Datenschutz-Folgeabschätzung Instagram

Eine Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Richtlinie des baden-württembergischen Landesdatenschutzbeauftragten (LfDI) zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen macht die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten zur Pflicht.

Das Instagram-Angebot selbst löst nach den Maßstäben des LfDI diese Folge aufgrund des nur sehr geringen Umfangs unserer eigenen Datenverarbeitung (vgl. Datenschutzerklärung) nicht aus, insbesondere im Hinblick darauf, dass es sich bei den Posts hauptsächlich um ein bloßes Senden von Inhalten ohne Personenbezug handelt, und bei einem Bezug zu anderen Nutzerinnen und Nutzer nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben (Nutzername und Posts).

Jedoch stellt aus Sicht des LfDI die Instagram-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch die Facebook Inc. zu Werbezwecken u. Ä., eine Verarbeitung mit einem hohen Risiko dar, für die eine Datenschutzfolgenabschätzung (durch Facebook) vorzunehmen ist.

Denn durch die Nutzung eines Instagram-Accounts begibt sich der/die jeweilige Nutzer*in unter die systematische Beobachtung durch die Facebook Inc. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Auch besonders schutzwürdige Personen wie etwa Jugendliche können Instagram-Nutzerinnen und Nutzer und damit Betroffene sein. Selbst beim bloß passiven Mitlesen von Instagram ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten der Nutzerin bzw. des Nutzers.

Dies gilt umso mehr, als dass die Facebook Inc. nicht oder nur eingeschränkt überprüft werden kann. Da die Daten deutscher Nutzerinnen und Nutzer nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigem Unternehmen.

Der LfDI geht insofern davon aus, dass öffentliche Stellen, die ein Soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzen, eine Mitverantwortung tragen. Daher hat er sich selbst und anderen öffentlichen Stellen aber zur Vorgabe gemacht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, vergleichbar mit der Datenschutzfolgenabschätzung nach Art. 35 DSGVO (vgl. dazu die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch Öffentliche Stellen unter Mitverantwortung bedeutet aber nicht, dass die Staatsgalerie Stuttgart die Datenschutzkonformität der Produkte der Instagram Inc. bestätigt oder garantiert (vgl. dazu auch die Datenschutzerklärung). Mitverantwortung bedeutet vielmehr, dass wir uns der Risiken, die mit der Nutzung Sozialer Netzwerke einhergehen, bewusst sind und Nutzerinnen und Nutzer diese Risiken bewusstmachen möchten.

Die oben beschriebenen Risiken, die mit einer Nutzung von Instagram einhergehen, bestehen grundsätzlich unabhängig von der eigenen Instagram-Nutzung der Staatsgalerie Stuttgart. Auch wird durch die Posts der Staatsgalerie Stuttgart selbst in der überwiegenden Zahl der Fälle kein Bezug zu personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.

Schließlich sind die Daten, die durch die Interaktion mit dem Instagram-Account der Staatsgalerie Stuttgart oder anderen Accounts verarbeitet werden – nämlich die Posts oder/und der Accountname eines Instagramers – schon öffentlich verfügbar.

Jedoch werden sie durch das Erscheinen auf der Instagram-Seite der Staatsgalerie Stuttgart und die Wechselbeziehung einer breiteren Öffentlichkeit zur Verfügung gestellt und erreichen so u. U. eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion.

Auch dadurch, dass die Staatsgalerie Stuttgart anderen Accounts folgt oder diese ihr, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Instagramer; so lässt sich z. B. das Interesse am Museum an der Follower-Eigenschaft oder regelmäßigen Beiträgen ablesen.

Schließlich werden auch beim passiven Mitlesen der Seite durch die Nutzerinnen und Nutzer Logdaten durch Instagram erhoben.

Durch die eigene Instagram-Nutzung erhöht die Staatsgalerie Stuttgart also die Menge der Daten, die von der Facebook Inc. verwendet und ausgewertet werden.

Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Facebook Inc. und eine heimliche Profilbildung begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.

Mögen diese Schäden sich bei einer Verursachung durch die Facebook Inc. selbst als wesentlich darstellen, so werden diese durch das Instagram-Profil der Staatsgalerie Stuttgart nur in sehr begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für die Facebook Inc. verfügbar. Insbesondere entsteht durch das Angebot der Staatsgalerie Stuttgart kein Zwang, einen Instagram-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zur Staatsgalerie Stuttgart bestehen.

Insgesamt ist das durch den Instagram-Account der Staatsgalerie Stuttgart verursachte zusätzliche Risiko daher als gering einzustufen.

Auch kann der/die Nutzerin/Nutzer selbst Maßnahmen zum Schutz seiner personenbezogenen Daten ergreifen. Auf diese Möglichkeiten wird in den jeweiligen Datenschutzerklärungen hingewiesen. Darüber hinaus wird die Staatsgalerie Stuttgart diesbezüglich regelmäßig Sensibilisierungsmaßnahmen, zu denen es sich in ihrem Nutzungskonzept verpflichtet hat, durchführen.

Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Die Staatsgalerie Stuttgart hat für die Nutzung ihres Angebots eine Netiquette formuliert, auf deren Einhaltung sie bei der Betreuung der Seite achten wird.

Die Instagram-Nutzung durch die Staatsgalerie Stuttgart ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Die Staatsgalerie Stuttgart verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und ggf. fort zu entwickeln.