Datenschutz und die sozialen Netzwerke

Datenschutz und die sozialen Netzwerke

In unserer heutigen Gesellschaft spielen soziale Netzwerke eine wohl gesellschaftlich große Rolle. Es gibt jene, die sie nutzen, um sich selbst, ihr Talent oder ihr Unternehmen zu präsentieren. Weiterführend schalten diese Akteure dann auch Werbung. Dann gibt es die, die Betreiber der sozialen Netzwerke sind. So sind die sozialen Netzwerke in den letzten Jahren aufgrund verschiedener Skandale besonders häufig in den Schlagzeilen gewesen. Der Datenschutz war dabei sehr oft ein Thema. Irgendwann fragt man sich dann aber doch, ob der Datenschutz und die sozialen Netzwerke vereinbar sind.

Facebook, Instagram, Twitter, TikTok & Co.

Wer in sozialen Netzwerken aktiv ist, gibt dabei nicht selten sehr private Einblicke in das eigene Leben preis. Welche Plattform wir uns dabei genauer ansehen, ist relativ egal. Menschen veröffentlichen Bilder ihrer Hochzeit. Andere teilen ihre Meinung zu brisanten Themen. Dann gibt es solche, die ein Bild einer jüngsten Krankheitsdiagnose teilen. Die eigene Akne vor Live-Publikum zu inspizieren, ist bei manchen Nutzern ebenfalls nicht tabu. Die Betreiber dagegen haben die Möglichkeit, mit all diesen Informationen den Umsatz zu steigern. Im Zuge dessen den Datenschutz einzuhalten, rückt bei so manchem Betreiber dann eventuell in den Hintergrund. Dies sollte jedoch nicht sein.

Verarbeitung einer Unmenge an personenbezogenen Daten

Nutzer geben in sozialen Netzwerken also eine Unmenge personenbezogener Daten preis. Dies machen sie sowohl freiwillig und aus Eigeninitiative als auch auf passivem Weg. Da gibt es Cookies, die erfassen, wann wir online sind. Die Betreiber haben Informationen dazu, mit wen wir worüber kommunizieren. Sie können den Beziehungsstatus der Nutzer erahnen oder kennen ihn, wenn Nutzer ihn wahrheitsgemäß vermerken. Wo sich die Nutzer befinden, ist ebenfalls kein Geheimnis – auch dies können Nutzer selbst bekanntgeben. So findet man in nicht wenigen Profilen auch personenbezogene besonderer Kategorien gem. Art. 9 Abs. 1 DSGVO – entweder direkt oder indem ein Interessent eigene Schlüsse zieht.

Grundsätze der Verarbeitung

Trotz der Freizügigkeit der Nutzer als betroffene Personen haben sie ein Recht darauf, dass der Betreiber des sozialen Netzwerkes die Grundsätze für die Verarbeitung personenbezogener Daten einhält. Sie dürfen also darauf vertrauen müssen, dass ihnen transparent mitgeteilt wird (Art. 5 Abs. 1 lit. a) DSGVO), für welche Zwecke die Daten verarbeitet werden (Art. 5 Abs. 1 lit. b) DSGVO). Folglich werden die Daten auch nur in der Menge, wie sie dafür vonnöten sind (Art. 5 Abs. 1 lit. c) DSGVO) verarbeitet. Zusätzlich verarbeitet der Verantwortliche dann die korrekten Daten (Art. 5 Abs. 1 lit. d) DSGVO) und nur für die Zeit, für die es nötig ist, um den Zweck zu erfüllen und nicht länger (Art. 5 Abs. 1 lit. e) DSGVO). Des Weiteren müssen Nutzer sich darauf verlassen können, dass die Integrität und Vertraulichkeit ihrer Daten nicht kompromittiert wird (Art. 5 Abs. 1 lit. f) DSGVO).

Verantwortung der Betreiber sozialer Netzwerke

Natürlich ist es jedem Nutzer selbst überlassen, welche Daten er von sich veröffentlicht. Bei jeder aktiven oder passiven Aktion (wenn die jeweilige App beispielsweise im Hintergrund läuft) werden aber auch Metadaten verarbeitet. Auf diese hat ein Nutzer keinen Einfluss. So kann es auch sein, dass ein Nutzer sein Profil auf einen bestimmten Personenkreis begrenzt. Wenn es hier ein technisches Problem seitens des sozialen Netzwerkes und dessen Sicherheit gibt, ist der Nutzer hier ebenfalls erst einmal schutzlos. Hier muss der Betreiber des sozialen Netzwerkes – der Verantwortliche – für den Schutz und die Sicherheit der personenbezogenen Daten sorgen. Allerdings nicht nur das: Er ist auch verantwortlich dafür, dass jegliche personenbezogenen Daten, nur soweit verarbeitet werden, wie es der Nutzer erlaubt.

Technische und organisatorische Maßnahmen

Ein Betreiber eines sozialen Netzwerkes hat also technische und organisatorische Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten zu implementieren. Betrachten wir also ein paar Beispiele, die sonst weniger Erwähnung finden, aber bei Betrieb eines sozialen Netzwerkes umso wichtiger erscheinen:

Datenschutzfreundliche Technikgestaltung und Voreinstellungen

Wer ein digitales soziales Netzwerk aufbaut, sollte dabei unbedingt Art. 25 DSGVO im Auge behalten. Der technische Aufbau der Plattform selbst sollte schon zugunsten des Datenschutzes umgesetzt werden (Art. 25 Abs. 1 DSGVO). Es bietet sich also beispielsweise an, die Plattform auf eigenen Servern zu betreiben und nicht die anderer Unternehmen zu nutzen, sofern sich dies vermeiden lässt. Sobald die Plattform dann nutzbar ist, ist zu gewährleisten, dass die Voreinstellungen im Sinne des Datenschutzes eingestellt sind (Art. 25 Abs. 2 DSGVO). Folglich ist beispielsweise zu empfehlen, dass das jeweilige Profil anfänglich auf „privat“ eingestellt ist. Möchte ein Nutzer sein Profil öffentlich machen, so kann er dies selbst einstellen. – Weitere Erläuterungen finden Sie in unserem Beitrag hier. –

Verschlüsselung von Registrierungsdaten

LogIn-Daten, speziell Passwörter, gehören nach Art. 9 Abs. 1 DSGVO nicht zu den besonders sensiblen Daten. Besonderer Schutz muss diesen dennoch zukommen. Wenn es unbefugten Personen möglich ist, diese einzusehen und zu nutzen, kann dies schwerwiegende Folgen für die Nutzer haben. Sonst kommt es zu einer Kompromittierung personenbezogener Daten, die der Nutzer nicht antizipierte, einem Datenschutzvorfall also. Demnach hat ein Verantwortlicher also angemessene Maßnahmen zur Verschlüsselung dieser Daten zu ergreifen. Mit solch einer Maßnahme wird der Verantwortliche dann auch zur Einhaltung von Art. 32 Abs. 1 lit. a) DSGVO und zu Art. 5 Abs. 1 lit. f) DSGVO beitragen.

Ausreichende Server-Leistung

Art. 32 Abs. 1 lit. b) DSGVO schreibt u. a. vor, dass die Verfügbarkeit und Belastbarkeit der Systeme gegeben sein muss. Dafür benötigt es je nach Auslastung Server, die die notwendige Leistungsstärke aufweisen. Ist ein soziales Netzwerk gerade am Anfang, reicht eventuell ein Server aus. Je mehr Menschen es dann nutzen, desto mehr Server-Leistung wird benötigt. – Zum Vergleich: 2015 vermutete man, dass Facebook mehrere Hunderttausend Server weltweit betrieb (Link). Inzwischen dürften es wieder mehr sein. – Also auch dies ist eine Maßnahme, die ein Betreiber eines sozialen Netzwerkes umsetzen sollte.

Berechtigungen

Aufgrund der potentiell sehr sensiblen Daten, die verarbeitet werden können, ist es wichtig, einzuteilen, welcher Beschäftigter worauf zugreifen darf, ob er nur Lese- oder weiterführende Bearbeitungsrechte hat. Dies wäre auch insofern wichtig, festzulegen, wer Programmierungen vornehmen darf, die gegebenenfalls bei Fehlern die Verfügbarkeit, Integrität, Vertraulichkeit und Richtigkeit (Artt. 5 Abs. 1 lit. d), f), 32 Abs. 1 lit. b) DSGVO) beeinträchtigen könnte. Folglich muss also ein Berechtigungskonzept auf aktuellem Stand existieren.

Löschprozesse

In sozialen Netzwerken kann sich innerhalb kürzester Zeit eine Unmenge an Informationen über eine Person ansammeln. Dementsprechend muss es dem Nutzer auch möglich sein, alle Daten zu seiner Person wieder löschen zu lassen. Um dies effizient umsetzen zu können, ist es empfehlenswert, einen möglichen Löschprozess durchführen zu können. Dabei ist sicher zu stellen, dass auch wirklich alle Daten der betroffenen Person komplett gelöscht werden bzw. in dem Ausmaß, wie der Nutzer es wünscht. Dabei ist übrigens auch zu betrachten, ob dem Löschen gesetzliche Aufbewahrungsfristen entgegenstehen. Dies wiederum setzt voraus, dass ein System für die Datenablage existiert. Wie dies genau aussieht, kann der Betreiber selbst entscheiden. Wir verweisen auf das Löschkonzept.

Sensibilisierung der Beschäftigten zum Datenschutz

Die Umsetzung dieser Maßnahme sollte natürlich in jeder Einrichtung sichergestellt sein. Bei einem Betreiber eines sozialen Netzwerkes ist dies womöglich noch wichtiger. Wenn Nutzer über das soziale Netzwerk kommunizieren, können beispielsweise über private Nachrichten höchstsensible Daten ausgetauscht werden. Das bedeutet, die Privatsphäre ist nicht nur aus technischer Sicht zu gewährleisten, sondern auch aus organisatorischer. Demnach wäre eventuell empfehlenswert, Sensibilisierungsmaßnahmen häufiger durchzuführen. Zusätzlich bieten sich eventuell auch Phishing-, Betroffenenanfragen, Datenschutzvorfallsimulationen o. Ä. an.

Regelmäßige Evaluationen und Überprüfungen

Der Betreiber eines sozialen Netzwerkes arbeitet ständig daran, die Plattform weiter zu entwickeln und zu verbessern. Auch im Bereich der Technik selbst gibt es häufige Neuentwicklungen. Dies kann nach sich ziehen, dass die bereits implementierten technischen und organisatorischen Maßnahmen neu betrachtet werden müssen. Als Folge dessen entscheidet ein Verantwortlicher möglicherweise, weitere Maßnahmen zum Datenschutz zu implementieren.

Einwilligungen für Weiterverarbeitungen der personenbezogenen Daten

In der Einleitung hatten wir es schon erwähnt: Nicht selten wandeln die Betreiber sozialer Netzwerke die gesammelten Daten möglichst in Umsatz für das Unternehmen um. Hierbei setzen sie dann Cookies und Device Fingerprinting ein. – Mehr zum Thema Cookies hier, in diesem Beitrag sowie in “Cookies – Einwilligung oder berechtigtes Interesse“. – Dabei ist es wichtig, die Einwilligung der Nutzer einzuholen. Bevor diese weiterverarbeitenden Werkzeuge zum Einsatz kommen, setzt dies auch eine Information der Nutzer darüber voraus (Datenschutzhinweis).

Fazit

Digitale soziale Netzwerke können genauso hilfreich sein wie die im analogen Leben. Wichtig dabei ist, dass der Betreiber des sozialen Netzwerkes die Vorgaben der DSGVO einhält und die Daten nur insofern verarbeitet, wie die Nutzer es ihm beispielsweise aufgrund von Einwilligungen erlauben und es ihm aufgrund von Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO möglich ist. Dabei ist es allerdings nicht nur auch wichtig, die oben genannten Maßnahmen zu ergreifen, sondern auch die Datenschutzdokumentation mit der Leitlinie, den Richtlinien, Datenschutzhinweisen, etwaigen datenschutzrechtlichen Verträgen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit), Verpflichtungserklärungen, Vereinbarungen, technischen und organisatorischen Maßnahmen, Notfallpläne, den Datenschutz-Folgenabschätzungen etc. zu erstellen und auf dem neuesten Stand zu halten. Hierbei unterstützen wir Sie gern und können Sie zu etwaigen weiteren datenschutzrelevanten Themen beraten und auch einen externen Datenschutzbeauftragten stellen. Für ein unverbindliches Angebot kontaktieren Sie uns ganz einfach noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.