Datenschutzfolgenabschätzung
Aufgrund der Vorgaben der seit 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) ist für die Angebote der Stadt gemäß Art. 35 Abs. 1 DSGVO eine Datenschutzfolgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Aus Sicht des baden-württembergischen Landesbeauftragten für Datenschutz und Informationssicherheit (LfDI BW) stellt die Social Media Nutzung an sich aufgrund weitreichender Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die Anbieter zu Werbezwecken oder ähnlichem, eine Verarbeitung mit hohem Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist. Die Richtlinie des LfDI BW zur Nutzung von sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge, z.B. das Angebot einer Facebook-Fanseite, für den Schutz personenbezogener Daten daher zur Pflicht.
Risikoidentifikation
Die Angebote der Stadtverwaltung Ostfildern selbst lösen das in Art. 35 Abs. 1 DSGVO beschriebene Risiko aufgrund des nur sehr geringen Umfangs der eigenen Datenverarbeitung nicht aus. Dies gilt insbesondere im Hinblick darauf, dass es sich bei den eigenen Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt. Bei einer etwaigen Kommunikation mit anderen Nutzern werden nur die Daten verarbeitet, die diese selbst und freiwillig angegeben haben, z.B. Nutzername, Kommentar, Bewertung, und die ohnehin schon frei im Internet verfügbar sind. Allerdings entstehen dadurch, dass die Stadt Ostfildern anderen Accounts folgt oder diese ihr zusätzliche Querverbindungen und Informationen über den jeweiligen Nutzer. Diese erhöhen die Datenmenge, die von Social Media Anbietern verwendet und ausgewertet werden kann. Die Stadtverwaltung Ostfildern kommuniziert in keinem Fall im Rahmen von Verwaltungsverfahren personenbezogene Daten.
Dennoch können durch die Nutzung eines Accounts bei Facebook, Instagram und Twitter gegebenenfalls auch sensible Daten wie die politische Einstellung, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Nutzerin oder Nutzer eines Accounts und damit Betroffene sein. Selbst beim passiven Mitlesen, ohne eigenen Account, können auf einigen Plattformen sensible Daten in Form von Log-Daten erhoben werden.
Die Stadt Ostfildern hat keinen Einfluss auf die Nutzungsbedingungen der einzelnen sozialen Netzwerke. Wir machen ausdrücklich darauf aufmerksam, dass die Betreiber der sozialen Netzwerke, die wir zur Kommunikation nutzen, Daten außerhalb Deutschlands dauerhaft speichern und für geschäftliche Zwecke nutzen. In welchem Umfang und für welche Dauer die Daten gespeichert werden, ist für uns nicht erkennbar. Da die Daten deutscher Nutzer nicht innerhalb Deutschlands, sondern in Irland oder den U.S.A. verarbeitet werden, bestehen größere Hürden für den Zugang zu gerichtlichem Rechtsschutz als bei einem in Deutschland ansässigen Unternehmen. Wir empfehlen daher sorgfältig zu prüfen, welche persönlichen Daten Sie in den sozialen Netzwerken zur Verfügung stellen. Wir behandeln Ihre Daten mit höchster Sorgfalt, übernehmen aber keine Haftung für das Verhalten der Betreiber der sozialen Netzwerke sowie Dritter.
Der LfDI BW geht davon aus, dass öffentliche Stellen, die soziale Netzwerke zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Mitverantwortung bedeutet dabei jedoch nicht, dass die jeweilige öffentliche Stelle die Datenschutzkonformität des jeweiligen sozialen Netzwerkes bestätigt oder garantiert. Mitverantwortung bedeutet vielmehr, dass die Stadtverwaltung Ostfildern sich und anderen die Risiken sozialer Netzwerke bewusstmacht und transparent kommuniziert. Die Nutzer werden auf diese Risiken, die generell mit der Nutzung sozialer Netzwerke einhergehen, insbesondere in der Datenschutzerklärung der Stadtverwaltung Ostfildern hingewiesen.
Die eingangs beschriebenen Risiken, die mit einer Nutzung sozialer Netzwerke einhergehen, bestehen grundsätzlich und unabhängig von der eigenen Nutzung durch die Stadt Ostfildern. Auch wird durch die Beiträge der Stadtverwaltung in den Angeboten selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Vor- und Nachteile der Social Media Nutzung werden regelmäßig unter Einbeziehung der Nutzungsbedingungen der jeweiligen Anbieter evaluiert.
Risikoanalyse
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung von Daten für andere Zwecke durch den Anbieter des jeweiligen sozialen Netzwerkes und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen, gesellschaftlichen Folgen wie etwa unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden sich bei einer Verursachung durch den jeweiligen Plattformbetreiber selbst als wesentlich darstellen, so werden diese durch das jeweilige Angebot der Stadtverwaltung Ostfildern nur in sehr begrenztem Maße erhöht. Dies lässt sich dadurch begründen, dass die personenbezogenen Daten der Nutzer auch ohne eine Aktivität der Stadt Ostfildern in den sozialen Medien bereits für deren Betreiber verfügbar sind. Da die jeweiligen Inhalte auch noch anderweitig veröffentlicht werden, entsteht kein Zwang zur Account-Erstellung und damit der Teilnahme an einem der genutzten sozialen Netzwerke.
Risikobewertung
Insgesamt bewertet die Stadtverwaltung Ostfildern daher die Risiken, die ihre Social-Media-Präsenzen hervorrufen, als gering bis mittel (vgl. dazu das Kurzpapier Nr. 5 der Datenschutzkonferenz zur Datenschutzfolgenabschätzung).
Zudem trägt die Stadt aktiv dazu bei, das Risiko weiter zu senken. Hierzu zählt insbesondere die Aufklärung über die Datenschutzerklärung der Stadt sowie alternative Informationsmöglichkeiten. Auch werden die Social-Media-Präsenzen der Stadt auf Grundlage und nach Maßgabe eines Social Media Konzepts, das regelmäßig evaluiert wird, unterhalten.
Ein Großteil der Maßnahmen liegt allerdings in der Sphäre des Nutzers selbst: So besteht bei einer Nutzung sozialer Netzwerke, mit Ausnahme von Facebook, keine Pflicht, den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen durch die Stadt bei etwaigen ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts des störenden Nutzers. Die Stadt Ostfildern hat zudem für die Nutzung ihrer Angebote eine Netiquette formuliert, auf deren Einhaltung bei der Betreuung geachtet wird.
Ergebnis
Die Unterhaltung der Social-Media-Präsenzen der Stadt Ostfildern sind angesichts der beschriebenen Risiken und den konkret benannten Maßnahmen als ein Mittel der Öffentlichkeitsarbeit vertretbar. Die vorgenommene Datenschutzfolgenabschätzung wird erforderlichenfalls erneut durchgeführt oder fortentwickelt, soweit sich neue Erkenntnisse ergeben, insbesondere zu den Praktiken der Plattform-Anbieter.