Datenschutzfolgeabschätzung / Risikoanalyse für Nutzung der Social Media

Das Social Media-Angebot der IHK Hochrhein-Bodensee besteht aus den Kanälen Facebook, Twitter, Xing, LinkedIn, Instagram, YouTube. Hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht aufgrund des nur sehr geringen Umfangs der eigenen Datenverarbeitung nicht (vgl. Datenschutzerklärung), insbesondere im Hinblick darauf, dass es sich bei den Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Inhalt der Beiträge).  

Jedoch stellt aus Sicht des LfDI die Social Media-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die Betreiber der Netzwerke zu Werbezwecken u. Ä., eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Denn durch die Nutzung eines Social Media-Accounts begibt sich der jeweilige Nutzer unter die systematische Beobachtung durch den Betreiber. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Nutzer und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Beiträgen ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers. 

Dies gilt umso mehr, als dass die Betreiber von Social Media-Kanälen nicht oder nur eingeschränkt überprüft werden können. Da die Daten deutscher Nutzer bei ausländischen Betreibern nicht innerhalb Deutschlands, sondern am Sitz des jeweiligen Unternehmens verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.  

Der LfDI geht insofern davon aus, dass öffentliche Stellen, die ein Soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Daher hat er öffentlichen Stellen zur Vorgabe gemacht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, vergleichbar mit der Datenschutzfolgenabschätzung nach Art. 35 DSGVO (vgl. dazu die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch Öffentliche Stellen). 

Mitverantwortung bedeutet, dass die Risiken Sozialer Netzwerke bewusst gemacht werden müssen. Aktuell sind die Sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Auf die Risiken, die generell mit der Nutzung Sozialer Medien einhergehen, werden die Nutzer nicht nur in der Datenschutzerklärung hingewiesen, sondern auch durch regelmäßige Aktionen zur Sensibilisierung und Aufklärung auf unserer Homepage und auf Facebook. 

Zu diesen Maßnahmen ist die IHK Hochrhein-Bodensee nach der Richtlinie und ihrem Nutzungskonzept (selbst) verpflichtet. Vor- und Nachteile der Social Media-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der jeweiligen Betreiber evaluiert. 

Die Social Media-Nutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Nutzung stellt sich vor diesem Hintergrund wie folgt dar: 

Die IHK Hochrhein-Bodensee betreibt in den oben dargestellten Sozialen Medien eigene Präsenzen (nachfolgend Angebote genannt).
Aufgrund der Vorgaben der ab 25. Mai 2018 geltenden Datenschutzgrundverordnung (nachfolgend DSGVO) ist für die Angebote der Hochrhein-Bodensee gemäß Art. 35 Abs. 1 DSGVO eine Datenschutzfolgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die eigenen Angebote lösen das in Art. 35 DSGVO beschriebene Risiko aufgrund des nur sehr geringen Umfangs einer eigenen Datenverarbeitung selbst nicht aus. Dies gilt insbesondere im Hinblick darauf, dass es sich bei den eigenen Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einer etwaigen Kommunikation mit anderen Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben.
Die Nutzung von Social Media durch solche Angebote hat jedoch weitreichende Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch den jeweiligen Plattformbetreiber zu Werbezwecken. Dies stellt eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Die Abschätzung der Folgen der Nutzung von Social Media stellt sich vor diesem Hintergrund wie folgt dar:

Die beschriebenen Risiken, die mit einer Nutzung von Social Media einhergehen, bestehen grundsätzlich unabhängig von der eigenen Nutzung durch die IHK Hochrhein-Bodensee. Auch wird durch die Beiträge der IHK Hochrhein-Bodensee in den Angeboten selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.

Schließlich sind die Daten, die durch die Interaktion mit dem jeweiligen Account in Social Media oder anderen Accounts verarbeitet werden, schon öffentlich zugänglich bzw. frei im Internet verfügbar.

Jedoch werden die Inhalte durch das Erscheinen auf dem jeweiligen Angebot der IHK Hochrhein-Bodensee und die Wechselbeziehung einer breiteren/„spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.

Auch dadurch, dass die IHK Hochrhein-Bodensee sich innerhalb von Social Media mit anderen Accounts vernetzt, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Nutzer des Accounts. Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer Logdaten durch den jeweiligen Plattformanbieter erhoben.

Auch besteht die Gefahr von Identitätsdiebstahl, Diskriminierung, Rufschädigung, finanziellem Verlust oder Preisgabe sensibler Daten.

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch den Betreiber des jeweiligen Social-Media-Netzwerkes und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.

Mögen diese Schäden sich bei einer Verursachung durch den jeweiligen Plattformbetreiber selbst als wesentlich darstellen, so werden diese durch das jeweilige Angebot der IHK Hochrhein-Bodensee nur in sehr begrenztem Maße erhöht. Da die jeweiligen Beiträge auch noch anderweitig veröffentlicht werden, entsteht auch kein Zwang der Teilnahme an einem der Social-Media-Netzwerke.

Die Risikobewertung erfolgt auf Grundlage der Kriterien der Schadensschwere und der Eintrittswahrscheinlichkeit.
Insgesamt ist das durch die Angebote verursachte zusätzliche Risiko als gering bis mittel einzustufen.

Zudem trägt die IHK Hochrhein-Bodensee aktiv dazu bei, das Risiko weiter zu senken. Hierzu zählt insbesondere die Aufklärung über die jeweilige Datenschutzerklärung der IHK Hochrhein-Bodensee.

Ein Großteil dieser Maßnahmen liegt allerdings in der Sphäre des Nutzers: So besteht bei einer Nutzung von Social Media keine Pflicht den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.

Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen durch die IHK Hochrhein-Bodensee bei etwaigen ehr‐ oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts des „störenden“ Nutzers.

Die Angebote der IHK Hochrhein-Bodensee in den genannten Social-Media-Präsenzen sind angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die IHK Hochrhein-Bodensee verpflichtet sich zudem, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung nötigenfalls zu wiederholen und fortzuentwickeln.