Abschätzung der Folgen der Facebooknutzung durch CIRP
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten im Sinne der DSGVO zur Pflicht.
Das Facebook-Angebot des Centre for International Relations/Peace and Conflict Research (CIRP) selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung zu Facebook) nicht aus. Allerdings haben die Postings oft einen direkten Personenbezug. Das CIRP achtet daher bei der Erstellung und Veröffentlichung eigener Inhalte darauf, dass neben dem Urheberrecht der Fotos auch die Bildrechte der Abgebildeten berücksichtigt werden. Wird in den Beiträgen des CIRP Bezug zu anderen Facebook-Nutzer/innen hergestellt (durch Teilen oder Erwähnen), so werden nur die Daten verarbeitet, die diese selbst und freiwillig angegeben haben (Nutzername und Postings).
Jedoch stellt aus Sicht des CIRP die Facebooknutzung an sich aufgrund ihrer weitreichenden Auswirkungen, hinsichtlich der Auswertung der Daten durch die Facebook Ireland Ltd. zu Werbezwecken u. Ä., eine Verarbeitung mit hohem Risiko dar, für die aufgrund der gemeinsamen Verantwortung von Seitenbetreiber (CIRP) und Diensteanbieter (Facebook) eine Datenschutzfolgenabschätzung vorzunehmen ist.
Denn durch die Nutzung eines Facebook-Accounts begibt sich der/die jeweilige Nutzer/in unter die systematische Beobachtung durch die Facebook Ireland Ltd. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Facebook-Nutzer/innen und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Facebook ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers/der Nutzerin.
Dies gilt umso mehr, als dass die Facebook Ireland Ltd. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten von in Deutschland ansässigen Nutzer/innen nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigen Unternehmen.
Das CIRP geht insofern davon aus, dass öffentliche Stellen, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen.
Mitverantwortung bedeutet dabei nicht, dass das CIRP die Datenschutzkonformität der Produkte der Facebook Ireland Ltd. bestätigt oder garantiert. Dies kann sie unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass das CIRP sich und anderen die Risiken sozialer Netzwerke bewusst macht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer/innen zudem in der Datenschutzerklärung der Facebook-Fanpage des CIRP hingewiesen
Zu diesen Maßnahmen hat sich das CIRP in seinem Nutzungskonzept verpflichtet.
Die Facebooknutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Facebooknutzung des CIRP stellt sich vor diesem Hintergrund wie folgt dar:
1.) Risikoidentifikation:
Die eingangs beschriebenen Risiken, die mit einer Nutzung von Facebook einhergehen, bestehen grundsätzlich unabhängig von der eigenen Facebook-Nutzung des CIRP. Auch wird durch die Postings des CIRP selbst in der überwiegenden Zahl der Fälle kein Bezug zu sensiblen personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit der Facebook-Fanpage des CIRP oder anderen Accounts verarbeitet werden – nämlich der in den Kommentaren sichtbaren Accountname eines Facebook-Nutzers/einer Facebook-Nutzerin – schon öffentlich/ allgemein zugänglich/frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der Facebook-Fanpage des CIRP und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so u. U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch lässt sich so das Interesse am CIRP an der Fan- oder Abonnenten-Eigenschaft oder an regelmäßigen Beiträgen ablesen. Schließlich werden auch beim passiven Mitlesen der Fanpage durch die Nutzer/innen Logdaten durch Facebook erhoben.
Durch die eigene Facebooknutzung erhöht das CIRP also die Menge der Daten, die von der Facebook Ireland Ltd.verwendet und ausgewertet werden.
2.) Risikoanalyse:
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Facebook Ireland Ltd. und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucher/innen-Beiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden sich bei einer Verursachung durch die Facebook Ireland Ltd. selbst als wesentlich darstellen, so werden diese durch die Facebook-Fanpage des CIRP nur in begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die Facebook Ireland Ltd. verfügbar. Insbesondere entsteht durch das Angebot des CIRP kein Zwang, einen Facebook-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zum CIRP bestehen.
Auch sind die Themen Wissenschaft, Lehre, Forschung etc. nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, so dass die Eintrittswahrscheinlichkeit eines Schadens sehr begrenzt ist.
3.) Risikobewertung
Insgesamt ist das durch die Facebook-Fanpage des CIRP verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt in der Sphäre des Nutzers: Der/die Nutzer/in kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies oder die fehlende Standortfreigabe bei der Verwendung von Fotos. Allerdings verlangt Facebook im Gegensatz zu z. B. Twitter offiziell einen Klarnamen.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Das CIRP hat hier für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4.) Ergebnis
Die Facebooknutzung durch das CIRP ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Das CIRP verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfls. fortzuentwickeln.