LfDI Baden-Württemberg: Abschied von Twitter

Fachbeitrag

Welchen guten Vorsatz für das neue Jahr haben Sie sich vorgenommen? Mehr Sport? Weniger Schokolade? Für den Landesdatenschutzbeauftragten von Baden-Württemberg, Stefan Brink, war es wohl die zukünftige Abstinenz von seinen Twitter-Followern. Zum Jahreswechsel verkündete Herr Brink, dass sein Twitter-Account zum 31.01. gelöscht werde. Über die Gründe und wie die DSGVO generell zu Twitter steht, wird nachfolgend berichtet.

Was war bisher die Meinung des LfDI?

Der LfDI Baden-Württemberg hat bereits in der Vergangenheit eine Datenschutz-Folgenabschätzung i. S. v. Art. 35 Abs. 1 DSGVO zum Umgang mit Twitter verfasst.

Die Risiken von Twitter

Das bloße Twittern, also Versenden von Inhalten ohne Personenbezug, sei zwar nicht problematisch. Allerdings stellen die umfassenden Profilbildungen und Auswertungen der Daten durch die Twitter Inc. zu Werbezwecken und Ähnlichem ein hohes Risiko für die Betroffenen dar. Da über Twitter auch oft politische Meinungen, sexuelle Orientierungen oder gesundheitliche Themen kundgegeben werden, sind hier zudem auch besonders schutzbedürftige Datenkategorien gemäß Art. 9 Abs. 1 DSGVO betroffen. Nicht zuletzt ist auch an den Betroffenenkreis zu denken, der nicht nur sehr groß ist, sondern auch fleißig twitternde Minderjährige umfasst.

Schließlich sei darauf hingewiesen, dass man kein angemeldeter oder registrierter Nutzer von Twitter sein muss, um von den Armen der Datenkraken gefangen zu werden. Denn bereits beim Besuch der Twitter-Seite werden Cookies von Twitter selbst und von Google Analytics platziert, mit denen die Besucher seitenübergreifend getrackt werden.

Die Vorteile von Twitter bzw. berechtigten Interessen

Hier steht für den Landesdatenschutzbeauftragten und die Behörde die moderne Öffentlichkeitsarbeit im Vordergrund. Die Bürger und Bürgerinnen könne man nicht mehr nur über die Zeitung und das Fernsehen erreichen. Um diese dennoch für diese wichtigen Themen sensibilisieren und aufklären zu können, muss man sich der modernen Medien bedienen.

Welche Gegenmaßnahmen werden ergriffen?

Zunächst einmal kann das Risiko verringert werden, wenn man die Optionen bei Twitter durchgeht und die angebotenen Funktionen kritisch prüft. Nicht benötigte oder gegen die DSGVO verstoßende Funktionen sollte man abstellen, soweit dies möglich ist. Dann schrieb sich der LfDI auf die Fahne, auf die Anbieter sozialer Netzwerke aktiv einwirken zu wollen. Dass dies bislang nicht so gut klappt, scheint Herr Brink nun leider auch eingesehen zu haben. Klagen gegen Facebook von Nutzern oder auch der Bundestagsfraktion der Grünen blieben bislang erfolglos. Gegenüber netzpolitik.org hat er daher mitgeteilt, dass man nunmehr eine alternative, öffentliche Kommunikationsplattform schaffen müsse.

Nichtsdestotrotz kann aber auch der einzelne Nutzer die Risiken für sich minimieren, indem er z. B.

  • die Browser-Einstellungen überprüft,
  • Browserverläufe regelmäßig löscht,
  • einen Nickname anstatt des vollständigen Vor- und Nachnamen verwendet oder
  • Cookies deaktiviert.

Zu guter Letzt hat die Aufsichtsbehörde für sich ein Twitter-Nutzungskonzept sowie eine Twitter-Netiquette als Leitfäden verfasst. Letzteres soll auch Nutzer dahingehend zu sensibilisieren, dass Kommentare nicht die Ehre oder Persönlichkeit anderer Personen verletzen dürfen.

Ergebnis der DSFA

Am Ende seiner Folgenabschätzung gelangte der LfDI Baden-Württemberg zu folgendem Ergebnis:

„Die Twitternutzung durch den LfDI ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Der LfDI verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig, mindestens einmal im Quartal, zu wiederholen und ggfls. fortzuentwickeln.“

Und viele dachten: Super! Wenn sogar die baden-württembergische Aufsichtsbehörde die Nutzung von Twitter nicht verbietet und selber fleißig twittert, dann kann ich das doch erst Recht. Einige andere hingegen hinterfragten sowohl das Ergebnis, als auch die Methode der Datenschutz-Folgenabschätzung kritisch.

Und dann kam der EuGH…

Der Europäische Gerichtshof musste sich in der Vergangenheit schon öfter mit dem sozialen Netzwerk Facebook auseinandersetzen. Am 05.06.2018 hat er entschieden, dass nicht nur Facebook, sondern auch die Fanpage-Betreiber Verantwortliche im Sinne des Datenschutzes sind. Denn nur durch den Fanpage-Betreiber gelangen die Nutzer erst überhaupt auf Facebook, wo sie dann von Facebook wiederum getrackt und analysiert werden. Der Facebook-Fanpage-Betreiber erhält eine anonymisierte Auswertung hierüber – ob er nun will oder nicht. (Genauere Ausführungen zum Urteil können diesem Beitrag entnommen werden.) Aus diesem Grunde muss ein Vertrag über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO geschlossen werden. Leider bietet Facebook einen solchen Vertragsschluss bislang nicht an. Dann kann man aber die Fanpage nicht datenschutzkonform betreiben. Konsequenterweise müsste man sie also offline nehmen. Für viele Unternehmen stellt dies ein wirtschaftliches Hindernis dar, weil man so ein wichtiges Kommunikations- und Werbemittel mit und für seine Kunden verliert.

Man könnte nun meinen, dass die Behörden und Gerichte sich gegen den Giganten Facebook selbst wenden. Da aber für diesen die irischen Kollegen zuständig sind, können die deutschen Aufsichtsbehörden sich nur an die Fanpage-Betreiber wenden. So kann man zumindest mittelbar Druck auf Facebook ausüben. Das Bundesverwaltungsgericht entschied hierzu im September letzten Jahres, dass Aufsichtsbehörden die „Abschaltung“ von Fanpages gegenüber den Facebook-Fanpage-Betreibern anordnen dürfen.

Und was hat das nun mit Twitter zu tun?

Auch Twitter trackt und analysiert seine Nutzer und übrigen Twitter-Leser. Die Auswertungen stellt es in sog. Insights zur Verfügung. Ähnlich wie dies bei Facebook der Fall ist. Auch hier kann der Twitter-Nutzer das Tracking und Analysieren seiner Follower nicht unterbinden. Twitter sieht sich als alleiniger Verantwortlicher und bietet daher auch keinen Vertrag zur gemeinsamen Verantwortlichkeit an. Stefan Brink und Herr Malte Engeler, ein Richter vom Verwaltungsgericht Schleswig-Holstein, kamen daher zu dem folgerichtigen Entschluss, dass das EuGH-Urteil zu den Facebook-Fanpages entsprechend auf Twitter anzuwenden sei und daher eine datenschutzkonforme Nutzung der beiden sozialen Netzwerke derzeit nicht möglich ist.

Auch hier gibt es kritische Gegenstimmen, die eine Vergleichbarkeit zu Facebook verneinen. Insbesondere fehle es an der Kausilität zwischen Post des Nutzers – Leser des Posts – Tracking des Lesers. Anders als bei einer Facebook-Fanpage stünde auch hier die Meinungs- und Informationsfreiheit anstatt einer kommerziellen Nutzung im Vordergrund.

Erstes Argument erscheint mit obigen Ausführungen zweifelhaft. Und letzteres dürfte wohl eine Einzelfallentscheidung sein, je nachdem wie der Twitter-Account tatsächlich genutzt wird.

Welche weiteren Bedenken gibt es noch gegen Twitter?

Einige Risiken wurden oben bereits kurz genannt. Es gibt aber noch zwei weitere Probleme, die kurz erläutert werden.

Drittlandsbezug

Twitter Inc. hat seinen Sitz in San Francisco, USA. Es besteht also ein Drittlandsbezug. In den Art. 44 ff. DSGVO ist normiert, unter welchen Voraussetzungen eine Datenübermittlung an Drittländer zulässig ist. Für die USA besteht ein sog. Angemessenheitsbeschluss der EU-Kommission über das Datenschutz-Niveau unter den Bedingungen des „EU-US-Privacy-Shield“, an dem auch Twitter Inc. teilnimmt. Es wird zwar kontrovers darüber gestritten, ob das Datenschutz-Niveau in den USA wirklich vergleichbar mit den Vorgaben aus der DSGVO ist. Noch ist der EU-Privacy-Shield allerdings gültig und daher ist die Nutzung von Twitter nach derzeit geltender Rechtslage zulässig.

Cookie-Banner unzulässig

Derzeit schmückt folgender Consent-Banner die Twitter-Webseite:

„Durch die Nutzung der Dienste von Twitter erklärst du dich mit unserer Nutzung von Cookies einverstanden. Wir und unsere Partner arbeiten global zusammen und nutzen Cookies z.B. für Statistiken, Personalisierung und Werbeanzeigen.“

Dies entspricht weiterhin nicht den Vorgaben des Europäischen Gerichtshofs. Danach ist ein Tracking der Webseitenbesucher unter Weitergabe der Daten an Dritte nur mit ausdrücklicher Einwilligung zulässig ist. Dieses Urteil und seine Konsequenzen wurden bereits in anderen Blogbeiträgen sowie unserem Podcast ausführlich thematisiert.

Welche Konsequenzen wird Twitter daraus ziehen?

Neuerdings liest man folgenden Hinweis von Twitter, wenn man sich in seinen Account einloggt:

„Please note that the Audience insights page will be removed on January 30, 2020.“

Trat hier etwa wirklich ein erster Erfolg der DSGVO gegen einen Unternehmensgiganten ein? Das bleibt wohl noch abzuwarten. Twitter hat selber noch keine Angaben gemacht, ob zukünftig eine Alternative zu dem bisherigen Analyse-Tool eingesetzt werde. Aber auch eine Alternative muss zunächst auf ihre Datenschutzkonformität hin überprüft werden. Fakt ist, dass seit November letzten Jahres das Feature „Conversation Insights“ in dem Bereich Media Studio existiert. Hierdurch können User nachvollziehen, wer auf eigene Posts reagiert hat.

Und das Vögelchen verlässt das Nest

Weder Facebook noch Twitter sind derzeit unbedenklich anwendbar. An den sozialen Medien kommen viele Unternehmen dennoch nicht vorbei, da sie das direkte Sprachrohr zwischen Kunden und Unternehmen sind. Letztere müssen sich daher der Risiken bewusst sein und für sich abwägen, ob sie diese tragen wollen oder nicht. Der Datenschutzbeauftragte kann hierbei beraten, aber einem die Entscheidung letztlich nicht abnehmen. Auch zukünftig muss man die Entwicklung der Gerichtsentscheidungen im Auge behalten. Da sich auch in den USA zunehmend ein Bewusstsein für Datenschutz und -sicherheit entwickelt, ist es nicht völlig abwegig, dass auch bei den Datenkraken unserer Zeit ein Umdenken stattfinden wird.

Die Entscheidung von Herrn Brink, seinen 5.570 Followern (zumindest auf Twitter) „Goodbye“ zu sagen, ist in jedem Falle konsequent.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.