Aufgrund der Vorgaben der ab 25. Mai 2018 geltenden Datenschutzgrundverordnung (nachfolgend DSGVO) ist für die Angebote der Landeshauptstadt gemäß Art. 35 Abs.1 DSGVO eine Datenschutzfolgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
I. Schwellwertanalyse
Aufgrund der Regelungen der DSGVO kommt für die Social Media Angebote der Landeshauptstadt Stuttgart eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO in Betracht, sofern gemäß Art. 35 Abs. 1 DSGVO hohe Risiken für die Rechte und Freiheiten natürlicher Personen aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, insbesondere bei Verwendung neuer Technologien drohen. Demnach wäre formalrechtlich nach einer Vorab-Einstufung (sogenannte Schwellwertanalyse) die DSFA nicht zwingend durchzuführen, kommt aber vorliegend – auch unter Würdigung der Vorgaben der zuständigen Datenschutzbehörde - hinsichtlich Umfang und Umstände (z.B. eine mögliche Übermittlung in unsichere Drittländer) in Betracht.
Die DSFA wird vorliegend also nicht im Sinne einer zwingenden gesetzlichen Konstellation, sondern im Sinne einer datenschutzrechtlichen Zulässigkeitsprüfung und Risikoanalyse mit Ableitung der notwendigen Schutzmaßnahmen durchgeführt. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge (mehrere Social Media Angebote) mit ähnlich hohen Risiken kann gemäß Art. 35 Abs. 1 Satz 2 DSGVO eine einzige Abschätzung vorgenommen werden, sodass vorliegend die DSFA zusammenfassend für alle Social Media Kanäle der Landeshauptstadt Stuttgarterfolgt.
II. Risikobestimmung
Die eigenen Social Media Seiten der Landeshauptstadt Stuttgart lösen das in Art. 35 DSGVO beschriebene Risiko aufgrund des eher geringen Umfangs einer eigenen Datenverarbeitung selbst nicht aus. Dies gilt insbesondere im Hinblick darauf, dass es sich bei den eigenen Beiträgen hauptsächlich um ein reines Posten von Inhalten ohne Personenbezug handelt, und bei einer etwaigen Kommunikation mit den Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben.
Die Nutzung Sozialer Medien durch solche Angebote hat jedoch weitreichende Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch den jeweiligen Plattformbetreiber zu Werbezwecken usw. Dies stellt eine Verarbeitung mit hohem Risiko dar, für die eine DSFA vorgenommen werden kann.
Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden‐Württemberg (Öffnet in einem neuen Tab) (nachfolgend LfDI) geht davon aus, dass öffentliche Stellen, die Soziale Medien zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Mitverantwortung bedeutet dabei nicht, dass die öffentliche Stelle die Datenschutzkonformität des jeweiligen Sozialen Netzwerkes bestätigt oder garantiert. Mitverantwortung bedeutet vielmehr, dass die LHS sich und anderen die Risiken Sozialer Netzwerke bewusst macht. Auf diese Risiken, die generell mit der Nutzung Sozialer Medien einhergehen, werden die Nutzer insbesondere in der Datenschutzerklärung der Landeshauptstadt Stuttgart hingewiesen.
Die Risiken für die Nutzer, die mit einer Nutzung Sozialer Medien einhergehen, bestehen grundsätzlich auch unabhängig von der Nutzung durch die Landeshauptstadt Stuttgart. Durch die Beiträge der Landeshauptstadt Stuttgart wird in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden sachbezogene Inhalte verbreitet. Schließlich sind die Daten, die durch die Interaktion mit dem jeweiligen Nutzer-Account in Sozialen Medien verarbeitet werden, zumeist schon öffentlich zugänglich bzw. frei im Internet verfügbar.
Die Inhalte werden jedoch durch das Erscheinen auf den Social Media Seiten der Landeshauptstadt Stuttgart und die Wechselbeziehung einer breiteren/„spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch dadurch, dass die LHS sich innerhalb Sozialer Medien mit anderen Accounts vernetzt, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Nutzer des Accounts. Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer Logdaten durch den jeweiligen Plattformanbieter erhoben.
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch den Plattformbetreiber und eine heimliche Profilbildung begünstigt. Auch kann die Möglichkeit von Nutzerbeiträgen zu nachteiligen Folgen wie unangebrachte, diskriminierende oder beleidigende Kommentare oder die Verbreitung sensibler Daten führen.
Solche Schäden sind bei einer Verursachung durch den jeweiligen Plattformbetreiber als wesentlich einzustufen, werden aber durch die Social Media Seiten der Landeshauptstadt Stuttgart nur in begrenztem Maße erhöht. Da die jeweiligen Informationen in den Beiträgen der LHS auch noch anderweitig veröffentlicht werden, entsteht kein Zwang der Teilnahme an einem der Sozialen Netzwerke der LHS.
Nachfolgende Risiken für die Rechte und Freiheiten natürlicher Personen sind aufgrund der Verwendung Sozialer Netzwerke besonders hervorzuheben:
- Die Plattformbetreiber verarbeiten personenbezogene Nutzerdaten durch den Einsatz von Cookies, Tracking-Werkzeugen und ähnlichen Technologien für den Betrieb und die Bereitstellung der Dienste, aber auch für (personalisierte) werbliche Zwecke. Die Informationen werden verwendet, um die Aktivitäten und Verhaltensmuster der Nutzerinnen und Nutzer der Plattform auszuwerten oder Fehlverhalten zu melden. Dies gilt auch für Nutzer, die während des Besuchs der Seite nicht auf der Plattform eingeloggt oder registriert sind.
- Die Plattformbetreiber übermitteln die erhobenen Informationen teilweise an Partner oder konzernangehörige Unternehmen in unsichere Drittländer.
- Viele Social-Media-Plattformen speichern Daten nicht nur auf Servern in der EU, sondern auch in den USA oder anderen Drittländern. Die Social-Media-Plattformen bestimmen die Speicherdauer eigenverantwortlich, informieren aber in der Regel darüber in ihren Datenschutzrichtlinien.
III. Kriterien der Risikoanalyse
Das Risiko für die „Rechte und Freiheiten“ sowie die Rechtsgüter der betroffenen Nutzerinnen und Nutzer(insbesondere Schutz der Persönlichkeit) muss zunächst bestimmt werden. Anschließend erfolgt eine Bewertung der Risiken für die Rechtsgüter der betroffenen Personen.
1. Allgemeine Grundsätze der Risikoanalyse
Das mögliche Risiko des Betreibens von Social Media Kanälen für die Betroffenen soll nach den objektiven Kriterien der konkreten Verarbeitung ermittelt werden, siehe hierzu EG 76 der DSGVO:
„Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
Der Betroffene steht im Mittelpunkt der Betrachtung, nicht der mögliche (monetäre) Schaden für die Landeshauptstadt Stuttgart z.B. aufgrund eines Imageschadens.
2. Faktoren zur Bewertung der Risiken
Zur Risikobewertung gehören insbesondere die Faktoren(*1):
Eintrittswahrscheinlichkeit
- Risiko-Quellen müssen bestimmt werden
- vorhandene technisch-organisatorische Schutzmaßnahmen
- Umstände der konkreten Situation und Verarbeitung
- Schwere des Schadens
- Höhe des Schutzbedarfs, z.B. aufgrund der Sensibilität oder des Umfangs der personenbezogenen Daten
- aus hohem Schutzbedarf resultiert nicht zwangsläufig ein hohes Risiko, z. B. bei geringer Eintrittswahrscheinlichkeit
- mögliche Negativfolgen für die Betroffenen (Nutzer, Arbeitnehmer usw.)
(*1): Die Kriterien zur Bewertung der Eintrittswahrscheinlichkeit der Risiken und der Schwere der drohenden Schäden orientieren sich an ISO/IEC 29134:2017 (Standard für DSFA), am WP 248 sowie an den Veröffentlichungen der Aufsichtsbehörden in Deutschland und Frankreich (CNIL).
3. Mögliche Negativfolgen für die Betroffenen
Die Verarbeitung personenbezogener Daten der Betroffenen kann zu materiellen und immateriellen Schäden führen, siehe EG 75 der DSGVO. Als möglicherweise gefährdete Rechtsgüter der Betroffenen durch das Betreiben von Social Media Kanälen kommen insbesondere in Betracht:
- Vertraulichkeit, Integrität, Verfügbarkeit und Transparenz der personenbezogenen Daten
- Datenminimierung
- Rufschädigung
- Kontrollverlust bezüglich eigener Daten
- Profilbildung
- Überwachungsdruck
- Diskriminierung
- Identitätsdiebstahl
- finanzieller Verlust
IV. Risikominderung durch die Landeshauptstadt Stuttgart
Angesichts der bekannten Risiken bei der Nutzung von Social Media Kanälen, hat die Landeshauptstadt Stuttgart reagiert und nachfolgende risikomindernde Maßnahmen ergriffen:
Die Landeshauptstadt Stuttgart erstellt für jeden einzelnen Social Media Kanal eine ausführliche Datenschutzerklärung mit detaillierten Datenschutzinformationen für die Nutzer. Dadurch erfolgt eine Bündelung und Steigerung der Transparenz der unübersichtlichen Datenschutzinformationen der Plattformbetreiber.
Die Landeshauptstadt Stuttgart hat ein umfassendes Social Media Konzept (Öffnet in einem neuen Tab) erstellt, das für die notwendige Transparenz der Datenverarbeitung, Risiken und Abhilfemaßnahmen sorgt.
Die Landeshauptstadt Stuttgart stellt ausführliche Informationen bereit, um Nutzerinnen und Nutzer in die Lage zu versetzen, sich vor einer Auswertung des Nutzerverhaltens zu schützen. Hierzu gehören insbesondere Informationen bezüglich der Anpassung von Geräte-, Privatsphäre- und Browsereinstellungen, der Deaktivierung und Verwaltung von Cookies, Tracking Technologien, Remarketing und personalisierter Werbung, siehe hierzu im Detail auch das Social Media Konzept und die Datenschutzerklärungen der einzelnen Social Media Kanäle der Landeshauptstadt Stuttgart.
Die Landeshauptstadt Stuttgart macht die Weitergabe und Übermittlung von Daten in unsichere Drittländer durch die Plattformbetreiber transparent und prüft, ob die Datenschutzanforderungen an den internationalen Datentransfer (insbesondere EU-Standardvertragsklauseln, TIA und Data Privacy Framework) durch die Plattformbetreiber eingehalten werden.
Die Landeshauptstadt Stuttgart sorgt für den Abschluss der notwendigen Datenschutzverträge wie z.B. die erforderlichen Verträge zur Auftragsverarbeitung oder der gemeinsamen Verantwortlichkeit mit dem Plattformbetreiber, siehe z.B. das Joint Controller Addendum für TikTok Analytics, das die Verantwortlichkeiten regelt und die Wahrnehmung der Betroffenenrechte transparent macht.
Datensicherheit: Die Landeshauptstadt Stuttgart verfolgt ein Informationssicherheitskonzept, dass die nach dem Stand der Technik und den einschlägigen Standards erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen umsetzt und in einer „Leitlinie zur Informationssicherheit“ niedergelegt ist.
Die Landeshauptstadt Stuttgart respektiert die von Nutzerinnen und Nutzern z.B. im Browser oder Nutzerkonto getroffenen Einstellungen (etwa die Deaktivierung von Cookies, Tracking-Werkzeugen oder Standortdaten) und wird keinerlei Anstrengungen unternehmen, solche Schutz- und Abwehrmaßnahmen auszuschalten oder zu umgehen.
Speicherdauer: Die Landeshauptstadt Stuttgart speichert die personenbezogenen Daten von Nutzerinnen und Nutzern auf ihren Systemen nur solange, wie dies nach den Zweckbestimmungen erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Bei Anfragen an die LHS werden die Daten während der Bearbeitungsdauer sowie sechs Monate nach Ende der Bearbeitung gespeichert. Im Anschluss wird die LHS die Daten unverzüglich löschen. In den verschiedenen Datenschutzerklärungen zu den einzelnen Social Media Plattformen wird die LHS soweit wie möglich über die Speicherfristen der Plattformbetreiber informieren.
Umgang mit Kommentaren, Netiquette: Soweit leistbar wird die LHS ihre Social Media Seiten kontinuierlich überprüfen und redaktionell betreuen, um diskriminierende oder beleidigende Kommentare sowie die Verbreitung sensibler Daten unverzüglich zu erkennen und zu verhindern. Die Netiquette (Öffnet in einem neuen Tab) der Landeshauptstadt Stuttgart legt Verhaltensregeln für die Nutzung der städtischen Kanäle fest und ist auf der Webseite abrufbar.
V. Verhältnismäßigkeitsprüfung und Risikoabwägung
1. Eignung für die Erreichung der beschriebenen Zwecke
Die Zwecke der Nutzung Sozialer Medien wird im Social Media Konzept der Landeshauptstadt Stuttgart ausführlich beschrieben. Die dort beschriebenen Zwecke sind insbesondere
- Förderung der Transparenz kommunaler Arbeit
- Stärkung der Bürgernähe und des Dialogs
- Erweiterung der Reichweite städtischer Informationen
- Ansprache neuer, insbesondere jüngerer Zielgruppen
- Bewerbung von Beteiligungsformaten und Veranstaltungen
- Krisenkommunikation, Warnhinweise, aktuelle Meldungen
- Stärkung der LHS als Arbeitgebermarke
- Positives Stadtbild
Die Erreichung dieser Zwecke durch die Nutzung Sozialer Medien ist aufgrund von allgemeinen Erfahrungswerten nachweisbar. An der Eignung der Nutzung Sozialer Medien für die Erreichung der beschriebenen Zwecke bestehen daher keine vernünftigen Zweifel.
2. Erforderlichkeit, mildere Mittel
Nicht erforderlich und damit unverhältnismäßig wäre die Nutzung Sozialer Medien durch die Landeshauptstadt Stuttgart, wenn die damit verfolgten Interessen auch mit milderen, gleich geeigneten Mitteln erreicht werden könnten.
Der Einsatz sozialer Netzwerke erfolgt nur, wenn die damit verfolgten Kommunikations- und Informationsziele der Landeshauptstadt Stuttgart über klassische städtische Kanäle (Webseite, Amtsblatt, Pressearbeit) nicht gleich wirksam erreicht werden können. Die Landeshauptstadt Stuttgart wird diese Erforderlichkeit fortlaufend überprüfen und den Betrieb nicht mehr erforderlicher sozialer Netzwerke wieder einstellen.
3. Abwägung der beteiligten Interessen
| Eintritts- wahrschein- lichkeit und Schwere des Schadens |
vernachlässigbar |
begrenzt | wesentlich |
|---|---|---|---|
| Vertraulichkeit |
ausführliche Anpassung von Geräte-, Deaktivierung von umfassendes Social- keine Umgehung von |
||
| Integrität |
Informations- technische und Leitlinie zur Abschluss der kontinuierliche |
||
| Verfügbarkeit | die personenbezogenen Daten haben für die Betroffenen keine gesteigerte Bedeutung, so dass keine Schäden zu erwarten sind. |
||
| Transparenz |
ausführliche Datenschutz- umfassendes Social- |
||
| Datenminimierung |
ausführliche Anpassung von Deaktivierung von umfassendes Social- Abschluss der Begrenzung der |
||
|
Rufschädigung, |
Netiquette mit kontinuierliche |
||
|
Kontrollverlust |
Übermittlung von Prüfung der Abschluss der Begrenzung der |
||
|
Profilbildung |
ausführliche Anpassung von Geräte-, Deaktivierung Begrenzung der |
||
|
Überwachungsdruck |
ausführliche Anpassung von Deaktivierung von umfassendes Social- keine Umgehung von |
Insgesamt ist das durch die Social-Media-Angebote der Landeshauptstadt Stuttgart verursachte zusätzliche Risiko bezüglich Eintrittswahrscheinlichkeit und Schwere möglicher Schäden für die Betroffenen daher als gering bis begrenzt einzustufen. Zudem trägt die Landeshauptstadt Stuttgart aktiv dazu bei, das Risiko weiter zu senken. Hierzu zählt insbesondere die Aufklärung über die jeweiligen detaillierten und aktuell gehaltenen Datenschutzerklärungen der Landeshauptstadt Stuttgart bezüglich der einzelnen Social Media Auftritte.
Ein Großteil der risikomindernden Maßnahmen liegt allerdings auch in der Sphäre der Nutzerinnen und Nutzer. So besteht bei einer Nutzung Sozialer Netzwerke keine Pflicht den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad selbst schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen durch die Landeshauptstadt Stuttgart bei etwaigen ehr‐ oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts des „störenden“ Nutzers. Die Landeshauptstadt Stuttgart hat zudem für die Nutzung ihrer Angebote eine Netiquette formuliert, auf deren Einhaltung bei der Betreuung geachtet wird.
Die Nutzung Sozialer Netzwerke durch die Landeshauptstadt Stuttgart mit den dargestellten Rahmenparametern ist zur Erreichung der oben beschriebenen Zwecke der Landeshauptstadt Stuttgart geeignet, erforderlich und angemessen, also insgesamt gemäß der durchgeführten Risikoabwägung für die Betroffenen verhältnismäßig.
VI. Beteiligung Datenschutzbeauftragter
Nach Art. 35 Abs. 2 DSGVO ist der Datenschutzbeauftragte (DSB) der Landeshauptstadt Stuttgart an der DSFA zu beteiligen. Dies ist in ausreichendem Maße erfolgt. Der DSB der Landeshauptstadt Stuttgart hat die Nutzung Sozialer Medien fortlaufend beratend begleitet. Seine datenschutzrechtlichen Bewertungen sind in die Entscheidungen über die Nutzung Sozialer Medien eingeflossen. Auch wird der DSB weiterhin datenschutzrechtliche Überprüfungen bezüglich der Nutzung Sozialer Medien vornehmen.
VII. Ergebnis
Die Angebote der Landeshauptstadt Stuttgart auf den Sozialen Plattformen sind angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die Landeshauptstadt Stuttgart verpflichtet sich zudem, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung nötigenfalls zu wiederholen und fortzuentwickeln.
Vorliegend ist gemäß Art. 36 Abs. 1 DSGVO eine Hinzuziehung der zuständigen Datenschutzaufsichtsbehörde nicht erforderlich, da die durchgeführte DSFA kein verbleibendes hohes Risiko aufgezeigt hat. Vielmehr ist die Nutzung Sozialer Medien
durch die Landeshauptstadt Stuttgart unter Inkaufnahme vertretbarer Risiken möglich. Aufgrund der dargestellten Abhilfemaßnahmen konnte das bestehende Risiko ausreichend minimiert werden.
Social-Media-Kanäle der Landeshauptstadt Stuttgart