Datenschutzfolgenabschätzung (DSFA)
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die „Richtlinie des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) zur Nutzung von sozialen Netzwerken durch öffentliche Stellen“ macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten im Sinne der DSGVO zur Pflicht.
Das LinkedIn-Angebot der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (siehe dazu die Datenschutzerklärung zu LinkedIn) nicht aus, insbesondere im Hinblick darauf, dass es sich bei seinen Beiträgen hauptsächlich um ein reines Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen LinkedInNutzer_innen nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (da es sich bei LinkedIn um ein Karrierenetzwerk handelt, sind neben dem Nutzernamen und Beiträgen häufig auch Informationen zu Arbeitgeber und Position zu finden).
Jedoch stellt aus Sicht der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg die Linkedin-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch LinkedIn zu Werbezwecken und Ähnlichem, eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung vorzunehmen ist.
Denn durch die Nutzung eines LinkedIn-Accounts begibt sich der oder die jeweilige Nutzer_in unter die systematische Beobachtung durch LinkedIn. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können LinkedIn-Nutzer und damit Betroffene sein, wobei diese naturgemäß eher nicht zur LinkedIn Zielgruppe gehört auch, wenn eine offizielle Anmeldung bereits ab 16 Jahren erlaubt ist. Selbst beim bloß passiven Mitlesen von LinkedIn ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers oder der Nutzerin.
Dies gilt umso mehr, als dass LinkedIn nicht oder nur eingeschränkt überprüft werden kann. Da die Daten deutscher Nutzer nicht innerhalb Deutschlands, sondern im nichteuropäischen Ausland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.
Die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg geht insofern davon aus, dass sie als öffentliche Stelle, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzt, eine Mitverantwortung trägt.
Mitverantwortung bedeutet dabei nicht, dass die Rechtswissenschaftliche Fakultät der AlbertLudwigs-Universität Freiburg die Datenschutzkonformität der Produkte von LinkedIn bestätigt oder garantiert. Dies kann sie unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass die Universität Freiburg sich und anderen die Risiken sozialer Netzwerke bewusstmacht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Deshalb werden den LinkedInNutzer_innen durch Verweise auf die Homepage der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer in der Datenschutzerklärung der Universität Freiburg für LinkedIn hingewiesen. Zu diesen Maßnahmen hat sich die Universität Freiburg in ihrem Nutzungskonzept verpflichtet. Vor- und Nachteile der LinkedIn-Nutzung werden danach regelmäßig unter Einbeziehung der Nutzungsbedingungen der LinkedIn Corporation evaluiert. Diese Evaluierung des Nutzungskonzepts erfolgt jährlich und berücksichtigt die Nutzungszahlen und Reichweiten sowie die Zielgruppenstruktur und das Nutzungsverhalten der Netzwerke.
Die LinkedIn-Nutzung ist damit in ein Maßnahmenpaket (Nutzungskonzept, Datenschutzerklärung, Disclaimer und Netiquette)eingebettet. Die Abschätzung der Folgen der LinkedIn-Nutzung der Universität Freiburg stellt sich vor diesem Hintergrund wie folgt dar:
1. Risikoidentifikation:
Die eingangs beschriebenen Risiken, die mit einer Nutzung von LinkedIn einhergehen, bestehen grundsätzlich unabhängig von der eigenen LinkedIn-Nutzung der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg. Auch wird durch die Beiträge der Universität Freiburg selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit dem LinkedIn-Account der Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg oder anderen Accounts verarbeitet werden – nämlich die Beiträge oder/und der Accountname eines LinkedIn-Nutzers oder einer LinkedIn-Nutzerin– schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der LinkedIn-Seite der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch dadurch, dass die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg anderen Accounts folgt oder diese ihr, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen LinkedIn-Nutzer oder die jeweilige Nutzerin; so lässt sich zum Beispiel Interessensgebiete an der Abonnenten -/Follower-Eigenschaft, regelmäßigen Beiträgen, Aktivitäten und Gruppenmitgliedschaften ablesen.
Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer-Logdaten durch LinkedIn erhoben.
Durch die eigene LinkedIn-Nutzung erhöht die Universität Freiburg also die Menge der Daten, die von LinkedIn verwendet und ausgewertet werden.
2. Risikoanalyse:
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch LinkedIn und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen beziehungsweise als Karrierenetzwerk insbesondere auch in Bezug auf den aktuellen oder künftigen Arbeitsplatz und das Berufsumfeld.
Mögen diese Schäden sich bei einer Verursachung durch LinkedIn selbst als wesentlich darstellen, so werden diese durch das LinkedIn-Profil der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für LinkedIn verfügbar. Insbesondere entsteht durch das Angebot der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg kein Zwang, einen LinkedIn-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur Universität Freiburg bestehen.
3. Risikobewertung
Insgesamt ist das durch den LinkedIn-Account der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt aber in der Verantwortung des Nutzers: Der/die Nutzer kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Bezüglich besonders schutzwürdiger Personen wie etwa Jugendlichen lässt sich erkennen, dass diese in der Regel nicht zur LinkedIn-Zielgruppe gehört. Auch wenn die Anmeldung bei LinkedIn ab 16 Jahren möglich ist, richtet sich LinkedIn als Karrierenetzwerk hauptsächlich an Fach- und Führungskräfte, die sich aus eigenem Antrieb weltweit miteinander vernetzen möchten.
Diese Zielgruppe ist in der Regel deutlich älter und im Besitz einer entsprechenden Ausbildung und muss daher selbst zwischen dem beruflichen Nutzen des Dienstes und dem Schutz ihrer Daten abwägen. Dennoch ist zu betonen, dass insbesondere bei Business-Netzwerken eine erhöhte Gefahr von Fake-Profilen und Identitätsdiebstählen besteht, da häufig auch das Geschäfts-/Berufsumfeld der LinkedIn-Nutzer_innen detailliert beschrieben ist.
Zudem können einige LinkedIn-Praktiken, wie das Vortäuschen einer Mitgliedschaft von bestehenden Kontakten der LinkedIn-Nutzer_innen und dem eigenständigen Versenden von E-Mail-Einladungen zum Beitritt von LinkedIn im Bekanntenkreis von LinkedIn-Nutzer_innen für Argwohn sorgen oder sogar der beruflichen Reputation schaden.
Die LinkedIn-Nutzer sollten daher besonders darauf hingewiesen werden, LinkedIn den Zugriff auf Adressbücher und weitere auch externe Dienste zu untersagen und das automatische versenden von E-Mail-Einladungen zu deaktivieren, da LinkedIn auch Kontakte außerhalb des eigenen Netzwerkes kontaktiert und deren Daten speichert. Für zusätzliche Sicherheit kann man dem/der Nutzer_in nahelegen LinkedIn nur vom Desktop aus im Browser zu nutzen und keine LinkedIn-Apps auf seinem Smartphone / mobilen Endgeräten zu installieren.
Als weitere Abhilfemaßnahme ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg hat hier für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4. Ergebnis
Die LinkedIn-Nutzung durch die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfs. fortzuentwickeln.
Stand: Juli 2023