Folgeabschätzung der LinkedIn-Nutzung
Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten in Anlehnung an die DSGVO zur Pflicht.
Das LinkedIn-Angebot des Heidelberg Center for Ibero-American Studies (HCIAS) selbst löst diese Folge aufgrund des nur sehr geringen Umfangs seiner eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung zu LinkedIn) nicht aus, insbesondere im Hinblick darauf, dass es sich bei den Beiträgen hauptsächlich um ein Senden von Inhalten ohne oder mit nur begrenztem Personenbezug handelt, und bei einem Bezug zu anderen LinkedIn-Nutzer*innen nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (da es sich bei LinkedIn um ein Karrierenetzwerk handelt, sind neben dem Nutzernamen und Beiträgen häufig auch Informationen zu Arbeitgeber und Position zu finden).
Jedoch stellt aus Sicht des HCIAS die LinkedIn-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, hinsichtlich der Auswertung der Daten durch die LinkedIn Corporation zu Werbezwecken u. Ä., eine Verarbeitung mit hohem Risiko dar, für die eine Datenschutzfolgenabschätzung (durch LinkedIn) vorzunehmen ist.
Denn durch die Nutzung eines LinkedIn-Accounts begibt sich der/die jeweilige Nutzer*in unter die systematische Beobachtung durch die LinkedIn Corporation. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können LinkedIn-Nutzer*innen und damit Betroffene sein, wobei diese eher nicht zur LinkedIn-Zielgruppe gehören, auch wenn eine offizielle Anmeldung bereits ab 16 Jahren erlaubt ist (vgl. hierzu auch „Risikobewertung“).
Selbst beim bloß passiven Mitlesen von LinkedIn ohne eigenen Account können durch Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers/der Nutzerin.
Dies gilt umso mehr, als dass die LinkedIn Corporation nicht oder nur eingeschränkt überprüft werden kann. Da die Daten von in Deutschland ansässigen Nutzer*innen nicht innerhalb Deutschlands, sondern im nichteuropäischen Ausland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigen Unternehmen. Können datenschutzrechtliche Fragen mit LinkedIn direkt nicht geklärt werden, gilt als Ansprechpartner der Datenschutzbeauftragte Irland.
Das HCIAS geht insofern davon aus, dass öffentliche Stellen, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Mitverantwortung bedeutet dabei nicht, dass das HCIAS die Datenschutzkonformität der Produkte der LinkedIn Corporation bestätigt oder garantiert. Dies kann es unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass das HCIAS sich und anderen die Risiken sozialer Netzwerke bewusst macht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Deshalb werden den LinkedIn-Nutzer*innen durch Verweise auf die Homepage des HCIAS alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer_innen zudem in der Datenschutzerklärung des HCIAS für LinkedIn hingewiesen. Diese findet sich auf der Webseite des HCIAS unter www.hcias.uni-heidelberg.de. LinkedIn selbst bietet dazu aktuell keine Möglichkeit auf der LinkedIn-Unternehmensseite.
Dies ist eine der Maßnahmen, zu denen sich das HCIAS in ihrem Nutzungskonzept verpflichtet hat. Vor- und Nachteile der LinkedIn-Nutzung werden gemäß dem vom HCIAS erstellten Nutzungskonzept regelmäßig unter Einbeziehung der Nutzungsbedingungen der LinkedIn Corporation evaluiert. Diese Evaluierung des Nutzungskonzepts erfolgt jährlich und berücksichtigt neben datenschutzrechtlichen Gesichtspunkten auch die Nutzungszahlen und Reichweiten sowie die Zielgruppenstruktur und das Nutzungsverhalten der Netzwerke.
Die LinkedIn-Nutzung ist damit in ein Maßnahmenpaket eingebettet. Die Abschätzung der Folgen der LinkedIn-Nutzung des HCIAS stellt sich vor diesem Hintergrund wie folgt dar:
1. Risikoidentifikation
Die eingangs beschriebenen Risiken, die mit einer Nutzung von LinkedIn einhergehen, bestehen grundsätzlich unabhängig von der eigenen LinkedIn-Nutzung des HCIAS. Auch wird durch die Beiträge des HCIAS selbst in der überwiegenden Zahl der Fälle kein Bezug zu sensiblen personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit dem LinkedIn-Account des HCIAS oder anderen Accounts verarbeitet werden – nämlich die Beiträge oder/und der Accountname von LinkedIn-Nutzer*innen – schon öffentlich/ allgemein zugänglich/ frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf der LinkedIn-Seites des HCIAS und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so u. U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. Auch dadurch, dass das HCIAS anderen Accounts folgt oder diese ihm, entstehen zusätzliche Querverbindungen und Informationen über die jeweiligen LinkedIn-Nutzer*innen; so lässt sich z.B. Interessensgebiete an der Abonnenten-/Follower-Eigenschaft, regelmäßigen Beiträgen, Aktivitäten und Gruppenmitgliedschaften ablesen.
Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzer:innen Logdaten durch LinkedIn erhoben.
Durch die eigene LinkedIn-Nutzung erhöht das HCIAS also die Menge der Daten, die von LinkedIn verwendet und ausgewertet werden.
2. Risikoanalyse
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die LinkedIn Corporation und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucher*innen-Beiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen bzw. als Karrierenetzwerk insbesondere auch in Bezug auf den aktuellen oder künftigen Arbeitsplatz und das Berufsumfeld.
Mögen diese Schäden sich bei einer Verursachung durch LinkedIn selbst als wesentlich darstellen, so werden diese durch das LinkedIn-Profil des HCIAS nur in begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die LinkedIn Corporation verfügbar. Insbesondere entsteht durch das Angebot des HCIAS kein Zwang, einen LinkedIn-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur Universität Heidelberg bestehen. Grundsätzlich sind alle Beiträge und Stellenangebote, die auf dem LinkedIn-Account des HCIAS abgebildet werden, auch über die Webseite der Universität Heidelberg erhältlich, so dass deren Konsum ohne jegliche Datengenerierung möglich ist.
Auch sind die Themen des HCIAS im Bereich der universitären Lehre und Forschung nur in begrenztem Maß geeignet, hasserfüllte Debatten auszulösen, so dass die Eintrittswahrscheinlichkeit eines Schadens sehr begrenzt ist.
3. Risikobewertung
Insgesamt ist das durch den LinkedIn-Account des HCIAS verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Zudem ist die Durchführung von Abhilfemaßnahmen möglich, die das Risiko weiter senken, auf die das HCIAS auch in ihrer Datenschutzerklärung für LinkedIn hinweist. Ein Großteil dieser Maßnahmen liegt aber in der Sphäre des Nutzers/der Nutzerin: Der/die Nutzer*in kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos.
Bzgl. besonders schutzwürdige Personen wie etwa Jugendlichen lässt sich erkennen, dass diese i.d.R. nicht zur LinkedIn-Zielgruppe gehört. Auch wenn die Anmeldung bei LinkedIn ab 16 Jahren möglich ist, richtet sich LinkedIn als Karrierenetzwerk hauptsächlich an Fach- und Führungskräfte, die sich aus eigenem Antrieb weltweit miteinander vernetzen möchten.
Diese Zielgruppe ist i.d.R. deutlich älter und im Besitz einer entsprechenden Ausbildung und muss daher selbst zwischen dem beruflichen Nutzen des Dienstes und dem Schutz ihrer Daten abwägen. Dennoch ist zu betonen, dass insbesondere bei Business-Netzwerken eine erhöhte Gefahr von gefälschten Profilen und Identitätsdiebstählen besteht, da häufig auch das Geschäfts-/Berufsumfeld der LinkedIn-Nutzer*innen detailliert beschrieben ist.
Zudem können einige LinkedIn-Praktiken, wie das Vortäuschen einer Mitgliedschaft von bestehenden Kontakten der LinkedIn-Nutzer*innen und dem eigenständigen Versenden von E-Mail-Einladungen zum Beitritt von LinkedIn im Bekanntenkreis von LinkedIn-Nutzer*innen für Argwohn sorgen oder sogar der beruflichen Reputation schaden.
Die LinkedIn-Nutzer*innen sollten daher besonders darauf hingewiesen werden, LinkedIn den Zugriff auf Adressbücher und weitere auch externe Dienste zu untersagen und das automatische versenden von E-Mail-Einladungen zu deaktivieren, da LinkedIn auch Kontakte außerhalb des eigenen Netzwerkes kontaktiert und deren Daten speichert. Für zusätzliche Sicherheit kann man den Nutzer*innen nahelegen LinkedIn nur vom Desktop aus im Browser zu nutzen und keine LinkedIn-Apps auf dem Smartphone / mobilen Endgeräten zu installieren.
Als weitere Abhilfemaßnahme ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Das HCIAS hat hier für die Nutzung ihres Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.
4. Ergebnis
Die LinkedIn-Nutzung durch das Heidelberg Center for Ibero-American Studies (HCIAS) ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Das HCIAS verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggfls. fortzuentwickeln.