Blog

Sebastian hat mich neulich darauf angesprochen, ob Unternehmen Daten aus sozialen Netzwerken, z.B. Tweets, Beiträge auf der FanPage etc. sichern müssen / sollen / dürfen? Eine spannende Frage, die man im ersten Reflex sarkastisch lächelnd mit der Phrase „Es wäre sicherlich keine schlechte Idee“, beantworten möchte. Diese Antwort ist zwar nicht grundlegend falsch, aber im Detail ähnlich komplex wie die Gleichung E=mc2.

Gibt es eine (gesetzliche) Pflicht zur Datensicherung?

Bedenkt man die Unmengen an Daten, die tagtäglich produziert werden und welchen Wert zumindest ein Teil dieser Daten für Unternehmen hat, ist die Frage ob man Daten sichern SOLLTE, nach meiner ganz subjektiven Meinung rein rhetorisch.

Daneben stellt sich jedoch die Frage, ob es neben dem ureigenen Interesse an der Datensicherung auch eine gesetzliche Pflicht zur Datensicherung gibt. Um die Antwort vorweg zu nehmen: Ja!
In diversen Gesetzen, so z.B.

• dem Handelsrecht
• dem Aktienrecht
• speziell geschaffenen Verwaltungsvorschriften GDPdU, GoBS

findet sich die Pflicht, bestimmte Daten, insbesondere buchhaltungsrelevante Daten nach ganz bestimmten Kriterien zu sichern.

Besonderer Beachtung bedarf dabei der weitreichende §91 Abs. 2 AktG. Diese Vorschrift enthält zwar keine ausdrückliche Pflicht zur Sicherung von Daten oder gar Daten aus sozialen Netzwerken, verpflichtet den Vorstand aber alle Maßnahmen zu treffen, um

„den Fortbestand der Gesellschaft gefährdende Entwicklungen zu erkennen.“

Das beinhaltet AUCH die Pflicht zur ordnungsgemäßen Datensicherung und umfasst im Gegensatz zu HGB, GDPdU und GoBS nicht nur buchhaltungsrelevante Daten, sondern alle unternehmenskritischen Daten.

Eine weitere Besonderheit ist die Tatsache, dass die wesentlichen Pflichten, die sich aus dieser Vorschrift ergeben nach dem Willen des Gesetzgebers nicht allein den Vorstand von Aktiengesellschaften treffen, sondern auch die Geschäftsführung anderer Rechtsformen, egal ob Personen- oder Kapitalgesellschaft.

Daneben kann sich die Pflicht zur Datensicherung auch aus privatrechtlichen Verträgen, so z.B. Webhosting Verträgen ergeben.

Ergibt sich daraus die (gesetzliche) Pflicht zur Datensicherung in sozialen Netzwerken?

Wie so häufig lautet die Antwort: „Es kommt darauf an“. Konkret darauf wie und in welchem Umfang soziale Netzwerke im Unternehmen genutzt werden und welche Daten dort generiert bzw. vorgehalten werden.

Das Gros der oben genannten Vorschriften dient vor Allem der revisionssicheren Archivierung buchhaltungsrelevanter Daten, wie Angebote, Auftragsbestätigungen und Rechnungen.
Natürlich verschickt kaum ein Unternehmen Rechnungen via Twitter oder Facebook. Allerdings kann man sich gut vorstellen, dass Unternehmen, die via Twitter oder Facebook Service & Support leisten z.B. Rabatte oder Kulanzleistungen gewähren, die selbstverständlich buchhaltungsrelevant sind.

Apropos Service & Support: Unternehmen, die über ein zertifiziertes Qualitätsmanagement verfügen, verpflichten sich in aller Regel selbst zur Dokumentation gewisser Prozesse. Dazu gehört in aller Regel auch Kundenservice und -support. Wird der Kundenservice und –support (auch) über soziale Netzwerke abgewickelt, muss auch dies entsprechend dokumentiert sein.

Astroturfing, Shitstorms, Trolls & Cybermobbing

Unabhängig von der Pflicht zur Datensicherung kann die Archivierung von Daten aus sozialen Netzwerken sinnvoll sein, um die eigene Rechtsposition zu stärken. In diesem Zusammenhang denke ich vor Allem an die dunkle Seite des Social Web in Form von Astroturfing, Shitstorms und Trollen.

Man kann sich – auch mit mir – gut darüber streiten ob und in welchem Umfang es erfolgversprechend ist, juristisch gegen Trollattacken, Shitstorms oder Cybermobbing vorzugehen. In den Fällen, in denen man sich dazu entscheidet juristische Maßnahmen zu ergreifen, sollte man jedoch gut gewappnet sein und vor Allem über ausreichend belastbares Beweismaterial verfügen, um etwaige Strafanzeigen bzw. Unterlassungsansprüche zu stützen.

Darf man Daten aus sozialen Netzwerken sichern?

Auch diese Frage lässt sich nicht pauschal mit Ja oder Nein beantworten. Die Antwort auf die Frage hängt in weiten Teilen davon ab, welche Daten wie gespeichert werden. Die ausufernde Diskussion über die datenschutzrechtlichen Bedenken zum „Like-Button“ zeigt sehr gut, wie brisant und risikoreich die Speicherung und Verarbeitung personenbezogener Daten ist. Dabei lässt sich sicherlich nur schwer darüber streiten, dass bei einem Backup einer FanPage oder einer Twitter-Timeline auch personenbezogene Daten gespeichert werden.

So bietet z.B. der Onlineservice Backupify die Möglichkeit sehr umfangreich Daten einer FanPage oder des Twitter Streams zu archivieren.

Nach den Angaben von Backupify können bei einer FanPage u.a. The Page’s Friends und bei Twitter u.a. Followers und Friends archiviert werden. Da diese Daten über den jeweiligen Benutzeraccount bei Facebook oder Twitter in aller Regel einer bestimmten Person zugeordnet werden können, handelt es sich um personenbezogene Daten, die unter den Schutz des Bundesdatenschutzgesetzes (BDSG) fallen. Das macht ein Backup natürlich nicht unmöglich, allerdings sind bei der Speicherung personenbezogener Daten die Vorgaben des BDSG zu beachten.

Eine besondere Herausforderung ist dabei die Tatsache, dass Backupify für die Speicherung die Amazon Cloud (Amazon S3 Server) verwendet, wobei es keine Erkenntnisse darüber gibt welchen S3 Serverstandort Backupify verwendet, so dass Daten ggf. ganz oder teilweise außerhalb der europäischen Gemeinschaft und des europäischen Wirtschaftsraums gespeichert werden.

Auch die Übermittlung von Daten an Stellen außerhalb der EU bzw. des EWR sind nicht unmöglich unterliegen aber zusätzlichen Anforderungen. So muss sichergestellt werden, dass in dem Land, in welche die Daten übermittelt werden ein angemessenes Datenschutzniveau herrscht, was z.B. für die USA – außerhalb des SafeHarbor Abkommens – nicht der Fall ist.

Und sonst so?

Neben datenschutzrechtlichen Aspekten sollte man auch den einen oder anderen Gedanken an Urheberrechte verschwenden, denn letztendlich können über Dienste wie Backupify auch Kopien von urheberrechtlich geschütztem Material erstellt werden. So umfasst das Backup einer FanPage nach aktuellem Stand z.B. auch Fotos und Videos, auf denen die FanPage getagged wurde.

Zwar räumen Nutzer die Fotos, Texte oder Videos auf Facebook zur Verfügung stellen Facebook und auch den anderen Nutzern das Recht zur Nutzung ein. Mangels konkreterer Angaben wird man aber davon ausgehen müssen, dass diese Lizenz nur soweit reicht, wie dies für die Nutzung von Facebook erforderlich ist.

To cut a long story short:

Es bleibt dabei: Es ist sicher keine schlechte Idee, Backups von Daten in sozialen Netzwerken zu erstellen. Für einige Anwender, vor Allem Unternehmen besteht – je nach konkreter Verwendung – sogar die Pflicht bestimmte Daten zu archivieren. Gleichzeitig sollte man bei der Auswahl der Backup-Tools ebenso wie bei der Auswahl der Daten, die gesichert werden sollen sehr umsichtig vorgehen und prüfen, ob die gefundenen Lösungen mit den in Deutschland geltenden Gesetzen harmonieren. Dabei kann man nur schwer verschweigen, dass sich auch an diesem Thema zeigt, dass die kommerzielle Nutzung des Social Web in Deutschland ein wilder Tanz auf dem Drahtseil ist.

Das liegt nicht unbedingt an falschen oder mangelhaften juristischen Rahmenbedingungen, sondern ist dem Umstand geschuldet, dass das Gros der Netzwerke, Apps und sonstigen Services aus den USA herüberschwappt, so dass für die Anbieter selbstverständlich das Rechtssystem der USA maßgebend ist.

***********************************
Der Autor Bernhard Kelz ist Rechtsanwalt bei der Kanzlei Arnold in Dresden und bearbeitet dort IT- & Medienrecht, Wettbewerbsrecht und Vertragsrecht. Außerdem bloggt er über das “Recht (un)komplizierte Leben”. Die Kanzlei veranstaltet aktuell interessante Vorträge zum Thema e-Commerce.