Abschätzung der Folgen der Nutzung von Social Media durch die IHK Karlsruhe

Das Social Media-Angebot der IHK Karlsruhe umfasst die Kanäle Facebook, Instagram, Twitter, XING, LinkedIn und Youtube. Hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht aufgrund des nur sehr geringen Umfangs der eigenen Datenverarbeitung nicht (vgl. Datenschutzerklärung), insbesondere im Hinblick darauf, dass es sich bei den Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Inhalt der Beiträge).

Jedoch stellt aus Sicht des LfDI die Social Media-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die Betreiber der Netzwerke zu Werbezwecken u. Ä., eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Denn durch die Nutzung eines oder mehrerer Social Media-Accounts begibt sich der jeweilige Nutzer unter die systematische Beobachtung durch den Betreiber. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Nutzer und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Beiträgen ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers.

Dies gilt umso mehr, als dass die Betreiber von Social Media-Kanälen nicht oder nur eingeschränkt überprüft werden können. Da die Daten deutscher Nutzer bei ausländischen Betreibern nicht innerhalb Deutschlands, sondern am Sitz des jeweiligen Unternehmens verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.

Der LfDI geht insofern davon aus, dass öffentliche Stellen, die ein Soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Daher hat er öffentlichen Stellen zur Vorgabe gemacht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, vergleichbar mit der Datenschutzfolgenabschätzung nach Art. 35 DSGVO (vgl. dazu die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch Öffentliche Stellen).

Mitverantwortung bedeutet, dass die Risiken Sozialer Netzwerke bewusst gemacht werden müssen. Aktuell sind die Sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Auf die Risiken, die generell mit der Nutzung Sozialer Medien einhergehen, werden die Nutzer nicht nur in der Datenschutzerklärung hingewiesen, sondern auch durch regelmäßige Aktionen zur Sensibilisierung und Aufklärung auf unserer Homepage und in den Social Media-Kanälen.

Zu diesen Maßnahmen ist die IHK Karlsruhe nach der Richtlinie und ihrem Nutzungskonzept (selbst) verpflichtet, welches Sie hier finden. Vor- und Nachteile der Social Media-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der jeweiligen Betreiber evaluiert.

Die Social Media-Nutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Nutzung stellt sich vor diesem Hintergrund wie folgt dar:

Die eingangs beschriebenen Risiken, die mit einer Nutzung von Social Media einhergehen, bestehen grundsätzlich unabhängig von der eigenen Nutzung der IHK. Auch wird durch die Beiträge der IHK selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.

Schließlich sind die Daten, die durch die Interaktion mit den Social Media-Kanälen der IHK oder anderen Accounts verarbeitet werden – nämlich die Beiträge oder/und der Accountname eines Nutzers – schon frei im Internet verfügbar.

Jedoch werden sie durch das Erscheinen auf den Social Media-Kanälen der IHK und die Wechselbeziehung  einer zielgruppenspezifischeren Öffentlichkeit zur Verfügung gestellt und erreichen bei der angesprochenen Zielgruppe eines Kanals eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.

Auch beim passiven Mitlesen der Seite durch die Nutzer werden Logdaten durch den jeweiligen Kanalbetreiber erhoben. Durch die eigene Social-Media-Nutzung erhöht die IHK also die Menge der Daten, die von den Betreibern verwendet und ausgewertet werden.

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Betreiber der von der IHK genutzten Social Media-Kanäle und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.

Mögen diese Schäden sich bei einer Verursachung durch einen Betreiber selbst als wesentlich darstellen, so werden diese durch die Profile der IHK nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die Betreiber verfügbar. Insbesondere entsteht durch das Angebot der IHK kein Zwang, einen Account in einem oder mehreren Social Media-Kanälen zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten bestehen. Auch sind die vorwiegenden Themen in den Social Media-Kanälen der IHK wie Ausbildung, Berufsorientierung oder Existenzgründung nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass auch insoweit die Eintrittswahrscheinlichkeit eines Schadens nur sehr begrenzt ist.

Insgesamt ist das durch die Social Media-Kanäle der IHK verursachte zusätzliche Risiko daher als gering bis mittel (vgl. dazu das Kurzpapier Nr. 5 der Datenschutzkonferenz zur Datenschutzfolgenabschätzung) einzustufen.

Viele  Maßnahmen kann der Nutzer durch verschiedene Einstellungen selbst vornehmen und sich bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.

Auf diese Möglichkeiten wird die IHK in ihren Sensibilisierungsmaßnahmen, zu denen sie sich in ihrem Nutzungskonzept verpflichtet hat, regelmäßig hinweisen.

Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts.

Die Social Media-Nutzung durch die IHK ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die IHK verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig, mindestens einmal im Jahr zu wiederholen und ggfls. fortzuentwickeln.