TikTok wird zunehmend von Unternehmen genutzt, um ihre Reichweite zu erweitern und neue, vor allem jüngere, Zielgruppen zu erschließen. Doch die Nutzung des sozialen Netzwerks bringt auch Datenschutzrisiken mit sich. Insbesondere Probleme rund um mangelnde Transparenz und mögliche Datentransfers in unsichere Drittländer wie China sorgen für Kritik. Umso wichtiger ist es, gezielte Maßnahmen zu ergreifen, um Datenschutzrisiken beim Einsatz von TikTok in Unternehmen zu minimieren. In diesem Beitrag erläutern wir, welche Aspekte Sie bei der Einrichtung und Verwaltung Ihres Business-Accounts beachten sollten.

Corona-Test

Hintergrund: Was gilt bei der Nutzung von TikTok-Diensten in Unternehmen?

Bei TikTok kann zwischen verschiedenen Business-Produkten unterschieden werden. Der TikTok Business-Account wird verwendet, um Videos auf der Plattform zu veröffentlichen und mit den Besucher:innen zu interagieren. Davon zu unterscheiden sind Marketing-Features wie das TikTok-Pixel und der TikTok Ads-Account, die unter die „TikTok for Business“-Tools fallen. In diesem Beitrag soll es konkret um den TikTok Business-Account gehen. Die Hintergrundinformationen zu den notwendigen Verträgen und zum Drittlandtransfer gelten jedoch grundsätzlich auch für die „TikTok for Business“-Tools.

Welche Datenschutzverträge werden benötigt?

TikTok agiert für bestimmte Leistungen mit dem Betreiber der TikTok-Unternehmenspräsenz als gemeinsam Verantwortliche gemäß Art. 26 DSGVO. Das betrifft insbesondere die Verarbeitung von „Event-Daten“. Dabei handelt es sich um Daten, die bei dem Besuch von TikTok-Präsenzen durch TikTok erhoben und analysiert werden. Unternehmen bekommen auf Basis dieser Daten Insights zu den Besucher:innen ihres Business-Accounts angezeigt. Das Produkt ähnelt sehr den Meta Seiten-Insights, für die der Europäische Gerichtshof im Juni 2018 eine gemeinsame Verantwortlichkeit annahm. Die Wertung des EuGH dürfte daher auch auf die TikTok Event-Daten übertragbar sein. TikTok stellt für diese Datenverarbeitung eine Joint Controller-Vereinbarung gemäß Art. 26 DSGVO zur Verfügung. Die Vereinbarung ist in Part B der Jurisdiction Specific Terms von TikTok enthalten.

Für andere Leistungen agiert TikTok zudem als Auftragsverarbeiter, so zum Beispiel bei der Nutzung von Custom Audiences– und Lead Generation-Funktionalitäten. Der notwendige Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO ist ebenfalls in Part B der Jurisdiction Specific Terms enthalten.

Die Jurisdiction Specific Terms sind Teil der allgemeinen Geschäftsbedingungen von TikTok und gelten automatisch mit Eröffnung eines TikTok Business-Accounts durch ein europäisches Unternehmen. Ein separater Vertragsabschluss ist nicht nötig.

Neuerdings bietet TikTok zudem die Funktion „Kontaktkarten“ („Contact Cards“) an. Für hier hinterlegte Informationen von Nutzenden agiert TikTok ebenfalls als Auftragsverarbeiter. Es existiert ein separater AV-Vertrag für die Kontaktkarten in den separaten Contact Card Terms. Die Terms müssen bei Aktivierung der Kontaktkarten-Funktion separat akzeptiert werden.

Datentransfers in Drittländer – alles geregelt?

Vertragspartner:innen und Anbietende der TikTok Business-Leistungen für europäische Unternehmen sind die TikTok Information Technologies UK Limited mit Sitz in Großbritannien und die TikTok Technology Limited mit Sitz in Irland. Die Unternehmen agieren als gemeinsam Verantwortliche (Joint Controller). Primär werden die personenbezogenen Daten daher lediglich innerhalb der EU bzw. in einem Drittland mit Angemessenheitsbeschluss und somit einem von der EU-Kommission attestierten angemessenem Datenschutzniveau verarbeitet. Datentransfers in Drittländer sind jedoch nicht auszuschließen.

Daher enthält zumindest der AV-Vertrag mit TikTok in den Jurisdiction Specific Terms die EU-Standarddatenschutzklauseln (SCC). Als Datenimporteure fungieren laut Vertrag primär die TikTok Pte. Ltd. mit Sitz in Singapur und die TikTok Inc. mit Sitz in den USA. Allerdings sind auch Transfers an weitere Unternehmen der TikTok-Gruppe umfasst. Auch mit Datentransfers an den Mutterkonzern ByteDance ist daher zu rechnen. Als Datenexporteur fungiert laut Regelungen im Anhang der SCC nicht die europäische Gesellschaft von TikTok, sondern das beauftragende Unternehmen, also die Betreibenden der Unternehmenspräsenz auf TikTok. Unternehmen mit TikTok-Account müssen Datenübermittlungen in Drittländer daher genau prüfen und deren Rechtmäßigkeit sicherstellen. Dies stellt eines der Hauptprobleme bei der Nutzung von TikTok dar, denn eine transparente Aufklärung über die Empfänger und die Prüfung der Angemessenheit von Transfers zu Datenimporteuren ist praktisch, aufgrund fehlender Informationen, unmöglich.

Interessant ist, dass TikTok die SCC nicht in die Joint Controller-Vereinbarung einbezieht. Ob das nun bedeutet, dass keine Datenübermittlungen an Drittländer stattfinden, da nur die europäische und die britische TikTok-Gesellschaft personenbezogene Daten von EU-Bürger:innen verarbeiten, darf zumindest bezweifelt werden. Auch eine Regelung, in der sich TikTok verpflichtet, die SCC eigenständig abzuschließen, um einen möglichen Datentransfer an verbundene Unternehmen in Drittländern zu legitimieren, enthalten die Jurisdiction Specific Terms nicht. An dieser Stelle existiert folglich ein nicht unerhebliches Risikopotenzial.

Unternehmen, die trotz dieser Problematiken eine Präsenz bei TikTok betreiben wollen, sollten sich der vielen Risiken bewusst sein und möglichst viele risikomindernde Maßnahmen implementieren.

Aktuelle Entwicklungen zu Business-Accounts & Social Media haben Sie mit unserem Newsletter im Blick.

Welche Einstellungen sollten im TikTok-Account getroffen werden?

Um die Risiken beim Einsatz von TikTok im Unternehmen zu reduzieren, sollten bestimmte Einstellungen getroffen werden. Datenschutzrechtliche Aspekte sind bereits bei der Erstellung des Accounts zu berücksichtigen.

Erstellung des Unternehmens-Accounts

Bei der Erstellung des Accounts ist zu beachten, dass berufliche Kontaktdaten verwendet werden. Idealerweise wird dabei eine generische E-Mail-Adresse (z.B. info@unternehmen.de) genutzt. Außerdem ist ein sicheres Passwort zu vergeben.

TikTok unterscheidet bei der erstmaligen Erstellung eines Accounts nicht zwischen privaten und beruflichen Accounts. Vielmehr muss erst einmal ein „normaler“ TikTok-Account erstellt werden. Im Anschluss kann der Account über die Profileinstellungen in ein Business-Konto umgewandelt werden.

Corona-Test

Nach Aktivierung des Business-Kontos kann der TikTok-Account über das „Unternehmensdienstzentrum“ verwaltet werden.

Corona-Test

Zur Freischaltung aller Inhalte ist zunächst eine Unternehmensregistrierung nötig. Hierbei sind unter anderem die Umsatzsteuer-ID sowie Dokumente zur Identifikation des Unternehmens anzugeben.

Zugriffsberechtigungen und Account-Sicherheit

Die vollständige Registrierung eines TikTok-Accounts ist nur über ein Smartphone, nicht aber über die Web-App möglich. Nutzen Sie daher nach Möglichkeit ein Unternehmensgerät zur Registrierung, auf dem möglichst wenig personenbezogene Daten gespeichert sind. Verweigern Sie in jedem Fall den Zugriff der TikTok-App auf Ihre Kontakte sowie Ihren Standort und verknüpfen Sie die App nicht mit anderen Social-Media-Plattformen (z.B. Facebook).

Zur Sicherung des TikTok-Accounts sollte die Zwei-Faktor-Authentifizierung aktiviert werden. Dies ist nur über die mobile App möglich. Gehen Sie dazu in Ihrem Profil auf „Einstellungen und Datenschutz“ und dann in den Bereich „Sicherheit und Berechtigungen“.

Corona-Test

Dort können Sie dann die „2-Stufen-Verifizierung“ aktivieren. Als zweiten Faktor können Sie eine Telefonnummer, eine E-Mail-Adresse oder eine Authenticator-App hinterlegen. Achten Sie auch hier darauf, nur geschäftliche und keine privaten Kontaktdaten zu verwenden.

Corona-Test

Einbindung von Impressum und Datenschutzerklärung

Auch in der Unternehmenspräsenz auf TikTok müssen gewisse Pflichtangaben angegeben werden. Das Impressum sowie die Datenschutzerklärung sollten daher immer über das TikTok-Profil abrufbar sein.

Für die Einbindung von Impressum und Datenschutzerklärung bietet TikTok leider – wie die meisten anderen Social-Media-Plattformen – keine direkte Möglichkeit. Sogar die Angabe eines Direktlinks im Profil ist erst ab 1.000 Follower:innen möglich. Zur bestmöglichen Erfüllung der gesetzlichen Pflichten bleibt daher zunächst nur ein Workaround über die Verlinkung in der Profil-Biografie. Um den begrenzten Platz in der Biografie bestmöglich auszunutzen, erstellen Sie am besten eine allgemeine Landingpage, über die das Impressum und die Datenschutzerklärung abgerufen werden können. Ein Beispiel für eine solche Landingpage finden Sie unter: https://www.datenschutzkanzlei.de/pflichtangaben/.

Die URL können Sie dann in Ihrem TikTok-Profil hinterlegen. Gehen Sie dazu einfach auf „Profil bearbeiten“ und nutzen Sie den Freitextfeld „Biografie“.

Corona-Test
Corona-Test

Sie brauchen rechtliche Unterstützung bei den Einstellungen Ihres TikTok Business-Accounts? Melden Sie sich gerne hier.

Sofern Ihr Account die Schwelle von 1.000 Follower:innen überschritten hat, kann die URL als anklickbarer Link im Profil hinterlegt werden.

Umgang mit Direktnachrichten

Über TikTok haben Nutzer:innen die Möglichkeit, Unternehmen über Direktnachrichten anzusprechen. Zur Verwaltung von Direktnachrichten steht Unternehmensnutzer:innen im Business-Konto ein Nachrichtenportal zur Verfügung.

TikTok bietet in diesem Kontext die Möglichkeit, automatische Nachrichten zu versenden. Möglich ist dabei auch die Einstellung einer Begrüßungsnachricht als Antwort auf eine Direktnachricht von Nutzer:innen. Diese Funktion kann verwendet werden, um die Nutzer:innen nochmals direkt auf die Datenschutzinformationen hinzuweisen und so die Informationspflichten gemäß Art. 13 DSGVO zu erfüllen. Alternativ kann in der Begrüßungsnachricht auch ein Verweis auf die gesamten Pflichtangaben, inklusive des Impressums, eingebunden werden.

Corona-Test

TikTok bietet darüber hinaus erweiterte Möglichkeiten zur Kontakt- und Nachrichtenverwaltung. So können insbesondere weitere Informationen zu den jeweiligen anfragenden Personen im TikTok-Account hinterlegt werden, wie zum Beispiel der Name oder die E-Mail-Adresse der Person.

Corona-Test

An dieser Stelle ist zunächst Vorsicht geboten. TikTok sollte nicht als Ersatz für ein CRM-System verwendet werden. Zusätzliche personenbezogene Daten sollten nur hinterlegt werden, wenn dies für die Beantwortung von Anfragen erforderlich ist. Eine Erforderlichkeit wird jedoch im Regelfall nicht gegeben sein. Beachten Sie zudem, dass Informationen, die an dieser Stelle im TikTok-Account hinterlegt werden, auch im Falle einer Auskunft berücksichtigt werden müssen.

Unternehmen müssen zudem sicherstellen, dass beantwortete Anfragen entsprechend der im Löschkonzept dokumentierten Fristen auch im TikTok-Account gelöscht werden. Die Löschung von Nachrichten ist über das Nachrichtenportal möglich. Aufbewahrungspflichtige Kommunikation (z.B. Geschäftsbriefe im Sinne der § 147 AO bzw. § 257 HGB) sollte nach Möglichkeit nicht im TikTok-Kanal stattfinden, um den Aufbewahrungsgrundsätzen zu genügen.

Fazit

Die Nutzung von TikTok bringt für Unternehmen unweigerlich Datenschutzrisiken mit sich, die nur schwer vollständig zu lösen sind. Um diese Risiken zu minimieren, ist es wichtig, die in diesem Beitrag beschriebenen Maßnahmen konsequent umzusetzen. Dies umfasst die korrekte Einrichtung des Business-Accounts, die Erfüllung von Informationspflichten nach Art. 13 DSGVO und der sorgfältige Umgang mit personenbezogenen Daten, insbesondere im Nachrichtenportal.

 

Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse