Öffentliche Stellen bauen zunehmend ihre Social Media-Aktivitäten aus. Ob Fachkräfte- oder Auszubildendenakquise, Imagemanagement oder Informations- oder Wissensvermittlung – Behörden experimentieren mit neuen Kanälen, um Bürgerinnen und Bürger zu erreichen und Bürgernähe zu leben. Derzeit, auch mit Blick auf kommende Kommunalwahlen, ist immer häufiger die Kommunikation über Tik Toks das Mittel der Wahl. Bürgernähe und einfacher, verständlicher Zugang zu behördlichen Informationen sind zu begrüßende Entwicklungen im Behördenalltag, allerdings muss behördliches Handeln bei allem Engagement, aller Kreativität und Aktualität rechtmäßig bleiben – und hier geraten öffentliche Stellen nur allzu schnell in eine Zwickmühle.
Beim Einsatz großer Social Media-Plattformbetreiber bestehen regelmäßig nur eingeschränkte Einflussmöglichkeiten auf die Verarbeitung personenbezogener Daten und die Nutzungsbedingungen, und zwar sowohl seitens der den Dienst einsetzenden Stelle als auch der ihn nutzenden Bürgerinnen und Bürger. Nicht zuletzt vor diesem Hintergrund stellt der LfDI BW infrage, ob die Verarbeitung personenbezogener Daten beim Einsatz von Tik Tok den Anforderungen des europäischen und des deutschen Datenschutzrechts genügt. So erscheint es insbesondere fraglich, ob die Datenverarbeitungen beim Einsatz von Tik Tok den in Art. 5 und Art. 25 DS-GVO festgeschriebenen datenschutzrechtlichen Grundprinzipien gerecht werden, ob sie auf einer gültigen Rechtsgrundlage nach Art. 6 DS-GVO beruhen und ob die spezifischen Anforderungen des Art. 8 DS-GVO an die Datenverarbeitung von Minderjährigen sowie der Art. 13 und 14 DS-GVO an die transparente Information der betroffenen Personen eingehalten werden.
Mit der folgenden Übersicht erhalten öffentliche Stellen eine Checkliste zum Einsatz von Tik Tok. Die hier aufgeführten Fragen sollte jeder beantworten können, der Tik Tok für behördliche Zwecke einsetzt, um so zu ermitteln, ob der Einsatz von Tik Tok im jeweiligen Anwendungskontext datenschutzkonform möglich ist.
- Welche Art von Tik Tok-Konto wird durch die öffentliche Stelle betrieben (Persönliches Konto, Business-Konto)?
- Sofern die öffentliche Stelle in irgendeinem Zusammenhang mit einer Regierung, einem Politiker/einer Politikerin oder einer politischen Partei stehen könnte: Wurde das betriebene Konto durch Tik Tok als „Konto einer Regierung, eines Politikers/einer Politikerin oder einer politischen Partei (KRPPP)“ klassifiziert (wie im Tik Tok Hilfe-Center beschrieben, vgl.: https://support.Tik Tok.com/de/using-Tik Tok/growing-your-audience/government-politician-and-political-party-accounts)? Falls ja, sind damit speziell einhergehende Verarbeitungen personenbezogener Daten sowie die Richtlinien von Tik Tok bekannt, die nach den Ausführungen des Dienstanbieters „dabei helfen, den Missbrauch bestimmter Funktionen zu verhindern“ (wie im Tik Tok Hilfe-Center beschrieben, vgl.: https://support.Tik Tok.com/de/using-Tik Tok/growing-your-audience/government-politician-and-political-party-accounts)? Mit welchem Ergebnis wurde ggf. die datenschutzrechtliche Zulässigkeit dieser Verarbeitungen geprüft?
- Welche möglichen Tik Tok-Konfigurationen wurden für das Konto zum Schutz personenbezogener Daten vorgenommen?
- Welche sog. „Creator_innen-Tools“ (siehe hierzu: https://support.Tik Tok.com/de/using-Tik Tok/creating-videos/creator-tools-on-Tik Tok) werden eingesetzt? Inwiefern werden neue bzw. ältere Inhalte im Zusammenhang mit dem Konto aufgrund von Follows, Teilen, sonstigen Reaktionen neu erstellt oder angereichert? Welche Analysen zur Nutzung des Kontos werden vorgenommen oder durch Tik Tok ermöglicht?
- Wie ordnet die einsetzende öffentliche Stelle die datenschutzrechtlichen Verantwortlichkeiten beim Einsatz von Tik Tok ein? Welche Rollen nehmen insbesondere die jeweilige Stelle, Tik Tok und ggf. auch weitere Beteiligte ein?
- Auf welche Rechtsgrundlagen werden die beim Einsatz von Tik Tok vorgenommenen Verarbeitungen personenbezogener Daten gestützt? Wie wird insbesondere sichergestellt, dass bei der Zusammenarbeit mit anderen Unternehmen/Institutionen eine Rechtsgrundlage für den Datenaustausch vorliegt und die Verantwortlichkeiten (Auftragsverarbeiter, gemeinsam Verantwortliche, eigenständige Verantwortliche) festgelegt sind?
Falls Vereinbarungen nach Art. 26, 28 Abs. 3 DS-GVO bestehen, sind diese vorzuhalten. - Wie wird sichergestellt, dass die nach Ziff. 5) dargestellten Verantwortlichkeiten und der Umfang der vorgenommenen Verarbeitungen personenbezogener Daten aus Nutzerperspektive klar erkennbar sind?
- Liegt für den Einsatz von Tik Tok ein Konzept für die Kommunikation auf dem sozialen Medium vor (sog. „Social Media-Nutzungskonzept“, vgl. hierzu die Anforderungen in: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/02/Wesentliche-Anforderungen-an-die-beh%C3%B6rdliche-Nutzung-Sozialer-Netzwerke.pdf), welches
- den Zweck/die Zwecke, die Art und den Umfang der vorgesehenen Nutzung festlegt,
- die Gründe der Entscheidung für den Einsatz von Tik Tok enthält, einschließlich der Darlegung, warum der Zweck/die Zwecke nicht durch Alternativkanäle erreicht werden kann/können (Erforderlichkeit),
- die Verantwortung für die redaktionelle/technische Betreuung festlegt,
- die Wahrnehmung der Rechte der Betroffenen nach Art. 12 ff. DS-GVO sicherstellt und
- die Abschätzung der Konsequenzen der vorgesehenen Verarbeitungsvorgänge (Schwellwertanalyse, Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO) enthält?
- Wird das unter Punkt 8.) beschriebene Konzept bzw. werden die Festlegungen zu den dort angegebenen Themen
- anhand der gemachten Erfahrungen regelmäßig, mindestens jährlich auf Erforderlichkeit und Ausmaß der Nutzung des sozialen Netzwerks evaluiert
- und diese Evaluation allgemein zugänglich im Sinne des § 11 Landesinformationsfreiheitsgesetz entsprechend im Internet veröffentlicht?
Im Falle, dass eine Evaluierung erfolgt, sind die Darstellung der hierfür angewandten Methodik sowie Angaben zur evaluierenden Stelle vorzuhalten.
- Gibt es Alternativkanäle für Bürger_innen, um an die auf Tik Tok veröffentlichten Informationen zu gelangen, ohne dass eine Datenverarbeitung durch Dritte erfolgt? Welche sind dies ggf. und wie wird die Äquivalenz der Informationen sichergestellt?
- Gibt es alternative Möglichkeiten für Interessierte, sich an der Kommunikation über die von Seiten des Ihrer öffentlichen Stelle auf Tik Tok bereitgestellten Informationen interaktiv zu beteiligen (z.B. diese zu kommentieren, zu teilen, zu bewerten)? Welche sind dies ggf. und wie wird insoweit die Äquivalenz der Inhalte und der Kommunikationsmöglichkeiten sichergestellt?
- Welche Schutzvorkehrungen wurden getroffen, um den besonderen Schutz von Kindern in Bezug auf ihre personenbezogenen Daten sowie von sensiblen personenbezogenen Daten nach Art. 9, 10 DS-GVO zu gewährleisten?
- Besteht zum Einsatz von Tik Tok ein (aktuelles) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO)?
- Wie wird sichergestellt, dass
- Verarbeitungen personenbezogener Daten in einem Drittland erkannt werden und
- für solche Verarbeitungsaktivitäten ausreichende rechtliche Garantien im jeweiligen Drittland bestehen?
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.