Symbolbild Datenschutz

Datenschutzabfolgeabschätzung

Datenschutz-Folgenabschätzung gem. Art. 35 der Europäischen Datenschutzgrundverordnung

Eine Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des baden-württembergischen Landesdatenschutz-beauftragten (LfDI) zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten zur Pflicht.

Die Richtlinie ist abrufbar unter:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/12/Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-öff.-Stellen.pdf(zuletzt aufgerufen und Link überprüft am 12.02.2020 um 11:10 Uhr)

Risikoidentifikation

Das Social-Media-Angebot des Regierungspräsidiums Tübingen selbst löst diese Folgenabschätzung nach den Maßstäben des LfDI diese Folgenabschätzung aufgrund des nur sehr geringen Umfangs unserer eigenen Datenverarbeitung (vgl. Datenschutzerklärung) nicht aus, insbesondere im Hinblick darauf, dass es sich bei den Beiträgen hauptsächlich um ein bloßes Senden von Inhalten ohne Personenbezug handelt und bei einem Bezug zu anderen bspw. Facebook-Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername, Kommentar, Bewertung).

Die Nutzung Sozialer Medien durch solche Angebote hat jedoch weitreichende Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch den jeweiligen Plattformbetreiber zu Werbezwecken u.ä.. Dies stellt eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Der Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg (nachfolgend LfDI) geht insofern davon aus, dass öffentliche Stellen, die Soziale Medien zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Mitverantwortung bedeutet dabei nicht, dass die jeweilige öffentliche Stelle die Datenschutzkonformität des jeweiligen Sozialen Netzwerkes bestätigt oder garantiert. Mitverantwortung bedeutet vielmehr, dass das Regierungspräsidium Tübingen sich und anderen die Risiken Sozialer Netzwerke bewusst macht. Auf diese Risiken, die generell mit der Nutzung Sozialer Medien einhergehen, werden die Nutzer insbesondere in der Datenschutzerklärung des Regierungspräsidiums Tübingen hingewiesen.

Die Abschätzung der Folgen der Nutzung Sozialer Medien stellt sich vor diesem Hintergrund wie folgt dar:

Die eingangs beschriebenen Risiken, die mit einer Nutzung Sozialer Medien einhergehen, bestehen grundsätzlich unabhängig von der eigenen Nutzung durch das Regierungspräsidium Tübingen. Auch wird durch die Beiträge des Regierungspräsidium Tübingen in den Angeboten selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.

Schließlich sind die Daten, die durch die Interaktion mit dem jeweiligen Account in Sozialen Medien oder anderen Accounts verarbeitet werden schon öffentlich zugänglich bzw. frei im Internet verfügbar.

Jedoch werden die Inhalte durch das Erscheinen auf dem jeweiligen Angebot des Regierungspräsidiums Tübingen und die Wechselbeziehung einer breiteren/"spezifischeren" Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch dadurch, dass das Regierungspräsidium Tübingen sich innerhalb Sozialer Medien mit anderen Accounts vernetzt, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Nutzer des Accounts. Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer Logdaten durch den jeweiligen Plattformanbieter erhoben.

Risikoanalyse

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch den Betreiber des jeweiligen Sozialen Netzwerkes und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.

Mögen diese Schäden sich bei einer Verursachung durch den jeweiligen Plattformbetreiber selbst als wesentlich darstellen, so werden diese durch das jeweilige Angebot des Regierungspräsidiums Tübingen nur in sehr begrenztem Maße erhöht. Da die jeweiligen Beiträge auch noch anderweitig veröffentlicht werden, entsteht auch kein Zwang der Teilnahme an einem der Sozialen Netzwerke.

Risikobewertung

Insgesamt ist das durch die Social-Media-Angebote des Regierungspräsidiums Tübingen verursachte zusätzliche Risiko daher als gering einzustufen.

Zudem trägt das Regierungspräsidium Tübingen aktiv dazu bei, das Risiko weiter zu senken. Hierzu zählt insbesondere die Aufklärung über die jeweilige Datenschutzerklärung des Regierungspräsidiums Tübingen.

Ein Großteil dieser Maßnahmen liegt allerdings in der Sphäre des Nutzers: So besteht bei einer Nutzung Sozialer Netzwerke keine Pflicht den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.

Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Das Regierungspräsidiums Tübingen hat für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung es bei der Betreuung der Seite achten wird.

Ergebnis

Die Social-Media-Nutzung durch das Regierungspräsidium Tübingen ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Das Regierungspräsidiums Tübingen verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggf. fortzuentwickeln.

Unsere Social Media-Kanäle im Überblick

Facebook-Profil des Regierungspräsidiums Tübingen

Twitter-Profil des Regierungspräsidiums Tübingen

YouTube-Kanal des Regierungspräsidiums

Instagram-Profil des Regierungspräsidiums Tübingen

Biosphärengebiet Schwäbische Alb

Die Verantwortlichkeit für die redaktionelle Betreuung liegt beim Regierungspräsidium Tübingen. Die Presse- und Koordinierungsstelle übernimmt die zentrale und kontinuierliche Betreuung der Social-Media-Kanäle des Regierungspräsidiums. Dazu zählt nicht nur die redaktionelle Betreuung, sondern auch die Weiterentwicklung der Angebote. Darüber hinaus gibt es auf Facebook einen eigenen Social-Media-Auftritt des Biosphärengebiets Schwäbische alb, der durch die Mitarbeiterinnen und Mitarbeiter des Biosphärengebiets selbst betreut wird.

Eine Datenschutzfolgeabschätzung ist gemäß Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des baden-württembergischen Landesdatenschutzbeauftragten (LfDI) zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge (hier der Nutzung von Sozialen Netzwerken) für den Schutz personenbezogener Daten zur Pflicht. Diese Richtlinie können Sie über folgenden Link abrufen: Richtlinie zur Nutzung sozialer Netzwerke durch öffentliche Stellen.

Nutzungszweck

Der Zweck der Nutzung Sozialer Medien wird im Nutzungskonzept des Regierungspräsidiums Tübingen dargestellt. Soziale Medien sind mittlerweile ein wesentlicher Bestandteil des beruflichen und privaten Informations- und Kommunikationsverhaltens vieler Bürgerinnen und Bürger. Im Sinne einer an die Bedürfnisse der Bürgerinnen und Bürger angepassten Verwaltung ist es erforderlich, die Öffentlichkeitsarbeit über die bisherigen Angebote hinaus auch auf Social-Media-Plattformen wahrzunehmen. Nur durch eine Mischung aus unterschiedlichen Kommunikationskanälen können alle Zielgruppen in der Bevölkerung erreicht werden.

Risikoidentifikation

Die Risiken, die mit einer Nutzung von sozialen Netzwerken wie z.B. Facebook oder Instagram einhergehen, bestehen grundsätzlich unabhängig von einem Social-Media-Auftritt des Regierungspräsidiums Tübingen auf diesen Plattformen. Die Social-Media-Auftritte des Regierungspräsidiums selbst lösen das in Art. 35. DSGVO beschriebene Risiko aufgrund des nur sehr geringen Umfangs einer eigenen Datenverarbeitung nicht aus (vgl. die Datenschutzerklärung). Grund dafür ist, dass grundsätzlich die Daten, die durch Interaktionen zwischen dem Regierungspräsidium Tübingen und den Nutzerinnen und Nutzer entstehen, schon öffentlich und allgemein zugänglich sind, indem sie frei im Internet bzw. in den Sozialen Netzwerken zur Verfügung stehen. Jedoch werden sie durch das Erscheinen auf den Kanälen des Regierungspräsidiums und die Wechselbeziehung ggf. einer spezifischeren Öffentlichkeit zur Verfügung gestellt und erreichen so u.U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Bei einer möglichen Kommunikation mit anderen Nutzerinnen und Nutzern werden nur diejenigen Daten verarbeitet, die von diesen selbst und freiwillig angegeben werden (bspw. der Nutzername oder Inhalt des eigenen Beitrags, z.B. Kommentar oder Bewertung).

Dadurch, dass das Regierungspräsidium anderen Accounts folgt oder diese ihr, entstehen in den Sozialen Netzwerken Querverbindungen und Informationen über Nutzerinnen und Nutzer, die von den Sozialen Netzwerken analysiert werden. Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzerinnen und Nutzer Logdaten durch die jeweiligen Social-Media-Anbieter erhoben. Folglich erhöht das Regierungspräsidium Tübingen durch seine Auftritte in den Sozialen Medien also die Menge der Daten, die von den Plattformbetreibern verwendet und ausgewertet werden können.

Vor diesem Hintergrund stellt bereits die Nutzung der Angebote in den Sozialen Medien aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Profilbildung und der Auswertung der Daten durch die Sozialen Medien beispielsweise zu Werbezwecken, nach Ansicht des Regierungspräsidiums (in Anlehnung an die Sicht des LfDI) eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.

Denn zum Beispiel durch die Nutzung eines Facebook-Accounts begibt sich eine Nutzerin oder ein Nutzer unter die systematische Beobachtung durch Facebook. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme (Art. 9 DSG-VO) offenbart werden, die miteinander verknüpft werden können und dadurch zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Mit der Präsenz im Internet besteht das generelle Risiko der Verletzung der Privatsphäre, der Anprangerung, der Diskreditierung und des Identitätsdiebstahls. Auch besonders schutzwürdige Personen wie etwa Jugendliche können die Sozialen Netzwerke nutzen und damit betroffene Personen im Sinne der DSG-VO sein. Selbst bei einer reinen passiven Nutzung durch Mitlesen der Seiteninhalte speichern die jeweiligen Plattformbetreiber bereits Log-Daten wie vorher besuchte Webseiten oder Standortdaten der Nutzerin oder des Nutzers.

Das Risiko gilt umso mehr, als dass die Plattformbetreiber (z.B. Facebook, Twitter, YouTube und Instagram) nur eingeschränkt überprüft werden können. Da die Daten deutscher Nutzerinnen und Nutzer nicht innerhalb Deutschlands, sondern z.B. in Irland verarbeitet werden, bestehen höhere Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.

Nach der Rechtsprechung ist davon auszugehen, dass öffentliche Stellen, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Das Regierungspräsidium Tübingen nimmt diese Verantwortung sehr ernst und versucht eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, die vergleichbar mit der Datenschutzfolgeabschätzung nach Art. 35 DSGVO ist (vgl. dazu die Richtlinie zur Nutzung Sozialer Netzwerke durch öffentliche Stellen).

In diesem Zusammenhang bedeutet Mitverantwortung nicht, dass das Regierungspräsidium Tübingen die Datenschutzkonformität der Produkte von einzelnen Social-Media-Anbietern bestätigt oder garantiert (vgl. dazu die Datenschutzerklärung des Regierungspräsidiums Freiburg). Die Mitverantwortung bedeutet vielmehr, dass das Regierungspräsidium sich und den Nutzerinnen und Nutzern seiner Social-Media-Auftritte die Risiken von Sozialen Netzwerken bewusst macht. Das geschieht unter anderem dadurch, dass das Regierungspräsidium Tübingen über unterschiedliche Informationswege (zum Beispiel über die Internetseite, die Datenschutzerklärung oder die Auftritte in den Sozialen Netzwerken selbst) auf die generellen Risiken der Nutzung durch Soziale Medien hinweist und in Zusammenarbeit mit dem LfDI die Nutzerinnen und Nutzer regelmäßig für die Risiken sensibilisiert.

Risikoanalyse

Infolge der Erweiterung des Verbreitungskreises und durch die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Betreiber vom Regierungspräsidium Tübingen genutzten Social-Media-Kanäle und eine heimliche Profilbildung begünstigt. Ebenso nachteilige Folgen kann die Offenheit für Besucherbeiträge führen, da hier unangebrachte oder diskriminierende Kommentare platziert werden können oder die Verbreitung sensibler Daten erfolgen kann.

Mögen diese Schäden sich bei einer Verursachung durch die Plattformbetreiber selbst als wesentlich darstellen, so werden sie durch die Social-Media-Auftritte des Regierungspräsidiums Freiburg nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil bereits für die Plattformbetreiber verfügbar. Insbesondere entsteht durch das Angebot des Regierungspräsidiums Tübingen kein Zwang, einen Account zu erstellen, da alternative Kontaktmöglichkeiten zu und Informationsmöglichkeiten über das Regierungspräsidium bestehen. Dies gilt umso mehr, als dass die Mehrheit der Social-Media-Beiträge ohne eine Anmeldung in den Sozialen Netzwerken einsehbar ist.

Technisch besteht die Möglichkeit, in eigene Webseiten aktive Elemente von Sozialen Netzwerken zu integrieren. Derartige Elemente informieren das Soziale Netzwerk (oder ggf. sonstige Dritte) von dem Besuch auf einer bestimmten Seite. Ist der Besucher mit seinem Account angemeldet, so ist er für den Dritten (z.B. Facebook oder Twitter) identifiziert. Auch wenn Sie nicht in den sozialen Netzwerken angemeldet oder sogar gar nicht registriert sind, sind Profilbildung und Wiedererkennung möglich, wenn derartige Elemente von sozialen Netzwerken auf den Internetseiten integriert sind.

Das Regierungspräsidium Freiburg setzt derartige Techniken auf seiner Website (Internetseite des Regierungspräsidiums Tübingen) nicht ein, sodass diesbezügliche Risiken nicht bestehen.

Weitere datenschutzrechtliche Risiken bestehen durch die Nutzung sogenannter Apps der Social-Media-Plattformen. Viele soziale Netzwerke wie Facebook, Twitter, YouTube und Instagram können neben dem Web-Interface auch über eine App genutzt werden. Eine Nutzung über eine App birgt zusätzliche datenschutzrechtliche Risiken, etwa, wenn sie weitgehende technische Rechte erhält.

So können die Apps, wenn man es ihnen gestattet, auf Standort- und Kontaktdaten, Fotos, die Kamera, die Sprachsteuerung, die Mitteilungsfunktion, die Hintergrundaktualisierung und auf die mobile Datenübertragungsfunktion zugreifen. Auf die Berechtigungseinstellungen für die von den Nutzerinnen und Nutzern genutzten Social-Media-Apps hat das Regierungspräsidium Tübingen keinen Einfluss.

Risikobewertung

Insgesamt ist das durch die Social-Media-Angebote des Regierungspräsidiums Tübingen verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.

Ein Großteil der Maßnahmen zum Schutz liegen allerdings bei den Nutzerinnen und Nutzern selbst: So können verschiedene Einstellung vorgenommen werden, die die Privatsphäre der Nutzerinnen und Nutzer schützen, etwa durch das Löschen des Browserverlaus, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos. Auf diese Möglichkeiten wird das Regierungspräsidium Tübingen mithilfe von Sensibilisierungsmaßnahmen über unterschiedliche Informationskanäle regelmäßig hinweisen.

Auf automatisch erfolgende Profilbildung durch die Plattformen hat das Regierungspräsidium Tübingen keine Einflussmöglichkeit. Das Regierungspräsidium wird die bereitgestellten Daten maximal in der Art nutzen, dass aus anonymisierten Daten keine Rückschlüsse auf Einzelpersonen möglich sind. Hierzu gehört auch, dass sich das Regierungspräsidium über die Art der von den jeweiligen Plattformen bereitgestellten Daten informiert und den Umgang damit regelt.

Außerdem ermöglicht die kontinuierliche redaktionelle Betreuung der Kanäle des Regierungspräsidiums ein Eingreifen bei etwaigen ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des jeweiligen Accounts. Zusätzlich dazu hat das Regierungspräsidium Tübingen für seine Auftritte auf den Social-Media-Plattformen eine Netiquette formuliert, auf deren Einhaltung bei der Betreuung geachtet wird. 

Ergebnis

Angesichts der vorangegangen Beschreibung der Risiken und der verbindlich vorgesehenen Maßnahmen sind die Angebote des Regierungspräsidiums Tübingen in den Sozialen Medien vertretbar. Das Regierungspräsidium verpflichtet sich zudem, die weitere Entwicklung aufmerksam zu beobachten und die hier vorgenommene Prüfung nötigenfalls zu wiederholen und bei Bedarf fortzuentwickeln.