr möglich ist?
  14. Darf man als Personalberater Kandidaten weiterhin über Xing und Linkedin kontaktieren und diesen bei Interesse Jobs anbieten?
  15. Wie sieht es mit der Einbindung von Social Media-Plug-Ins auf Webseiten aus, zB Facebook-Like-Button?
  16. Wie sieht es mit Google Analytics aus?
  17. Was ist beim Einsatz von Firmenhandys zu beachten?
  18. Wie muss mit öffentlich zugänglichen Daten umgegangen werden. Bei Facebook stellen Personen Daten öffentlich zur Verfügung. Darf mit diesen Daten gearbeitet werden, ohne den User um seine Einwilligung zu bitten?
  19. Wenn ich in meiner Datenschutzerklärung darauf hinweise, dass ich Dropbox nutze ist es ok, oder?

1. Welche Daten soll/darf ich für Soziale Netzwerke (LinkedIn, Facebook, etc) preisgeben, wenn ich hier mein Unternehmen präsentiere.

Wenn Sie Ihre eigenen Unternehmensdaten preisgeben wollen, ist das Ihre freie Entscheidung. Mitarbeiter- oder Kundendaten sollten allerdings nicht ohne deren Einwilligung veröffentlicht werden.

2. Sind die Kundendaten auf einem Google Konto ein Problem?

IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern einer Auftragsverarbeitung entspricht, dh in diesem Fall muss ein Auftragsverarbeitervertrag abgeschlossen werden. Viele große Online-Anbieter geben hierzu elektronisch die Möglichkeit, zB am Rahmen vom Akzeptieren der Nutzungsbedingungen.

3. Wie schaut es mit fertigen zB Adressverzeichnissen von Google aus?

Wurden hier Adressen von Google direkt erworben oder in Google allgemein abgefragt? Die Datenverarbeitung bei Ihnen braucht so oder so eine Rechtmäßigkeitsgrundlage (siehe EU-Datenschutz-Grundverordnung (DSGVO): Grundsätze und Rechtmäßigkeit der Verarbeitung). Wenn die Daten nur in der Google Suche auffindbar waren, heißt das nicht gleichzeitig, dass Sie diese uneingeschränkt verwenden dürfen (zB elektronische Post an veröffentlichte Mailadressen schicken dürfen – das ist nicht erlaubt!)

4. Darf ich Termine mit Kundenname und Adresse in meine Google Kalender abspeichern?

IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern aber einer Auftragsverarbeitung entspricht und die entsprechenden Grundsätze einzuhalten sind. Beachten Sie auch, ob der Anbieter nur eine private Nutzung des Dienstes erlaubt oder auch eine geschäftliche. Nur bei einer geschäftlich möglichen Nutzung werden üblicherweise die entsprechenden datenschutzrechtlichen Voraussetzungen (wie zB ein Auftragsverarbeitervertrag) angeboten.

5. Muss ich Dienste von datensammelnden US-Anbietern von meiner Webseite entfernen? Zum Beispiel Google Maps, Facebook-Buttons usw.?

Nein, allerdings müssen Sie über die „Datensammlung“ informieren. Bereits jetzt ist es Ihre Verpflichtung über das Implementieren von Cookies und Social Plug-Ins zu informieren. Bei Social PlugIns sollten Sie zudem eine „Zwei-Klick-Lösung“ oder eine „Shariff-Lösung“ implementieren (Zum Muster). 

6. Wie soll mit Google etwas geklärt werden, das ist doch praxisfremd.

Große IT-Anbieter haben sich bereits auf die DSGVO vorbereitet, so auch Google (siehe Google-Infoseite). Beachten Sie, dass Daten zB in einer Cloud zu speichern einer Auftragsverarbeitung entspricht. Google wird in den neuen Nutzungsbedingungen ohnehin die Standardklauseln des Auftragsverarbeitervertrages einarbeiten, wenn der Dienst geschäftlich genutzt werden kann (darauf sollte geachtet werden!). Nichtsdestotrotz ist es auch Ihre Pflicht dafür zu sorgen und gegebenenfalls nachzuhaken. Auch Google bietet Supportleistungen und Kontaktmöglichkeiten an. Weiters gibt es mittlerweile auch vielfältige Möglichkeiten, Daten bei Google zu löschen.

7. Muss ich meinen Mitarbeitern "WhatsApp" verbieten, wenn sich auf den Diensthandys Kontakte von Kunden befinden?

Die Verwendung von WhatsApp im Unternehmensbereich wirft gewisse datenschutzrechtliche Probleme auf (Verwendung zu betrieblichen Zwecken, Datensicherheit, Datenweitergabe im Konzernverhältnis sowie ins EU-Ausland, Datenzugriff, …). Datenschutzrechtlich gibt es nun erste Einschätzungen zur datenschutzrechtlichen Unzulässigkeit vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zu WhatsApp (vgl. den 7. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht).  Beachtet werden sollte dabei jedenfalls, dass eine Datenweitergabe ins EU-Ausland zumindest in den Datenschutz-Richtlinien des Anbieters selbst ausgewiesen wird (vgl whatsapp.com/legal bzw. die WhatsApp Datenschutzrichtlinie) und diese Datenweitergabe ins EU-Ausland an gewisse datenschutzrechtliche Voraussetzungen gebunden ist, die der Verantwortliche selbst zu prüfen hat (vgl auch WKO-Infoseite zum Thema). Fragen, die abzuklären sind, sind daher:

  • Gibt der Betreiber die Nutzung auch für geschäftliche Zwecke frei?
  • Gibt der Betreiber des Dienstes Daten weiter?
  • Wenn ja, welche Daten werden weitergegeben (eigene Daten, Daten des Adressbuchs,…)?
  • Werden Daten in Drittstaaten weitergegeben?
  • Welche Sicherheitsmaßnahmen hat der Betreiber implementiert?

Kommt man im Unternehmen zum Schluss, die Nutzung von WhatsApp zu verbieten, so sollte auch die Frage geklärt werden, was mit der privaten Nutzung von WhatsApp geschehen soll. Die Nutzung kann bspw auch bei privaten Endgeräten, die zu betrieblichen Zwecken mitgenutzt werden („Bring your own device“) nicht verboten werden, jedoch kann angeleitet werden, zB das Adressbuch entsprechend in privat und geschäftlich zu trennen. 

8. Und wie sieht es mit Fotos aus, die auf Facebook und Instagram (mit Zustimmung und Unterschrift des Kunden) veröffentlicht werden zB Vorher-Nachher Fotos von Kunden? Wenn ohne Gesicht, dann auf der sicheren Seite?

Wenn die Person, die abgebildet wurde, nicht erkennbar ist, wird es sich im Normalfall auch um keinen personenbezogenen Datensatz handeln. Wenn Sie aber die Einwilligung zur Ablichtung und Veröffentlichung dieser Person auf Facebook, Instagram usw haben, dann dürfen Sie das Foto auch bis zu einem allfälligen Widerruf der Einwilligung veröffentlichen. 

9. Welche Daten speichert WhatsApp? Können Rückschlüsse zwischen meinen Kunden und mir gezogen werden (ärztliche Schweigepflicht,...)?

Wir haben keine Einsicht darüber, was in Unternehmen geschieht. Bei der Verwendung von WhatsApp haben Sie auch Datenschutzbestimmungen zugestimmt (vgl die WhatsApp Datenschutzrichtlinie), dort ist aufgezählt, was mit den Daten passiert, an wen diese weitergegeben werden usw. (zur betrieblichen Verwendung des Messengerdienstes vgl Frage 7).

10. Kann man die Verwendung von Messengerdiensten (zB WhatsApp) zu betrieblichen Zwecken durch eine Zustimmung des Kunden rechtskonform „reparieren“? 

Zur Verwendung von WhatsApp im Unternehmensbereich vgl Frage 7. Eine individuelle Vereinbarung oder Einwilligung von der betroffenen Person über die Verwendung wäre grundsätzlich denkbar. Problematisch wird es aber bereits, wenn die Einwilligung zB im Beschäftigungskontext erteilt wird, also zB der Abteilungsleiter anweist, WhatsApp zu verwenden. Außerdem hat die österreichische Rechtsprechung bislang bereits gefordert, dass bei der Einwilligung in die Datenübermittlung in ein „unsicheres“ Drittland auf diesen Umstand hingewiesen wird. Allerdings müsste das Drittland ausgewiesen werden, was schwierig ist, da der Dienst selbst ausweist „die Daten weltweit zu teilen“ vgl die WhatsApp Datenschutzrichtlinie).

11. Sind bei WhatsApp zusätzliche Punkte zu beachten, wenn die Geschäftstätigkeit einer gesetzlichen Verschwiegenheitspflicht unterliegt? zB Rechtsanwalt, Finanz- und Bankwesen

Diese Punkte sollten jedenfalls bei der Überlegung, den Dienst zu verwenden oder nicht, eine Rolle spielen. Die Frage ist, ob allfällige Zugriffs- oder Weitergaberechte des Unternehmens Ihrer allfälligen Verschwiegenheitspflicht widersprechen. Das ist allerdings berufsrechtlich und nicht datenschutzrechtlich abzuklären. Zur Frage der datenschutzrechtlichen Zulässigkeit des Messengerdienstes vgl Frage 7.

12. Ich erhalte alle Daten über Facebook, was muss ich da beachten?

Es ist leider nicht klar, was mit „alle Daten über Facebook“ zu erhalten gemeint ist. Es wird sich wohl die Frage nach der Rechtmäßigkeit der Datenverarbeitung stellen, dh es kann nicht schlichtweg davon ausgegangen werden, ausschließlich deshalb, weil Daten auf Facebook veröffentlicht sind, könnte man mit diesen „tun, was man will“. 

13. Stimmt es, dass Direktansprache via Xing und LinkedIn durch die DSGVO nicht mehr möglich ist?

Die DSGVO enthält hierzu keine speziellen Regelungen. Plattformen regeln die jeweilige Kontaktmöglichkeit über die Plattform üblicherweise in deren Nutzungsbedingungen. 

14. Darf man als Personalberater Kandidaten weiterhin über Xing und Linkedin kontaktieren und diesen bei Interesse Jobs anbieten?

Die Kontaktaufnahme über die Plattform selbst richtet sich nach den Nutzungsbedingungen dieser Plattformen. Nur, weil eine Mailadresse dort veröffentlicht ist, heißt das aber zB nicht, dass Sie denjenigen per E-Mail kontaktieren dürfen. 

15. Wie sieht es mit der Einbindung von Social Media-Plug-Ins auf Webseiten aus, zB Facebook-Like-Button?

Eine Einbindung ist nach wie vor möglich, allerdings ist über diese in der Datenschutzerklärung auf der Website zu informieren. Es liegt hier nach neuster EuGH Judikatur eine „gemeinsame Verantwortung“ mit dem Social Network (in diesem Fall Facebook) vor, weshalb sowohl ein Vertrag über diese gemeinsame Verantwortung abgeschlossen werden muss (vgl am Bsp Facebook: https://www.facebook.com/legal/terms/page_controller_addendum) und auch über diesen auf der eigenen Website in der Datenschutzerklärung informiert werden muss. Weiters ist darauf zu achten, dass keine Datenweitergabe durch das PlugIn erfolgt, ohne dass der Nutzer davon weiß bzw dieser Weitergabe zugestimmt hat (zu den technischen Lösungen vgl Frage 5).

16. Wie sieht es mit Google Analytics aus?

Google Analytics ist ein Trackingtool, über welches zu informieren ist, Näheres hierzu finden Sie auf der WKO-Infoseite zum Thema.

17. Was ist beim Einsatz von Firmenhandys zu beachten?

Sie müssen darauf achten die Bestimmungen des Datenschutzrechts einzuhalten. Ein Handy kann leicht abhandenkommen, hier sind als Mindeststandards PIN-Eingabe oder uU auch Verschlüsselung von Daten zu nennen, bei Diebstahl ist die Möglichkeit der Fernlöschung durch eine Sicherheits-App empfehlenswert. Bei der Datenaufbewahrung zu Hause ist zb auf räumliche Trennung der Datensicherung zu achten um bspw. bei Feuerschaden weiterhin auf diese zugreifen zu können. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter www.it-safe.at verschaffen. Informationen dazu finden Sie im IT-Sicherheitshandbuch für KMU.

18. Wie muss mit öffentlich zugänglichen Daten umgegangen werden. Bei Facebook stellen Personen Daten öffentlich zur Verfügung. Darf mit diesen Daten gearbeitet werden, ohne den User um seine Einwilligung zu bitten?

Es gibt in der DSGVO bei schlicht personenbezogenen Daten keine weitergehende Verarbeitungsmöglichkeit für veröffentlichte Daten. Allerdings kann vermutlich einfacher mit einem berechtigten Interesse argumentiert werden. Veröffentlichte Daten sind allerdings kein „Freiwild“.

19. Wenn ich in meiner Datenschutzerklärung darauf hinweise, dass ich Dropbox nutze ist es ok, oder?

Dadurch wird es nicht „zulässiger“. Die Frage ist, ob Dropbox als zuverlässiger Auftragsverarbeiter gilt und das ist entsprechend zu prüfen (die Stellungnahme von Dropbox zur DSGVO bzw. Dropbox über seinen Leitfaden zu Sicherheit, Compliance und Datenschutz).