Datenschutzfolgenabschätzung

Datenschutzfolgenabschätzung

Die Multipolster GmbH & Co Handels-KG – nachfolgend Multipolster genannt – betreibt eigene Informationsangebote in den sozialen Netzwerken. Die Nutzung verschiedener Social-Media-Kanäle zu Werbezwecken ist ein Bestandteil der unternehmensübergreifenden Online-Marketingstrategie.

Nach den Anforderungen der Datenschutzgrundverordnung (DSGVO) ist für Verarbeitungen, die aufgrund der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine dokumentierte Datenschutzfolgenabschätzung vorzunehmen. Insbesondere wenn gem. Art. 35 Abs. 1 DSGVO die Verarbeitung unter Verwendung neuer Technologien durchgeführt wird. In Anlehnung an die Vorgaben des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg bei der Verwendung sozialer Netzwerke, wurde für die Angebote der Multipolster eine Datenschutzfolgenabschätzung vorgenommen. Die nachfolgende Analyse gibt Aufschluss über die Risiken der Betroffenen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten bei der Verwendung der Multipolster- Informationsangebote in den sozialen Netzwerken.

Neben der Benennung der allgemeinen Risiken bei der Nutzung sozialer Netzwerke, wie bspw. dem Verlust der Privatsphäre, Identitätsdiebstahl, Belästigung durch (personalisierte) Werbung sowie Ausspionieren nutzerspezifischer Beiträge, Fotos und Videos geht die nachfolgende Analyse auch auf die Verarbeitung von Nutzerdaten durch Multipolster selbst ein. Eine Aufzählung allgemeiner Risiken und Empfehlungen erhalten Interessierte in dem erarbeiteten Social-Media-Nutzungskonzept /nutzungskonzept

Multipolster verarbeitet die personenbezogenen Nutzerdaten im Rahmen der Veröffentlichungen in den sozialen Netzwerken nur in einem geringen Umfang. Ein Personenbezug zu anderen Nutzern und Nutzerinnen ergibt sich erst dann, wenn z.B. interaktive Funktionen innerhalb der sozialen Netzwerke genutzt werden. Dabei werden grundsätzlich nur die Daten verarbeitet, die der jeweilige Betroffene freiwillig angegeben hat. Dazu gehören vorrangig der Benutzername, Profilbild, Kommentare, Markierungen und Verlinkungen zu anderen Nutzern und Nutzerinnen.

Multipolster möchte darauf hinweisen, dass die Plattformbetreiber systematische Auswertungen und Analysen der Nutzerdaten durchführen und sich daraus weitreichende Folgen und Risiken für die informationelle Selbstbestimmung der Betroffenen ergeben können. Neben den besuchten Seiten, Inhalten und individuellen Interessen werden darüber hinaus auch sensible Daten, wie bspw. Angaben über Alter, Geschlecht, sexueller Orientierung, usw. durch die Betreiber sozialer Netzwerke verarbeitet und für eigene Zwecke verwendet. Die Datenverarbeitung in den meisten sozialen Netzwerken erfolgt dabei in Irland und auch außerhalb der EU. Eine Weiterleitung der Daten innerhalb der Unternehmensgruppe, zu Geschäftspartnern und anderen Dritten behalten sich die Betreiber dabei vor. Daher geht der Europäische Gerichtshof (EuGH) und die Datenschutzkonferenz, die aus einem Zusammenschluss aller Datenschutzbeauftragten der Länder besteht, zumindest für das soziale Netzwerk Facebook davon aus, dass sowohl der Plattformbetreiber als auch der Inhalteanbieter gemeinsam für die Verarbeitung von personenbezogenen Daten verantwortlich sind.

Selbst wenn der Betroffene nicht in dem sozialen Netzwerk registriert ist und über kein eigenes Profil verfügt, werden beim Mitlesen der Informationsangebote bereits personenbezogene Nutzerdaten, z.B. Log-Daten und weitere Angaben verarbeitet und an das soziale Netzwerk weitergegeben. Die verschiedenen Informationen, die der Nutzer innerhalb des sozialen Netzwerks bereitstellt, können u.a. genutzt werden um ein Persönlichkeitsprofil des Betroffenen zu erstellen oder personalisierte Werbung zu schalten. Eine vollständige Auflistung, welche Daten die Betreiber sozialer Netzwerke konkret verarbeiten, ist aufgrund der fehlenden Kontrollbefugnis durch die Inhalteanbieter nicht abschließend möglich. An dieser Stelle muss auf die Datenschutzrichtlinien der Plattformbetreiber verwiesen werden. Diese sind nachfolgend unter Angabe der verwendeten sozialen Netzwerke durch Multipolster aufgelistet und können bei Bedarf über die eingerichtete Verlinkung eingesehen werden.

Multipolster betreibt eigene Informationsangebote in den sozialen Netzwerken:

• Facebook – Multipolster https://www.facebook.com/MultipolsterGmbH/

Datenrichtlinie Facebook:https://de-de.facebook.com/privacy/explanation

• Instagram – multipolster https://www.instagram.com/multipolster/?hl=de

Datenrichtlinie Instagram: https://help.instagram.com/519522125107875

• Twitter - @Multipolster2 https://twitter.com/Multipolster2

Datenschutzrichtlinie Twitter: https://twitter.com/de/privacy

• Pinterest – Multipolster https://www.pinterest.de/multipolster/

Datenschutzrichtlinie Pinterest: https://policy.pinterest.com/de/privacy-policy

• YouTube – Multipolster https://www.youtube.com/channel/UCVFsPlsTChIFVZaGTs9aQ7A?view_as=subscriber

Datenschutzerklärung Google https://policies.google.com/privacy

Die Nutzung erfolgt hauptsächlich zu Marketing- und Werbezwecken für die eigene Produkte der Marke Multipolster. Ergänzend dazu enthalten die Beiträge und Meldungen konkrete Produktinformationen sowie aktuelle Informationen über Sonderaktionen und Veranstaltungen. Als moderner, zukunftsorientierter Arbeitgeber nutzt Multipolster die sozialen Netzwerke auch zur Gewinnung potenzieller Ausbildungs- und Fachkräfte und informiert über aktuelle Stellenanzeigen.

Risikoidentifikation

Die allgemeinen Risiken bei der Nutzung sozialer Netzwerke bestehen unabhängig von der Bereitstellung der Angebote durch Multipolster. Die eigenen Informationsangebote lösen das in Art. 35 DSGVO beschriebene Risiko aufgrund des nur sehr geringen Umfangs der eigenen Datenverarbeitung allein nicht aus.

Bei den veröffentlichten Beiträgen und Inhalten, handelt es sich vorrangig um Werbung für Polsterprodukte der Marke Multipolster. Diese Beiträge enthalten grundsätzlich keinen konkreten Personenbezug. Die eigene Datenvereinbarung beschränkt sich dabei auf die Daten, die der Betroffene selbst und freiwillig in dem jeweiligen sozialen Netzwerk angegeben hat oder Multipolster bei der Kontaktaufnahme zur Verfügung stellt, z.B. Name des Benutzers, Profilbild, E-Mailadresse, Telefonnummer sowie weitere bereitgestellte Informationen und Inhalte.

Durch die Verknüpfungen mit anderen Nutzern und Partnern innerhalb und außerhalb der sozialen Netzwerke können individuelle Nutzerdaten möglicherweise eine größere Aufmerksamkeit erlangen, als dies ohne die freiwilligen Interaktionen der Nutzer auf den Social-Media-Präsenzen von Multipolster sonst der Fall wäre. Zusätzlich können die Daten einer breiten Maße zugänglich gemacht und weiterverbreitet werden.

Aufgrund individueller Privatsphäre-Einstellungen hinsichtlich der Sichtbarkeit des eigenen Profils, angegebenen Interessen und Abonnements lassen sich weitere mögliche Informationen über den Betroffenen ableiten. Mithilfe der gesammelten Daten lassen sich mögliche Querverbindungen ziehen.

Demnach tragen die Multipolster Angebote in den sozialen Netzwerken grundsätzlich dazu bei, dass sich die Datenmenge erhöht, die durch den jeweiligen Plattformbetreiber verarbeitet werden kann.

Risikoanalyse

Durch die Social-Media-Kanäle von Multipolster wird es dem jeweiligen Plattformbetreiber ermöglicht, weitere Nutzerdaten zu sammeln und diese für eigene Zwecke zu verarbeiten. Demnach wird eine personalisierte Profilbildung aufgrund der erhobenen Daten möglicherweise begünstigt und gefördert.

Auch die öffentliche Lesbarkeit der Kommentare und Informationen kann für die Betroffenen weitreichende Folgen haben und bspw. zum Verlust der eigenen Privatsphäre, Cyber-Mobbing, Belästigung durch Werbung, usw. führen. Darüber hinaus können möglicherweise sensible Daten verbreitet werden. Im Eintrittsfall können die benannten Risiken zu Beeinträchtigungen des Persönlichkeitsrechtes der Betroffenen führen.

Jedoch bestehen die genannten Risiken unabhängig von der Nutzung der Social-Media- Auftritte von Multiposter und betreffen die Nutzung sozialer Netzwerke im Allgemeinen. Größtenteils stehen die Daten dem Plattformbetreiber schon zur Verfügung. Zudem besteht kein Zwang die Multipolster-Informationsangebote ausschließlich über die sozialen Netzwerke abzufragen. Neben den angebotenen Produkten und Informationen in den sozialen Netzwerken stehen den Betroffenen alternative Kommunikations- und Kontaktwege zur Verfügung. Diese sind unter Punkt 7. des Nutzungskonzeptes /nutzungskonzept vollständig aufgeführt.

Risikobewertung

Neben dem ohnehin existierenden Risiko bei der Nutzung sozialer Netzwerke wird das durch Multipolster zusätzlich herbeigeführte Risiko hinsichtlich der Rechte und Freiheiten natürlicher Personen als gering bis mittel eingestuft.

Um das Restrisiko weiter zu senken wurden zum Teil bereits konkrete Maßnahmen ergriffen oder sind für die Zukunft geplant. Dazu gehört auch das erarbeitete Nutzungskonzept. Durch aktive Aufklärung über die Gefahren von Social Media sowie das Aufzeigen alternativer Kommunikationswege soll das Konzept zu einem eigenverantwortlichen Umgang mit sozialen Netzwerken beitragen. Zudem wird von einer umfänglichen Veröffentlichung personenbezogener Daten durch den Betroffenen grundsätzlich abgeraten. Jeder Betroffene wird dazu angehalten die eigenen Privatsphäre-Einstellungen zu überprüfen und diese ggf. anzupassen bzw. einzuschränken. Dazu zählen vor allem Funktionen wie Standortfreigaben, Fotos, verwendete Namen und Profilangaben. Weiterhin sollte der Browserverlauf und abgelegte Cookies regelmäßig gelöscht werden. Von einer automatischen Anmeldung in sozialen Netzwerken ist abzusehen.

Durch eine fortlaufende redaktionelle Betreuung der Multipolster-Online-Präsenzen in den sozialen Netzwerken können unsachliche Kommentare, Beleidigungen oder Beschimpfungen sowie ähnliche Vorgänge sofort nach Kenntnisnahme entfernt oder gelöscht werden. Die Einleitung weiterer Schritte, wie bspw. die Sperrung einzelner Nutzer, behält sich Multipolster vor.

Ergebnis

Angesichts der beschriebenen Risiken und aktiven Abhilfemaßnahmen sind die Informationsangebote und Veröffentlichungen von Multipolster in den sozialen Netzwerken vertretbar. Der Verantwortliche verpflichtet sich selbst aktuelle datenschutzrechtliche Entwicklungen zu verfolgen und entsprechende Kontrollmaßnahmen umzusetzen. Darüber hinaus werden Beiträge und Handlungsempfehlungen der Aufsichtsbehörden sowie der Landesdatenschutzbeauftragten bzgl. der Nutzung sozialen Netzwerke intensiv verfolgt. Dadurch können anlassbezogene Änderungen und Ergänzungen vorgenommen werden. Zusätzlich können die technischen Einstellungen an neuen Anforderungen angepasst und weitere organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden.