Datenschutzfolgenabschätzung
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die „Richtlinie des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) zur Nutzung von sozialen Netzwerken durch öffentliche Stellen“ macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten im Sinne der DSGVO zur Pflicht.
Das LinkedIn-Angebot der Fakultät für Umwelt und Natürliche Ressourcen (UNR) der Universität Freiburg selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (siehe dazu die Datenschutzerklärung zu LinkedIn) nicht aus, insbesondere im Hinblick darauf, dass es sich bei seinen Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen LinkedIn-Nutzer:innen nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (da es sich bei LinkedIn um ein Karrierenetzwerk handelt, sind neben dem Nutzernamen und Beiträgen häufig auch Informationen zu Arbeitgeber und Position zu finden).
Jedoch stellt aus Sicht der UNR die Linkedin-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch LinkedIn zu Werbezwecken und Ähnlichem, eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.
Denn durch die Nutzung eines LinkedIn-Accounts begibt sich der oder die jeweilige Nutzer:in unter die systematische Beobachtung durch LinkedIn. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können LinkedIn-Nutzer:innen und damit Betroffene sein, wobei diese naturgemäß eher nicht zur LinkedIn Zielgruppe gehört auch, wenn eine offizielle Anmeldung bereits ab 16 Jahren erlaubt ist. Selbst beim bloß passiven Mitlesen von LinkedIn ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers oder der Nutzerin.
Dies gilt umso mehr, als dass LinkedIn nicht oder nur eingeschränkt überprüft werden kann. Da die Daten deutscher Nutzer:innen nicht innerhalb Deutschlands, sondern im nichteuropäischen Ausland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.
Die UNR geht insofern davon aus, dass sie als öffentliche Stelle, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzt, eine Mitverantwortung trägt.
Mitverantwortung bedeutet dabei nicht, dass die UNR die Datenschutzkonformität der Produkte von LinkedIn bestätigt oder garantiert. Dies kann sie unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass die UNR sich und anderen die Risiken sozialer Netzwerke bewusstmacht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Deshalb werden den LinkedIn-Nutzer:innen durch Verweise auf die Webseite der UNR alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer:innen in der Datenschutzerklärung der UNR für LinkedIn hingewiesen.
Zu diesen Maßnahmen hat sich die UNR in ihrem Nutzungskonzept verpflichtet. Vor- und Nachteile der LinkedIn-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der LinkedIn Corporation evaluiert. Diese Evaluierung des Nutzungskonzepts erfolgt jährlich und berücksichtigt die Nutzungszahlen und Reichweiten sowie die Zielgruppenstruktur und das Nutzungsverhalten der Netzwerke.
Die LinkedIn-Nutzung ist damit in ein Maßnahmenpaket (Nutzungskonzept, Datenschutzerklärung, Disclaimer und Netiquette) eingebettet. Die Abschätzung der Folgen der LinkedIn-Nutzung der UNR stellt sich vor diesem Hintergrund wie folgt dar:
1. Risikoidentifikation:
Die eingangs beschriebenen Risiken, die mit einer Nutzung von LinkedIn einhergehen, bestehen grundsätzlich unabhängig von der eigenen LinkedIn-Nutzung der UNR. Auch wird durch die Beiträge der UNR selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit dem LinkedIn-Account der UNR oder anderen Accounts verarbeitet werden – nämlich die Beiträge oder/und der Accountname eines LinkedIn-Nutzers oder einer LinkedIn-Nutzerin– schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der LinkedIn-Seite der UNR und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.
Auch dadurch, dass die UNR anderen Accounts folgt oder diese ihr, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen LinkedIn-Nutzer oder die jeweilige Nutzerin; so lässt sich zum Beispiel Interessensgebiete an der Abonnenten -/Follower-Eigenschaft, regelmäßigen Beiträgen, Aktivitäten und Gruppenmitgliedschaften ablesen.
Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer:innen-Logdaten durch LinkedIn erhoben.
Durch die eigene LinkedIn-Nutzung erhöht die UNR also die Menge der Daten, die von LinkedIn verwendet und ausgewertet werden.
2. Risikoanalyse:
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch LinkedIn und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen beziehungsweise als Karrierenetzwerk insbesondere auch in Bezug auf den aktuellen oder künftigen Arbeitsplatz und das Berufsumfeld.
Mögen diese Schäden sich bei einer Verursachung durch LinkedIn selbst als wesentlich darstellen, so werden diese durch das LinkedIn-Profil der UNR nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für LinkedIn verfügbar. Insbesondere entsteht durch das Angebot der UNR kein Zwang, einen LinkedIn-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur UNR bestehen.
Auch sind die Themen der UNR wie zum Beispiel Wissenschaft, Lehre und, Forschung nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass auch insoweit die Eintrittswahrscheinlichkeit eines Schadens nur sehr begrenzt ist.
3. Risikobewertung
Insgesamt ist das durch den LinkedIn-Account der UNR verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt aber in der Verantwortung des Nutzers/der Nutzerin: Der/die Nutzer:in kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Bezüglich besonders schutzwürdiger Personen wie etwa Jugendlichen lässt sich erkennen, dass diese in der Regel nicht zur LinkedIn-Zielgruppe gehört. Auch wenn die Anmeldung bei LinkedIn ab 16 Jahren möglich ist, richtet sich LinkedIn als Karrierenetzwerk hauptsächlich an Fach- und Führungskräfte, die sich aus eigenem Antrieb weltweit miteinander vernetzen möchten.
Diese Zielgruppe ist in der Regel deutlich älter und im Besitz einer entsprechenden Ausbildung und muss daher selbst zwischen dem beruflichen Nutzen des Dienstes und dem Schutz ihrer Daten abwägen. Dennoch ist zu betonen, dass insbesondere bei Business-Netzwerken eine erhöhte Gefahr von Fake-Profilen und Identitätsdiebstählen besteht, da häufig auch das Geschäfts-/Berufsumfeld der LinkedIn-Nutzer:innen detailliert beschrieben ist.
Zudem können einige LinkedIn-Praktiken, wie das Vortäuschen einer Mitgliedschaft von bestehenden Kontakten der LinkedIn-Nutzer:innen und dem eigenständigen Versenden von E-Mail-Einladungen zum Beitritt von LinkedIn im Bekanntenkreis von LinkedIn-Nutzer:innen für Argwohn sorgen oder sogar der beruflichen Reputation schaden.
Die LinkedIn-Nutzer:innen sollten daher besonders darauf hingewiesen werden, LinkedIn den Zugriff auf Adressbücher und weitere auch externe Dienste zu untersagen und das automatische versenden von E-Mail-Einladungen zu deaktivieren, da LinkedIn auch Kontakte außerhalb des eigenen Netzwerkes kontaktiert und deren Daten speichert. Für zusätzliche Sicherheit kann man dem/der Nutzer:in nahelegen LinkedIn nur vom Desktop aus im Browser zu nutzen und keine LinkedIn-Apps auf seinem Smartphone / mobilen Endgeräten zu installieren.
Als weitere Abhilfemaßnahme ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Die UNR hat hier für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4. Ergebnis
Die LinkedIn-Nutzung durch die UNR ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die UNR verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfls. fortzuentwickeln.
Stand: November 2023