Bericht der Hochschule für Musik Würzburg zur Datenschutz-Folgenabschätzung (DSFA)

für den Verarbeitungsvorgang Social Media-Präsenzen

Kontext

Die Hochschule für Musik Würzburg (HfM Würzburg) dient als Kunsthochschule vor allem der Pflege der Künste, der Entwicklung künstlerischer Fähigkeiten und der Vermittlung künstlerischer Kenntnisse und Fertigkeiten. Art. 2 Abs. 2 Sätze 3 und 4, Art. 12 Abs. 5 BayHIG verpflichtet die Hochschulen dazu, die Öffentlichkeit regelmäßig über die Erfüllung ihrer Aufgaben und die dabei erzielten Ergebnisse zu unterrichten. Um diese gesetzlichen Aufträge bestmöglich und zeitgemäß zu erfüllen, unterhält und pflegt die HfM Würzburg in den nachfolgend genannten Sozialen Medien eigene Präsenzen:

Aufgrund der Vorgaben der seit 25. Mai 2018 geltenden Datenschutzgrundveordnung (nachfolgend DSGVO) ist für die Angebote der HfM Würzburg gemäß Art. 35 Abs.1 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Rechtliche Einordnung

Bei einer Fanpage handelt es sich um eine Art Homepage, die durch Facebook publiziert (gehostet) wird. Der Inhalt stammt nicht von Facebook, sondern von dem jeweiligen Betreiber der Fanpage, hier die HfM Würzburg. Um eine Fanpage zu erstellen, muss sich ein Mitarbeiter der HfM Würzburg zu- nächst bei Facebook als Nutzer registrieren. Erst dann kann die Seite eingerichtet und betreut werden. Somit ist die bei Facebook registrierte Person bzw. die HfM Würzburg einerseits Nutzer von Facebook und andererseits durch den Betrieb der Fanpage auch Diensteanbieter im Sinne des Telemediengesetzes.

Jeder Betreiber einer Fanpage, also auch der HfM Würzburg, werden kostenfrei statistische Daten über die Nutzer der Fanpage von Facebook zur Verfügung gestellt. Dieser Service kann nicht abgestellt werden. Die Daten werden u.a. mit Hilfe von Cookies erhoben, um Besucherstatistiken zu erstellen. Diese von Facebook als „Seiten-Insights“ bezeichneten Statistiken beinhalten Daten über den Lebensstil und die Interessen der jeweiligen Nutzer, über das Online-Kaufverhalten und geographische Daten. Wird die Fanpage von Nutzern aufgerufen, die nicht bei Facebook angemeldet sind, werden deren Daten ebenfalls ausgewertet. Die HfM Würzburg nutzt die Daten aus den Seiten-Insights allerdings nicht unmittelbar.

Aufgrund datenschutzrechtlicher Bedenken hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein bereits in 2011 einen Fanpagebetreiber angewiesen, die Fanpage zu deaktivieren. Der Fanpage-Betreiber hat gegen diesen Bescheid Klage erhoben mit der Begründung, dass der Bescheid an Facebook direkt als Verantwortlichen zu richten gewesen wäre.

In seinem Urteil vom 05.06.2018 entschied der Europäische Gerichtshof (EuGH) 1, dass die Betreiber sog. Facebook-Fanpages gemeinsam mit Facebook für die Verarbeitung der Daten von Fanpage-Besuchern verantwortlich sind. Die Fanpage-Betreiber müssen Nutzenden nicht nur auf die Verarbeitung der Daten durch Facebook hinweisen, sondern die Daten z.B. auch löschen, wenn das jemand verlangt bzw. durch Facebook löschen lassen. Facebook hat zum 31.08.2020 eine Ergänzung zur Datenschutzrichtlinie online gestellt „Zusatz für Verantwortliche“, danach sieht sich Facebook in der Verantwortung für die Umsetzung der Betroffenenrechte.

Da Facebook und die Fanpage-Betreiber gemeinsam Verantwortliche sind, müssen diese nach Art. 26 DSGVO eine Vereinbarung treffen, in der geregelt ist, wer welche Pflichten nach der DSGVO erfüllt, insbesondere zu den Transparenz- und Betroffenenrechten. Von besonderer Bedeutung ist auch die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche die Rechtmäßigkeit von Datenverarbeitungsvorgängen, die in seiner Verantwortung liegen, prüfen, gewährleisten und nachweisen können muss.

Verarbeitung von personenbezogenen Daten

Bei der Nutzung von Social Media entstehen personenbezogene Daten, die durch die Anbieter der Social Media-Plattformen wie Meta Platform Inc., LinkedIn Corporation oder Google LLC teils umfangreich und intensiv verarbeitet werden. Die Plattformanbieter verarbeiten dabei alle Daten, die bei der Nutzung des Social Media Angebots entstehen, insbesondere Daten, die die Nutzer in die Social Media Plattformen eingeben. Dies wirkt sich besonders aus bei Nutzern, die bei einem Plattformanbieter bereits mit einem Nutzerkonto registriert sind. Aber auch von nicht registrierten Nutzern werden sogenannte „Log-Dateien“ erfasst und ausgewertet, die zum Beispiel Angaben über die eingesetzte Hard- und Software des Nutzers enthalten sowie Zeit und Dauer des Zugriffs auf das Social Media-Angebot.

In ihren Datenschutzerklärungen erläutern die Plattformanbieter nur unzureichend, für welche Zwecke sie die erhobenen Daten weiterverarbeiten. Deutlich wird jedoch, dass die Plattformanbieter dabei teils umfangreiche Nutzungsprofile erstellen, aus denen sie auf verschiedene Interessen der jeweiligen Nutzenden schließen und die Inhalte ihrer Plattformen sowie Werbung dahingehend anpassen.

Die HfM Würzburg dagegen verarbeitet grundsätzlich durch ihre Social Media-Präsenzen keine personenbezogenen Daten, außer, wenn die jeweiligen Nutzer Inhalte in ihren Social Media-Präsenzen einstellen, zum Beispiel Kommentare. Die HfM Würzburg kann diese Inhalte teilen, auf diese antworten oder Posts mit einem Verweis auf den Nutzer bzw. dessen Account erstellen. Insofern werden auch durch die HfM Würzburg Daten verarbeitet, die bei der Nutzung der jeweiligen Social Media-Präsenz durch die Nutzer eingegeben werden, insbesondere der (Nutzer-)Name und die unter dem Account veröffentlichten Inhalte.

Eine detaillierte Darstellung der Verarbeitungen der Nutzerdaten ist in den Datenschutzerklärungen zu den jeweiligen Social Media-Präsenzen der HfM Würzburg enthalten. Diese Datenschutzerklärungen sind abrufbar unter https://hfm-wuerzburg.de/datenschutz.

Risiko

Risikobeschreibung

Die HfM Würzburg verarbeitet die personenbezogenen Daten der Nutzenden der Social Media-Plattformen nur insoweit, als Nutzende selbst ohne Aufforderung Daten über Kommentarfunktionen von sich preisgeben. Die HfM Würzburg wertet diese Daten nicht aus. Beiträge der HfM Würzburg werden in der Regel ohne Personenbezug veröffentlicht.

Bei den Plattformanbietern ist bekannt, dass sie Nutzungsprofile der registrierten und nicht registrierten Nutzenden erstellen, um ihre Dienste zu verbessern und dem Nutzenden gezielte Informationen und Werbung zu übermitteln.

Durch die Verknüpfung der erhobenen Daten mit anderen Diensten desselben oder anderer Plattform-Anbieter können besonders aussagekräftige Profile entstehen. Nutzer, die bei einem oder mehreren Plattform-Anbietern ein Nutzerkonto angelegt haben und Inhalte veröffentlichen, geben dabei u.U. auch sensible Daten preis, die gemäß Art. 9 DSGVO besonders schützenswert sind, z.B. Informationen zu Gesundheitsdaten, politischen oder religiösen Überzeugungen oder zur sexuellen Orientierung. Die Plattformanbieter verknüpfen dabei die Daten, die ein Nutzender über sich oder einen Dritten preisgibt, mit den Daten, die sie über die Betroffenen bereits aus anderen Quellen erhoben haben.

Besonders junge Nutzende können von diesen Risiken betroffen sein, da von dieser Personengruppe die Social Media-Angebote tendenziell intensiver genutzt werden als von der älteren Bevölkerung. Dabei kann auch das passive Lesen von Social Media-Inhalten das Risiko auslösen, da die Plattformanbieter durch Cookies und Log-Daten z.B. Ort und Zeit der Social Media-Nutzung, eingesetzte Software und zuvor besuchte Webseite auslesen. Dabei werden personenbezogene Daten in großem Umfang verarbeitet, da viele Menschen diese Angebote nutzen. Sollten Nutzende Kommentare einstellen, sind diese zunächst auch weltweit lesbar und werden auf unbestimmte Dauer vorgehalten.

Das Geschäftsgebaren der Plattformanbieter stellt eine Verarbeitung personenbezogener Daten mit einem Risiko dar, für die im Kontext mit der gemeinsamen Verantwortung nach Art. 26 DSGVO eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO auch von der HfM Würzburg vorzunehmen ist.

Dabei hat die HfM Würzburg nur eingeschränkte Möglichkeiten, die Verarbeitung personenbezogener Daten durch die Plattform-Anbieter zu prüfen und kann sie nicht beeinflussen. Verträge nach Art. 26 DSGVO können aktuell mit den Plattformbetreibern nicht abgeschlossen werden, da sie die Anwendbarkeit des EUGH-Urteils in Zweifel ziehen.

Facebook hat inzwischen die Datenschutzrichtlinien ergänzt und sich zuständig erklärt für die Wahrnehmung der Betroffenenrechte. 2 Ein beiderseits zu schließender Vertrag mit dem Betreiber einer Fanpage wird jedoch nach wie vor ausgeschlossen.

Im Kontext dazu ist zu beachten, dass die Plattformanbieter in der Regel Unternehmen sind, die ihren Sitz nicht in Europa haben. Zwar unterliegen sie nach Art. 3 DSGVO den datenschutzrechtlichen Vorschriften der EU, da sie hier Handel treiben, leider bleibt festzustellen, dass sich die Firmen (noch) nicht vollständig an der DSGVO orientieren. Bei Datenverarbeitungen außerhalb der EU, z.B. in Irland und/oder den USA können die Rechte der Nutzenden u.U. eingeschränkt sein oder nur mit hohem Aufwand wahrgenommen werden.

Ebenfalls zu beachten ist, dass die genannten Plattformanbieter die personenbezogenen Daten weltweit, auch in die USA, transferieren. Eine etwaige Übermittlung der Daten an die Muttergesellschaft in den USA erfolgt auf Grundlage der Zertifizierung unter dem Data Privacy Framework.

Risikoanalyse

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Plattformbetreiber und eine heimliche Profilbildung begünstigt. Die Offenheit für Besucher-Kommentare kann zudem zu nachteiligen gesellschaftlichen Folgen, wie etwa unangebrachten oder diskriminierenden Äußerungen oder der Verbreitung sensibler Daten, führen.

Die identifizierten Risiken werden durch die Social Media Nutzung der HfM Würzburg nicht unmittelbar verursacht, sondern allenfalls in geringem Umfang erhöht.

Insbesondere entsteht durch das Angebot der HfM Würzburg kein Zwang, einen Social-Media-Account-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten (Webseite, Informationsbroschüren, E-Mail, Telefon oder persönlicher Kontakt) zur Hochschule bestehen. Auch sind die Themen Campusleben, Studium, Wissenschaft, Lehre, Forschung etc. nur in begrenztem Maße geeignet, hasserfüllte Debatten auszulösen, so dass die Eintrittswahrscheinlichkeit eines Schadens sehr begrenzt ist

Risikobewertung und Abhilfemaßnahmen

Die Risikobewertung erfolgt auf Grundlage der nachfolgend beschriebenen Kriterien der Schadens-
schwere und der Eintrittswahrscheinlichkeit.

Schadensschwere

Grad Bezeichnung des Grads Schwere der Folgen/möglicher Schaden: Beschreibung Schwere der Folgen/möglicher Schaden: Beispiel
1 geringfügig Betroffene erleiden eventuell Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können.
  • immateriell: leichte Verärgerung
  • materiell: Zeitverlust
  • physisch: vorübergehende Kopfschmerzen
2 überschaubar Betroffene erleiden eventuell signifikante Unannehmlichkeiten, die sie aber mit einigen Schwierigkeiten überwinden können.
  • immateriell: geringe, aber objektiv nachweisbare psychische Beschwerden
  • materiell: deutlich spürbarer Verlust an privatem Komfort
  • physisch: minderschwere körperliche Schäden, etwa leichte Krankheit

3

substanziell Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwin-
den können. Betroffene erleiden eventuell signifi-
kante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.
  • immateriell: schwere psychische Beschwerden
  • materiell: finanzielle Schwierigkeiten
  • physisch: schwere körperliche Beschwerden
4 groß Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.
  • immateriell: dauerhafte, schwere psychische Beschwerden
  • materiell: erhebliche Schulden
  • physisch: dauerhafte, schwere körperliche Beschwerden

Eintrittswahrscheinlichkeit

Grad Bezeichnung des Grads Eintrittswahrscheinlichkeit, Beschreibung
1 geringfügig Schaden kann nach derzeitigem Erwartungshorizont nicht eintreten.
2 überschaubar Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umstände scheint der Eintritt aber unwahrscheinlich zu sein.
3 substanziell Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein.
4 groß Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände möglich und sehr wahrscheinlich zu sein.

Risikobestimmung

Insgesamt ist das durch die Angebote verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.

Risiko Schadensschwere Eintrittswahrscheinlichkeit Risiko
Profilbildung durch Plattformanbieter Überschaubar Überschaubar Mittleres Risiko
Identitätsdiebstahl Geringfügig Geringfügig Geringes Risiko
Diskriminierung Geringfügig Geringfügig Geringes Risiko
Rufschädigung Geringfügig Geringfügig Geringes Risiko
Finanzieller Verlust Geringfügig Geringfügig Geringes Risiko
Veröffentlichung sensibler Daten Überschaubar Geringfügig Mittleres Risiko

Abhilfemaßnahmen

Als Grundlage zur Nutzung der Social-Media-Präsenzen der HfM Würzburg gilt das Nutzungskonzept sowie die Netiquette. Beide Richtlinien dienen als Grundlage für die kontinuierliche redaktionelle Betreuung sowie die ordnungsgemäße Nutzung und ermöglichen ein Eingreifen bei ehr- oder persölichkeitsverletzenden Kommentaren.

Zudem trägt die HfM Würzburg durch folgende Maßnahmen aktiv dazu bei, das Risiko weiter zu sen-
ken:

  • Die Verantwortlichkeiten innerhalb der HfM Würzburg sind klar definiert. Durch verschiedene aufeinander abgestimmte Sicherheitsvorkehrungen, wie begrenzte Zugriffsrechte und ein geschultes Personal, sorgt die HfM Würzburg für eine ordnungsgemäße Nutzung, die eine adäquate Repräsentation der Hochschule auf Social Media ermöglicht.
  • Social Media darf nur für Öffentlichkeitsarbeit eingesetzt werden. Die HfM Würzburg achtet daher bei der Erstellung und Veröffentlichung eigener Inhalte darauf, dass neben dem Urheberrecht der Fotos auch die Bildrechte der Abgebildeten berücksichtigt werden.
  • Wird in den Beiträgen der HfM Würzburg Bezug zu anderen Nutzern hergestellt (durch Teilen oder Erwähnen), so werden nur die Daten verarbeitet, die diese selbst und freiwillig angegeben haben (Nutzername und Postings).
  • Die HfM Würzburg klärt die Nutzenden in der Datenschutzerklärung transparent über die Datenverarbeitung und ihre Risiken auf.
  • Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen durch die HfM Würzburg bei etwaigen ehr‐ oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts des „störenden“ Nutzers.

Ein Großteil dieser Maßnahmen liegt allerdings in der Sphäre des Nutzers: So besteht bei einer Nutzung Sozialer Netzwerke keine Pflicht den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.

Ergebnis

Die Angebote der HfM Würzburg in den genannten Sozialen Medien sind angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die HfM Würzburg verpflichtet sich zudem, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung nötigenfalls zu wiederholen und fortzuentwickeln.