Die DSGVO betrifft Social Media stärker als viele Teams denken: Kommentare, Ads, Analytics, Fotos und Tools. Erfahre die wichtigsten Pflichten wie AVV, Drittlandtransfer, Verarbeitungsverzeichnis, rechtssicheres Targeting sowie Einwilligungen – plus Kriterien für DSGVO-konforme Tool-Auswahl und saubere Zugriffsrechte.
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft – und noch immer unterschätzen viele Marketing-Teams, wie umfassend sie auch ihre Social-Media-Arbeit betrifft. Es geht nicht nur um Cookies und Newsletter. Es geht um jeden Post, jeden Kommentar, jede Kampagne und jedes Tool, das dabei eingesetzt wird.
Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden. Im Social-Media-Marketing passiert das ständig:
• Kommentare und Nachrichten enthalten personenbezogene Daten der Nutzer.
• Analytics-Tools verarbeiten Nutzerverhalten und -demografie.
• Werbeanzeigen nutzen personenbezogene Daten für Targeting.
• Community-Management beinhaltet die Verarbeitung von Nutzerdaten.
• Social-Media-Tools speichern Zugangsdaten, Inhalte und Protokolle.
• Fotos, auf denen Personen erkennbar sind, sind personenbezogene Daten.
1. Auftragsverarbeitungsvertrag (AVV)
Sobald ein externes Tool personenbezogene Daten im Auftrag des Unternehmens verarbeitet – und das tut jedes Social-Media-Management-Tool –, ist nach Art. 28 DSGVO ein Auftragsverarbeitungsvertrag (AVV) verpflichtend. Ohne AVV ist die Nutzung des Tools ein DSGVO-Verstoß.
Beim Einsatz einer externen Agentur gilt dasselbe: Die Agentur verarbeitet im Auftrag des Unternehmens personenbezogene Daten. Ohne AVV mit der Agentur ist das rechtswidrig.
2. Serverstandort und Drittlandübermittlung
Tools mit Servern außerhalb der EU – insbesondere in den USA – stellen eine Drittlandübermittlung nach Art. 44 ff. DSGVO dar. Das ist nicht automatisch verboten, erfordert aber zusätzliche rechtliche Absicherungen (Standardvertragsklauseln, Adequacy Decision). Im Zweifel gilt: Europäische Server sind sicherer.
3. Verarbeitungsverzeichnis nach Art. 30 DSGVO
Alle Verarbeitungstätigkeiten müssen in einem Verarbeitungsverzeichnis dokumentiert sein – auch Social-Media-Aktivitäten. Welche Daten werden verarbeitet? Zu welchem Zweck? Wie lange werden sie gespeichert? Welche Tools werden eingesetzt?
4. Datenschutz bei Werbeanzeigen
Personalisiertes Targeting mit Kundendaten (Custom Audiences) oder Lookalike Audiences ist nur zulässig, wenn eine rechtmäßige Grundlage existiert. Die Nutzung von E-Mail-Adressen für Werbezwecke ohne explizite Einwilligung ist in der Regel unzulässig.
5. Fotos und Videos von Personen
Das Veröffentlichen von Fotos, auf denen Personen erkennbar sind, bedarf deren Einwilligung – Mitarbeitende, Kunden, Veranstaltungsteilnehmer. Ohne Einwilligung ist die Veröffentlichung ein DSGVO-Verstoß.
Hinweis: Dieser Artikel ist keine Rechtsberatung. Für konkrete rechtliche Fragen sollte immer ein spezialisierter Datenschutzbeauftragter oder Rechtsanwalt hinzugezogen werden.
• Serverstandort: Sind die Server in der EU oder in einem Land mit angemessenem Datenschutzniveau?
• AVV vorhanden: Bietet der Anbieter einen DSGVO-konformen AVV an?
• ISO 27001 oder vergleichbare Zertifizierung: Zeigt strukturierte Sicherheitsmaßnahmen.
• Datenlöschung: Kann der Anbieter Daten auf Anfrage vollständig und nachweisbar löschen?
• Zugriffsrechte: Wer beim Anbieter kann auf eure Daten zugreifen?
DSGVO Art. 25 fordert Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen. Das bedeutet für Social-Media-Tools: Zugriffsrechte sollten von vornherein minimal konfiguriert sein. Nicht jeder im Team braucht Zugang zu Analytics, Kundendaten oder Kampagneninformationen.
Das Principle of Least Privilege ist damit direkt aus der DSGVO ableitbar.
Luceena speichert Daten auf europäischen Servern, bietet einen DSGVO-konformen AVV und ist ISO 27001-zertifiziert – damit ist die Tool-Auswahl selbst bereits ein Beitrag zur DSGVO-Compliance.
Die DSGVO ist im Social-Media-Marketing allgegenwärtig – ob es das Team wahrhaben will oder nicht. Die gute Nachricht: Wer die wichtigsten Punkte kennt und in seinen Prozessen berücksichtigt, ist gut aufgestellt. Der Aufwand ist überschaubar, die Risiken des Ignorierens sind es nicht.