Abschätzung der Folgen der Bluesky-Nutzung durch den Exzellenzcluster TERRA
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Die Richtlinie des LfDI zur Nutzung von sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten im Sinne der DSGVO zur Pflicht.
Das Bluesky-Angebot des Exzellenzclusters TERRA selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung nicht aus. Bei den Beiträgen handelt es sich überwiegend um ein reines Senden sachbezogener Inhalte ohne Personenbezug. Wird in Beiträgen Bezug zu anderen Bluesky-Nutzer/innen hergestellt (durch Reposts oder Erwähnungen), werden nur die Daten verarbeitet, die diese selbst und freiwillig angegeben haben (Nutzername/Handle und Beiträge).
Betreiber von Bluesky ist die Bluesky Social PBC mit Sitz in Redwood City, Kalifornien, USA. Jedoch stellt aus Sicht des Exzellenzclusters TERRA die Bluesky-Nutzung an sich aufgrund ihrer Auswirkungen hinsichtlich möglicher Datenübermittlungen in die USA und der dortigen eingeschränkten Zugriffsmöglichkeiten europäischer Aufsichtsbehörden eine Verarbeitung mit einem grundsätzlich erhöhten Risiko dar.
Denn durch die Nutzung eines Bluesky-Accounts begibt sich der/die jeweilige Nutzer/in unter eine gewisse systematische Beobachtung durch den Betreiber. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Bluesky-Nutzer/innen und damit Betroffene sein.
Da Daten von in Deutschland ansässigen Nutzer/innen außerhalb der EU, insbesondere in den USA, verarbeitet werden können, bestehen höhere Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in der EU ansässigen Unternehmen. Es kann nicht ausgeschlossen werden, dass US-Behörden auf in den USA verarbeitete Daten zugreifen, ohne dass Betroffene hiergegen wirksam gerichtlich vorgehen könnten.
Allerdings ist zu berücksichtigen, dass Bluesky auf dem offenen AT-Protokoll basiert. Nutzer/innen können ihre Daten und ihr Profil grundsätzlich zu einem alternativen, etwa europäisch betriebenen Anbieter im selben Ökosystem mitnehmen (Datenportabilität), was die Abhängigkeit von einem einzelnen, außereuropäischen Anbieter im Vergleich zu geschlosseneren Plattformen relativiert.
Der Exzellenzcluster TERRA geht insofern davon aus, dass öffentliche Einrichtungen, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Mitverantwortung bedeutet dabei nicht, dass TERRA die Datenschutzkonformität der Produkte von Bluesky bestätigt oder garantiert.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer/innen in der Datenschutzerklärung des Bluesky-Profils von TERRA hingewiesen. Zu entsprechenden Maßnahmen hat sich der Exzellenzcluster TERRA in seinem Nutzungskonzept verpflichtet. Vor- und Nachteile der Bluesky-Nutzung werden danach einmal jährlich evaluiert.
Die Bluesky-Nutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Bluesky-Nutzung des Exzellenzclusters TERRA stellt sich vor diesem Hintergrund wie folgt dar:
1. Risikoidentifikation
Die eingangs beschriebenen Risiken, die mit einer Nutzung von Bluesky einhergehen, bestehen grundsätzlich unabhängig von der eigenen Bluesky-Nutzung des Exzellenzclusters TERRA. Auch wird durch die Beiträge von TERRA selbst in der überwiegenden Zahl der Fälle kein Bezug zu sensiblen personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte aus Forschung und Wissenschaftskommunikation verbreitet.
Die Daten, die durch die Interaktion mit dem Bluesky-Account von TERRA oder anderen Accounts verarbeitet werden – nämlich die Beiträge oder/und das Handle eines Bluesky-Nutzers/einer Bluesky-Nutzerin – sind schon öffentlich, allgemein zugänglich und frei im Internet verfügbar, da Bluesky-Inhalte standardmäßig auch ohne eigenen Account einsehbar sind.
Durch das Erscheinen auf dem Bluesky-Profil von TERRA und die Wechselbeziehung einer breiteren, spezifischeren Öffentlichkeit erreichen diese Daten unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Durch die eigene Bluesky-Nutzung erhöht TERRA also die Menge der Daten, die vom Betreiber verwendet und ausgewertet werden.
2. Risikoanalyse
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke und eine Profilbildung begünstigt. Auch kann die Offenheit für Antworten und Reposts anderer Nutzer/innen zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden bei einer Verursachung durch den Betreiber selbst als wesentlich erscheinen, so werden diese durch das Bluesky-Profil von TERRA nur in begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon öffentlich zugänglich. Insbesondere entsteht durch das Angebot von TERRA kein Zwang, einen Bluesky-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zum Cluster bestehen.
Auch sind die Themen Wissenschaft, Forschung, Geo- und Umweltwissenschaften nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass die Eintrittswahrscheinlichkeit eines Schadens begrenzt ist. Die Hauptzielgruppe von Bluesky im wissenschaftlichen und wissenschaftskommunikativen Bereich erhöht zudem nicht in besonderem Maße das Risiko für besonders schutzwürdige Personen wie Jugendliche, da diese typischerweise nicht zur Kernzielgruppe gehören.
3. Risikobewertung
Insgesamt ist das durch das Bluesky-Profil des Exzellenzclusters TERRA verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt in der Sphäre des Nutzers: Der/die Nutzer/in kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies oder die Wahl eines datenschutzfreundlicheren, europäisch gehosteten Servers innerhalb des AT-Protokoll-Ökosystems.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren – bis hin zur Blockierung einzelner Accounts oder der Meldung von Inhalten beim Betreiber.
4. Ergebnis
Die Bluesky-Nutzung durch den Exzellenzcluster TERRA ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Der Exzellenzcluster TERRA verpflichtet sich, die weitere Entwicklung – insbesondere im Hinblick auf etwaige Änderungen der Datenverarbeitung oder des Anbieterstandorts innerhalb des AT-Protokoll-Ökosystems – zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und gegebenenfalls fortzuentwickeln.
Kontakt
Exzellenzcluster TERRA
Geo- und Umweltforschungszentrum (GUZ)
Schnarrenbergstraße 94–96
72076 Tübingen