X-Datenschutzfolgenabschätzung
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Das X-Angebot der Universität Tübingen selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung) nicht aus, insbesondere im Hinblick darauf, dass es sich bei den Posts hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen X-Nutzer/innen nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Posts).
Jedoch stellt aus Sicht der Universität Tübingen die X-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die X Corp. zu Werbezwecken u. Ä., eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung (durch X) vorzunehmen ist.
Denn durch die Nutzung eines X-Accounts begibt sich der jeweilige Nutzer unter die systematische Beobachtung durch die X Corp. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können X-Nutzer und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von X ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers.
Dies gilt umso mehr, als dass die X Corp. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten deutscher Nutzer nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.
1.) Risikoidentifikation:
Die eingangs beschriebenen Risiken, die mit einer Nutzung von X einhergehen, bestehen grundsätzlich unabhängig von der eigenen X-Nutzung der Universität Tübingen. Auch wird durch die X-Posts der Universität selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit dem X-Account der Universität Tübingen oder anderen Accounts verarbeitet werden – nämlich die X-Posts oder/und der Accountname eines/r X-Nutzers/X-Nutzerin – schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der X-Seite der Universität Tübingen und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so u. U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.
Auch dadurch, dass die Universität Tübingen anderen Accounts folgt oder diese ihr, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen X-Nutzer/innen; so lässt sich z. B. das Interesse an Forschungsthemen an der Follower-Eigenschaft oder regelmäßigen Beiträgen ablesen.
Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer Logdaten durch X erhoben.
Durch die eigene X-Nutzung erhöht die Universität Tübingen also die Menge der Daten, die von der X-Corp. verwendet und ausgewertet werden.
2.) Risikoanalyse:
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die X Corp. und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden sich bei einer Verursachung durch die X Corp. selbst als wesentlich darstellen, so werden diese durch das X-Profil der Universität Tübingen nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die X Corp. verfügbar. Insbesondere entsteht durch das Angebot der Universität Tübingen kein Zwang, einen X-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur Universität Tübingen bestehen.
Auch sind die Themen Forschung und Studium nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass auch insoweit die Eintrittswahrscheinlichkeit eines Schadens nur sehr begrenzt ist.
3.) Risikobewertung
Insgesamt ist das durch den X-Account der Universität Tübingen verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Hierzu zählt etwa das Einwirken der Universität Tübingen auf die Anbieter. Ein Großteil dieser Maßnahmen liegt allerdings in der Sphäre des Nutzers: So besteht bei einer X-Nutzung nicht die Pflicht zum Führen eines Klarnamens. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Die Universität Tübingen hat hier für die Nutzung ihres Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4.) Ergebnis
Die X-Nutzung durch die Universität Tübingen ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die Universität Tübingen verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfls. fortzuentwickeln.