Wir bloggen über alles, was uns bewegt. Von Fußnoten bis Fußball, von Kant bis Rant.


Gastbeitrag: RA Bernhard Kelz über Backups sozialer Netzwerke

, 20.01.2012,

Share Button

Sebastian hat mich neulich darauf angesprochen, ob Unternehmen Daten aus sozialen Netzwerken, z.B. Tweets, Beiträge auf der FanPage etc. sichern müssen / sollen / dürfen? Eine spannende Frage, die man im ersten Reflex sarkastisch lächelnd mit der Phrase „Es wäre sicherlich keine schlechte Idee“, beantworten möchte. Diese Antwort ist zwar nicht grundlegend falsch, aber im Detail ähnlich komplex wie die Gleichung E=mc2.

Gibt es eine (gesetzliche) Pflicht zur Datensicherung?

Bedenkt man die Unmengen an Daten, die tagtäglich produziert werden und welchen Wert zumindest ein Teil dieser Daten für Unternehmen hat, ist die Frage ob man Daten sichern SOLLTE, nach meiner ganz subjektiven Meinung rein rhetorisch.

Daneben stellt sich jedoch die Frage, ob es neben dem ureigenen Interesse an der Datensicherung auch eine gesetzliche Pflicht zur Datensicherung gibt. Um die Antwort vorweg zu nehmen: Ja!
In diversen Gesetzen, so z.B.

• dem Handelsrecht
• dem Aktienrecht
• speziell geschaffenen Verwaltungsvorschriften GDPdU, GoBS

findet sich die Pflicht, bestimmte Daten, insbesondere buchhaltungsrelevante Daten nach ganz bestimmten Kriterien zu sichern.

Besonderer Beachtung bedarf dabei der weitreichende §91 Abs. 2 AktG. Diese Vorschrift enthält zwar keine ausdrückliche Pflicht zur Sicherung von Daten oder gar Daten aus sozialen Netzwerken, verpflichtet den Vorstand aber alle Maßnahmen zu treffen, um

den Fortbestand der Gesellschaft gefährdende Entwicklungen zu erkennen.

Das beinhaltet AUCH die Pflicht zur ordnungsgemäßen Datensicherung und umfasst im Gegensatz zu HGB, GDPdU und GoBS nicht nur buchhaltungsrelevante Daten, sondern alle unternehmenskritischen Daten.

Eine weitere Besonderheit ist die Tatsache, dass die wesentlichen Pflichten, die sich aus dieser Vorschrift ergeben nach dem Willen des Gesetzgebers nicht allein den Vorstand von Aktiengesellschaften treffen, sondern auch die Geschäftsführung anderer Rechtsformen, egal ob Personen- oder Kapitalgesellschaft.

Daneben kann sich die Pflicht zur Datensicherung auch aus privatrechtlichen Verträgen, so z.B. Webhosting Verträgen ergeben.

Ergibt sich daraus die (gesetzliche) Pflicht zur Datensicherung in sozialen Netzwerken?

Wie so häufig lautet die Antwort: „Es kommt darauf an“. Konkret darauf wie und in welchem Umfang soziale Netzwerke im Unternehmen genutzt werden und welche Daten dort generiert bzw. vorgehalten werden.

Das Gros der oben genannten Vorschriften dient vor Allem der revisionssicheren Archivierung buchhaltungsrelevanter Daten, wie Angebote, Auftragsbestätigungen und Rechnungen.
Natürlich verschickt kaum ein Unternehmen Rechnungen via Twitter oder Facebook. Allerdings kann man sich gut vorstellen, dass Unternehmen, die via Twitter oder Facebook Service & Support leisten z.B. Rabatte oder Kulanzleistungen gewähren, die selbstverständlich buchhaltungsrelevant sind.

Apropos Service & Support: Unternehmen, die über ein zertifiziertes Qualitätsmanagement verfügen, verpflichten sich in aller Regel selbst zur Dokumentation gewisser Prozesse. Dazu gehört in aller Regel auch Kundenservice und -support. Wird der Kundenservice und –support (auch) über soziale Netzwerke abgewickelt, muss auch dies entsprechend dokumentiert sein.

Astroturfing, Shitstorms, Trolls & Cybermobbing

Unabhängig von der Pflicht zur Datensicherung kann die Archivierung von Daten aus sozialen Netzwerken sinnvoll sein, um die eigene Rechtsposition zu stärken. In diesem Zusammenhang denke ich vor Allem an die dunkle Seite des Social Web in Form von Astroturfing, Shitstorms und Trollen.

Man kann sich – auch mit mir – gut darüber streiten ob und in welchem Umfang es erfolgversprechend ist, juristisch gegen Trollattacken, Shitstorms oder Cybermobbing vorzugehen. In den Fällen, in denen man sich dazu entscheidet juristische Maßnahmen zu ergreifen, sollte man jedoch gut gewappnet sein und vor Allem über ausreichend belastbares Beweismaterial verfügen, um etwaige Strafanzeigen bzw. Unterlassungsansprüche zu stützen.

Darf man Daten aus sozialen Netzwerken sichern?

Auch diese Frage lässt sich nicht pauschal mit Ja oder Nein beantworten. Die Antwort auf die Frage hängt in weiten Teilen davon ab, welche Daten wie gespeichert werden. Die ausufernde Diskussion über die datenschutzrechtlichen Bedenken zum „Like-Button“ zeigt sehr gut, wie brisant und risikoreich die Speicherung und Verarbeitung personenbezogener Daten ist. Dabei lässt sich sicherlich nur schwer darüber streiten, dass bei einem Backup einer FanPage oder einer Twitter-Timeline auch personenbezogene Daten gespeichert werden.

So bietet z.B. der Onlineservice Backupify die Möglichkeit sehr umfangreich Daten einer FanPage oder des Twitter Streams zu archivieren.

Nach den Angaben von Backupify können bei einer FanPage u.a. The Page’s Friends und bei Twitter u.a. Followers und Friends archiviert werden. Da diese Daten über den jeweiligen Benutzeraccount bei Facebook oder Twitter in aller Regel einer bestimmten Person zugeordnet werden können, handelt es sich um personenbezogene Daten, die unter den Schutz des Bundesdatenschutzgesetzes (BDSG) fallen. Das macht ein Backup natürlich nicht unmöglich, allerdings sind bei der Speicherung personenbezogener Daten die Vorgaben des BDSG zu beachten.

Eine besondere Herausforderung ist dabei die Tatsache, dass Backupify für die Speicherung die Amazon Cloud (Amazon S3 Server) verwendet, wobei es keine Erkenntnisse darüber gibt welchen S3 Serverstandort Backupify verwendet, so dass Daten ggf. ganz oder teilweise außerhalb der europäischen Gemeinschaft und des europäischen Wirtschaftsraums gespeichert werden.

Auch die Übermittlung von Daten an Stellen außerhalb der EU bzw. des EWR sind nicht unmöglich unterliegen aber zusätzlichen Anforderungen. So muss sichergestellt werden, dass in dem Land, in welche die Daten übermittelt werden ein angemessenes Datenschutzniveau herrscht, was z.B. für die USA – außerhalb des SafeHarbor Abkommens – nicht der Fall ist.

Und sonst so?

Neben datenschutzrechtlichen Aspekten sollte man auch den einen oder anderen Gedanken an Urheberrechte verschwenden, denn letztendlich können über Dienste wie Backupify auch Kopien von urheberrechtlich geschütztem Material erstellt werden. So umfasst das Backup einer FanPage nach aktuellem Stand z.B. auch Fotos und Videos, auf denen die FanPage getagged wurde.

Zwar räumen Nutzer die Fotos, Texte oder Videos auf Facebook zur Verfügung stellen Facebook und auch den anderen Nutzern das Recht zur Nutzung ein. Mangels konkreterer Angaben wird man aber davon ausgehen müssen, dass diese Lizenz nur soweit reicht, wie dies für die Nutzung von Facebook erforderlich ist.

To cut a long story short:

Es bleibt dabei: Es ist sicher keine schlechte Idee, Backups von Daten in sozialen Netzwerken zu erstellen. Für einige Anwender, vor Allem Unternehmen besteht – je nach konkreter Verwendung – sogar die Pflicht bestimmte Daten zu archivieren. Gleichzeitig sollte man bei der Auswahl der Backup-Tools ebenso wie bei der Auswahl der Daten, die gesichert werden sollen sehr umsichtig vorgehen und prüfen, ob die gefundenen Lösungen mit den in Deutschland geltenden Gesetzen harmonieren. Dabei kann man nur schwer verschweigen, dass sich auch an diesem Thema zeigt, dass die kommerzielle Nutzung des Social Web in Deutschland ein wilder Tanz auf dem Drahtseil ist.

Das liegt nicht unbedingt an falschen oder mangelhaften juristischen Rahmenbedingungen, sondern ist dem Umstand geschuldet, dass das Gros der Netzwerke, Apps und sonstigen Services aus den USA herüberschwappt, so dass für die Anbieter selbstverständlich das Rechtssystem der USA maßgebend ist.

***********************************
Der Autor Bernhard Kelz ist Rechtsanwalt bei der Kanzlei Arnold in Dresden und bearbeitet dort IT- & Medienrecht, Wettbewerbsrecht und Vertragsrecht. Außerdem bloggt er über das “Recht (un)komplizierte Leben”. Die Kanzlei veranstaltet aktuell interessante Vorträge zum Thema e-Commerce.


Share Button

Über den Autor

Sebastian ist Creative Director und kommt ursprünglich aus der Musikbranche, wo er sich sehr früh der Arbeit mit social networks gewidmet hat. Bevor er zu den Frischen Fischen stieß, hat der studierte Betriebswirt fünf Jahre für die Mobile Marketing Agentur Goyya Kampagnen konzipiert und betreut.


4 Kommentare



  • Bernhard

    Hallo Jan,

    das ist fast korrekt. Es kommt – wie oben schon beschrieben – auf Art und Umfang der Daten an, die dort anfallen. Telekom_hilft habe ich neulich selbst in Anspruch genommen. Dabei wurde ich bereits nach dem dritten Tweet gebeten mich per Mail zu melden. Die weitere Abwicklung erfolgte ausschließlich via Mail. Die Tweets beschränkten sich auf Fehlerzuordnung (worum geht es), tut uns leid, wir kümmern uns darum, bitte schreiben Sie uns eine E-Mail.

    Diese Daten sind weder buchhalterisch relevant, noch unternehmenskritisch, über Twitter erfolgte letztendlich nur der Erstkontakt. Der “2nd-Level” Support wurde vollständig per Mail abgewickelt. Ich darf dabei davon ausgehen, dass der Mailverkehr ordnungsgemäß dokumentiert und gesichert wurde.

    Lässt sich dieses System in allen Fällen durchhalten, ohne dass über Twitter Daten anfallen, die zwingend zu sichern oder zu dokumentieren sind, kann ich mir gut vorstellen, dass ein Backup des Twitterstreams nicht zwingend erforderlich ist.

    Das stellt jedoch sehr hohe Anforderung an die Ausbildung der Mitarbeiter, die über Twitter Support leisten und ist immer mit der Unsicherheit versehen, dass einem von Kunden ggf. Informationen aufgedrängt werden, die man über Twitter gar nicht haben möchte.


  • Jan

    Sehr interessant! Unternehmen also, die Servicedienstleistungen per Facebook und Twitter offerieren und abwickeln, sind damit in der Pflicht, diese Kommunikation zu speichern (Telekom hilft, Deutsche Bahn….etc.)? Ist das richtig?

  • Ich archiviere bisher nur alle eigenen Postings. Um einen Workflow in Intervallen zu ermöglichen, nutze ich dazu die Zusendung der Postings per Hyper Alert.

    Alleine im Hinblick auf die Recherche für neue Mitarbeiter sollten Unternehmen wenigstens eine Excel mit eigenen Postings pflegen. Nicht, dass man sich noch wiederholt…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.