1. Pflicht der Durchführung einer Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht daher die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge in bestimmten Fällen zur Pflicht.

Das Twitter-Angebot des LfDI selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung) nicht aus, insbesondere im Hinblick darauf, dass es sich bei seinen Tweets hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen Twitterern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Tweets).

Jedoch stellt aus Sicht des LfDI die Twitternutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Profilbildung und der Auswertung der Daten durch die Twitter Inc. zu Werbezwecken u.Ä., eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung (durch Twitter) vorzunehmen ist.

Denn durch die Nutzung eines Twitter-Accounts begibt sich der jeweilige Nutzer unter die systematische Beobachtung durch die Twitter Inc. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme (siehe Art. 9 DS-GVO) offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Twitter-Nutzer und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Twitter ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers.

Dies gilt umso mehr, als dass die Twitter Inc. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten deutscher Nutzer nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.

Der LfDI geht insofern davon aus, dass öffentliche Stellen, die ein Soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Daher hat er sich selbst und anderen öffentlichen Stellen zur Vorgabe gemacht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, vergleichbar mit der Datenschutzfolgenabschätzung nach Art. 35 DSGVO (vgl. dazu die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch Öffentliche Stellen).

Mitverantwortung bedeutet dabei nicht, dass der LfDI die Datenschutzkonformität der Produkte der Twitter Inc. bestätigt oder garantiert (vgl. dazu auch die Datenschutzerklärung des LfDI). Dies kann er unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass er sich und anderen die Risiken Sozialer Netzwerke bewusst macht. So will der LfDI  die Nutzung dieser Angebote durch Bürger, Unternehmen und andere öffentliche Stellen begleiten und unterstützen. Aktuell sind die Sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Der LfDI wird zukünftig auf die Anbieter einwirken, ihre Angebote transparenter und datenschutzfreundlicher zu gestalten. Die eigene Präsenz des LfDI sorgt dafür, dass eine große Gruppe von Nutzern erreicht, begleitet und beraten wird, die auf anderen Wegen, z.B. über die Homepage oder mithilfe von Broschüren etc., nicht erreichbar ist. Gleichzeitig werden den Twitter-Nutzern durch Verweise auf die Homepage des LfDI u.a. alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.

Auf die Risiken, die generell mit der Nutzung Sozialer Medien einhergehen, werden die Nutzer zudem nicht nur in der Datenschutzerklärung des Twitter-Accounts des LfDI hingewiesen, sondern auch durch regelmäßige Aktionen zur Sensibilisierung und Aufklärung auf unserer Homepage und auf dem Twitter-Account.

Zu diesen Maßnahmen hat der LfDI sich (und andere öffentliche Stellen) – seiner Richtlinie gemäß – in seinem Nutzungskonzept (selbst) verpflichtet, welches Sie hier finden. Vor- und Nachteile der Twitter-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der Twitter-Inc. evaluiert.

Die Twitternutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Twitternutzung des LfDI stellt sich vor diesem Hintergrund wie folgt dar:

2. Nutzungszweck

Die Verarbeitung erfolgt für die Zwecke der Öffentlichkeitsarbeit des LfDI, namentlich der Sensibilisierung und Aufklärung der Öffentlichkeit, einschließlich der Betroffenen, Verantwortlichen und Auftragsverarbeiter, hinsichtlich Risiken, Vorschriften, Garantien, Rechten und Pflichten im Zusammenhang mit Datenverarbeitungen (Art. 57 Abs. 1 lit b, lit d, Art. 58 Abs. 3 lit b, Art. 6 Abs. 1 UAbs. 1 lit e DS-GVO i.V.m. § 4 LDSG Baden-Württemberg).

3. Risikoidentifikation

a) Die „eigentliche” Twitter-Nutzung
Die eingangs beschriebenen Risiken, die mit einer Nutzung von Twitter einhergehen, bestehen grundsätzlich unabhängig von der eigenen Twitter-Nutzung des LfDI. Auch wird durch die Inhalte der Tweets des LfDI selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.

Schließlich sind die Daten, die durch die Interaktion mit dem Twitter-Account des LfDI oder anderen Accounts verarbeitet werden – nämlich die Tweets oder/und der Accountname eines Twitterers – schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.

Jedoch werden sie durch das Erscheinen auf der Twitterseite des LfDI und die Wechselbeziehung  einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so u.U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.

Auch dadurch, dass der LfDI anderen Accounts folgt oder diese ihm, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Twitterer; so lässt sich z.B. das Interesse am Datenschutz an der Follower-Eigenschaft oder regelmäßigen Beiträgen ablesen.

Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer Logdaten durch Twitter erhoben, selbst wenn diese keine angemeldeten oder überhaupt registrierten Twitter-Nutzer sind.

Durch die eigene Twitternutzung erhöht der LfDI also die Menge der Daten, die von der Twitter Inc. verwendet und ausgewertet werden.

Der LfDI twittert selbst. Da Mitarbeiter nicht für ihn tätig werden, fallen insoweit personenbezogene Daten von Mitarbeitern auch nicht an. Manche Mitarbeiter twittern ihrerseits, tun dies aber nicht in dienstlicher Funktion.

b) Webtracking
Technisch besteht die Möglichkeit, in eigene Webseiten aktive Elemente von Sozialen Netzwerken, auch von Twitter, zu integrieren. Derartige Elemente informieren das Soziale Netzwerk (oder ggf. sonstige Dritte) von dem Besuch auf einer bestimmten Seite. Ist der Besucher mit seinem (z.B. Twitter-)Account angemeldet, so ist er für den Dritten (z.B. Twitter) identifiziert. Auch wenn er nicht angemeldet oder sogar gar nicht registriert ist, sind Profilbildung und Wiedererkennung möglich.

Wir verweisen insofern auf die Orientierungshilfe der Aufsichtsbehörden für die Anbieter von Telemedien und auf unsere FAQ zu dem Thema.

Danach ist die Einbindung derartiger Elemente nicht erlaubt, wenn nicht die informierte, freiwillige und vorherige, aktiv und separat erklärte Einwilligung des Nutzers vorliegt.

Der LfDI setzt derartige Techniken auf seiner Website (https://www.baden-wuerttemberg.datenschutz.de) nicht ein, sodass diesbezügliche Risiken nicht bestehen.

c) Die Nutzung der Twitter-App
Twitter kann sowohl über ein Web-Interface als auch über eine App genutzt werden. Eine App birgt zusätzliche datenschutzrechtliche Risiken, etwa wenn sie zu weit gehende technische Rechte erhält.

Die Twitter-App greift (unter IOS), wenn man es ihr gestattet, auf Standort- und Kontaktdaten, Fotos, die Kamera, Siri, die Mitteilungsfunktion, die Hintergrundaktualisierung und auf die mobile Datenübertragungsfunktion zu. Durch technische und organisatorische Maßnahmen ist sichergestellt, dass die App beim LfDI hierdurch kein datenschutzrechtliches Risiko darstellt.

d) Drittlandsbezug
Twitter nimmt am „EU-US-Privacy Shield“ teil. Es besteht ein Angemessenheitsbeschluss der EU-Kommission über das Datenschutz-Niveau in den USA unter den Bedingungen des „EU-US-Privacy-Shield“ (Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, bekannt gegeben unter Aktenzeichen C(2016) 4176).

Auch wenn man diesen Angemessenheitsbeschluss hinterfragen kann, so ist er doch geltendes Recht, sodass der Drittlandsbezug die Nutzung des Dienstes von Twitter nach derzeit geltender Rechtslage nicht rechtswidrig werden lässt.

4. Risikoanalyse

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Twitter Inc. und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.

Mögen diese Schäden sich bei einer Verursachung durch die Twitter Inc. selbst als wesentlich darstellen, so werden diese durch das Twitter-Profil des LfDI nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die Twitter Inc. verfügbar. Insbesondere entsteht durch das Angebot des LfDI kein Zwang, einen Twitter-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zum LfDI bestehen. Dies gilt umso mehr, als dass der Twitter-Account des LfDI über die Homepage des LfDI lesbar sein wird, sodass zumindest eine passive Kenntnisnahme der Tweets ohne jegliche Datengenerierung möglich ist.

Auch sind die Themen Datenschutz und Informationsfreiheit nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass auch insoweit die Eintrittswahrscheinlichkeit eines Schadens nur sehr begrenzt ist.

Durch Vermeidung der von Webtracking oder ggf. von der App ausgehenden Risiken wird das Schutzniveau erheblich erhöht. Stellen, die Webtracking einsetzen, laufen dagegen mit hoher Wahrscheinlichkeit Gefahr, Datenschutz-Verstöße zu begehen, weil Webtracking nur mit informierter, freiwilliger und vorheriger, aktiv und separat erklärte Einwilligung erlaubt ist, diese Hürde aber hoch ist.

5. Risikobewertung

Insgesamt ist das durch den Twitter-Account des LfDI verursachte zusätzliche Risiko daher als gering bis mittel (vgl. dazu das Kurzpapier Nr. 5 der Datenschutzkonferenz zur Datenschutzfolgenabschätzung) einzustufen, auch weil nicht alle Optionen genutzt und die mit den genutzten Funktionen verbundenen Risiken umhegt werden.

Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Hierzu zählt etwa das Einwirken des LfDI auf die Anbieter. Ein Großteil dieser Maßnahmen liegt allerdings in der Sphäre des Nutzers: So besteht bei einer Twitternutzung nicht die Pflicht zum Führen eines Klarnamens.  Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.

Die Übermittlung in ein Drittland, für das die EU-Kommission beschlossen hat, dass ein angemessenes Datenschutz-Niveau vorliege, legalisiert formal die Drittlandsübermittlung.

Auf diese Möglichkeiten wird der LfDI in seinen Sensibilisierungsmaßnahmen, zu denen er sich in seinem Nutzungskonzept verpflichtet hat, regelmäßig hinweisen.

Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Der LfDI hat hier für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung er bei der Betreuung der Seite achten wird.

6. Ergebnis

Die Twitternutzung durch den LfDI ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Der LfDI verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig, mindestens einmal im Quartal, zu wiederholen und ggfls. fortzuentwickeln.