Abschätzung der Folgen der Twitter-Nutzung
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Das Twitter-Angebot der Universität Heidelberg selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung zu Twitter) nicht aus, insbesondere im Hinblick darauf, dass es sich bei seinen Tweets hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen Twitter-Nutzer_innen nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Tweets).
Jedoch stellt aus Sicht der Universität Heidelberg die Twitter-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, hinsichtlich der Auswertung der Daten durch die Twitter Inc. zu Werbezwecken, eine Verarbeitung mit hohem Risiko dar, für die eine Datenschutzfolgenabschätzung (durch Twitter) vorzunehmen ist.
Denn durch die Nutzung eines Twitter-Accounts begibt sich der/die jeweilige Nutzer_in unter die systematische Beobachtung durch die Twitter Inc. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Twitter-Nutzer_innen und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Twitter ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers/der Nutzerin.
Dies gilt umso mehr, als dass die Twitter Inc. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten von in Deutschland ansässigen Nutzer_innen nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigen Unternehmen.
Die Universität Heidelberg geht insofern davon aus, dass öffentliche Stellen, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen.
Mitverantwortung bedeutet dabei nicht, dass die Universität Heidelberg die Datenschutzkonformität der Produkte der Twitter Inc. bestätigt oder garantiert. Dies kann sie unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass die Universität Heidelberg sich und anderen die Risiken sozialer Netzwerke bewusst macht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Deshalb werden den Twitter-Nutzer_innen durch Verweise auf die Homepage der Universität Heidelberg alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer_innen zudem in der Datenschutzerklärung des Twitter-Accounts der Universität Heidelberg hingewiesen
Zu diesen Maßnahmen hat sich die Universität Heidelberg – gemäß den Richtlinien des LfDI – in ihrem Nutzungskonzept verpflichtet. Vor- und Nachteile der Twitter-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der Twitter-Inc. evaluiert. Diese Evaluierung des Nutzungskonzepts erfolgt jährlich und berücksichtigt die Nutzungszahlen und Reichweiten sowie die Zielgruppenstruktur und das Nutzungsverhalten der Netzwerke.
Die Twitter-Nutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der Twitter-Nutzung der Universität Heidelberg stellt sich vor diesem Hintergrund wie folgt dar:
1.) Risikoidentifikation:
Die eingangs beschriebenen Risiken, die mit einer Nutzung von Twitter einhergehen, bestehen grundsätzlich unabhängig von der eigenen Twitter-Nutzung der Universität Heidelberg. Auch wird durch die Tweets der Universität Heidelberg selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit dem Twitter-Account Universität Heidelberg oder anderen Accounts verarbeitet werden – nämlich die Tweets oder/und der Accountname eines Twitter-Nutzers/einer Twitter-Nutzerin – schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der Twitterseite der Universität Heidelberg und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so u. U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch dadurch, dass die Universität Heidelberg anderen Accounts folgt oder diese ihr, entstehen zusätzliche Querverbindungen und Informationen über den/die jeweilige_n Twitter-Nutzer_in; so lässt sich z.B. das Interesse an der Universität Heidelberg an der Follower-Eigenschaft oder regelmäßigen Beiträgen ablesen. Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer_innen Logdaten durch Twitter erhoben.
Durch die eigene Twitter-Nutzung erhöht die Universität Heidelberg also die Menge der Daten, die von der Twitter Inc. verwendet und ausgewertet werden.
2.) Risikoanalyse:
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Twitter Inc. und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucher_innen-Beiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden sich bei einer Verursachung durch die Twitter Inc. selbst als wesentlich darstellen, so werden diese durch das Twitter-Profil der Universität Heidelberg nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die Twitter Inc. verfügbar. Insbesondere entsteht durch das Angebot der Universität Heidelberg kein Zwang, einen Twitter-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur Universität Heidelberg bestehen.
Auch sind die Themen Wissenschaft, Lehre, Forschung etc. nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, sodass die Eintrittswahrscheinlichkeit eines Schadens sehr begrenzt ist.
3.) Risikobewertung
Insgesamt ist das durch den Twitter-Account der Universität Heidelberg verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt in der Sphäre des Nutzers: So besteht bei einer Twitter-Nutzung nicht die Pflicht zum Führen eines Klarnamens. Außerdem kann sich der/die Nutzer_in durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Die Universität Heidelberg hat hier für die Nutzung seiner Social-Media-Angebote eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4.) Ergebnis
Die Twitter-Nutzung durch die Universität Heidelberg ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die Universität Heidelberg verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfls. fortzuentwickeln.