Eine Datenschutzfolgenabschätzung ist nach der allgemeinen Regel des Art. 35 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) dann vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Das Facebook- sowie Instagram-Angebot von Curamenta selbst löst diese Folge aufgrund des nur sehr geringen Umfangs der eigenen Datenverarbeitung (vgl. insoweit die Datenschutzerklärung zu Facebook und Instagram) nicht auf. Allerdings haben die Postings oft einen direkten Personenbezug. Curamenta achtet daher bei der Erstellung und Veröffentlichung eigener Inhalte darauf, dass neben dem Urheberrecht der Fotos auch die Bildrechte der Abgebildeten berücksichtigt werden. Wird in den Beiträgen von Curamenta Bezug zu anderen Facebook- und Instagram-Nutzer/innen hergestellt (durch Teilen oder Erwähnen), so werden nur die Daten verarbeitet, die diese selbst und freiwillig angegeben haben (Nutzername und Postings).
Jedoch stellt aus Sicht von Curamenta die Facebook- sowie Instagram-Nutzung an sich aufgrund ihrer weitreichenden Auswirkungen hinsichtlich der Auswertung der Daten durch die Meta Platforms Ireland Ltd. (nachfolgend „Meta“) zu Werbezwecken u. ä., eine Verarbeitung mit hohem Risiko dar, für die aufgrund der gemeinsamen Verantwortung von Seitenbetreiber (Curamenta) und Diensteanbieter (Meta) eine Datenschutzfolgenabschätzung vorzunehmen ist.
Denn durch die Nutzung eines Facebook- sowie Instagram-Accounts begibt sich der/die jeweilige Nutzer/-in unter die systematische Beobachtung durch Meta. Hierbei können auch sensitive Daten wie politische Einstellungen, die sexuelle Orientierung oder gesundheitliche Probleme offenbart werden, die miteinander verknüpft und zur Erstellung eines Persönlichkeitsprofils verwendet werden können. Besonders schutzwürdige Personen (z. B. Jugendliche) können Facebook- und/oder Instagram-Nutzer/innen und damit Betroffene sein. Selbst beim bloßen passiven Mitlesen von Facebook- oder Instagram-Inhalten ohne eigenen Account können durch die Erhebung von Log-Daten sensible Daten erhoben werden, etwa durch die vorher besuchten Webseiten oder die Standortdaten des Nutzers/der Nutzerin.
Dies gilt umso mehr, als dass Meta nicht oder nur eingeschränkt überprüft werden kann. Da die Daten von in Deutschland ansässigen Nutzer/-innen nicht innerhalb Deutschlands, sondern in Irland verarbeitet werden, bestehen höheren Hürden für den Zugang zu (gerichtlichem) Rechtsschutz als bei einem in Deutschland ansässigen Unternehmen.
Curamenta geht insofern davon aus, dass eine Plattform, die ein soziales Netzwerk zur Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen nutzt, eine Mitverantwortung trägt.
Mitverantwortung bedeutet dabei nicht, dass Curamenta die Datenschutzkonformität der Produkte von Meta bestätigt oder garantiert. Dies kann Curamenta unter den gegebenen Umständen nicht leisten. Mitverantwortung bedeutet vielmehr, dass Curamenta sich und anderen die Risiken sozialer Netzwerke bewusstmacht. Aktuell sind die sozialen Netzwerke in vielen Punkten aus datenschutzrechtlicher Sicht verbesserungsbedürftig. Deshalb werden den Facebook- sowie Instragram-Nutzer/-innen durch Verweise auf der Curamenta Website alternative, datenschutzfreundlichere Kommunikationswege aufgezeigt.
Auf die Risiken, die generell mit der Nutzung sozialer Medien einhergehen, werden die Nutzer/-innen in den Datenschutzerklärungen der Curamenta Facebook-Fanpages und Curamenta Instagram-Kanäle hingewiesen.
Zu diesen Maßnahmen hat sich Curamenta in seinem Nutzungskonzept verpflichtet.
Die Curamenta Facebook- und Instagram-Nutzung stellt sich vor diesem Hintergrund wie folgt dar:
1. Risikoidentifikation
Die eingangs beschriebenen Risiken, die mit einer Nutzung von Facebook und Instagram einhergehen, bestehen grundsätzlich unabhängig von der eigenen Curamenta Facebook- und Instagram-Nutzung. Durch die Postings von Curamenta selbst wird in der überwiegenden Zahl der Fälle kein Bezug zu sensiblen personenbezogenen Daten hergestellt, sondern es werden eigene, sachbezogene Inhalte verbreitet.
Schließlich sind die Daten, die durch die Interaktion mit den Curamenta Facebook-Fanpages und Instagram-Kanälen der anderen Accounts verarbeitet werden – nämlich der in den Kommentaren sichtbaren Account-Name eines Facebook-Instragram-Nutzers/einer Facebook-Instagram-Nutzerin – schon öffentlich/ allgemein zugänglich/frei im Internet verfügbar.
Jedoch werden sie durch das Erscheinen auf einer Curamenta Facebook-Fanpage/einem Curamenta Instagram-Kanal und die Wechselbeziehung einer breiteren/“spezifischeren“ Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktion. So lässt sich das Interesse an Curamenta an der Fan- oder Abonnenten-Eigenschaft oder an regelmäßigen Beiträgen ablesen. Schließlich werden auch beim passiven Mitlesen der Fanpages und Kanäle durch die Nutzer/-innen Logdaten durch Meta erhoben.
Durch die eigene Facebook- sowie Instagram-Nutzung erhöht Curamenta also die Menge der Daten, die von Meta verwendet und ausgewertet werden.
2. Risikoanalyse
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch die Meta und eine heimliche Profilbildung begünstigt. Die Offenheit für Besucher/-innen-Beiträge kann zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Mögen diese Schäden sich bei einer Verursachung durch Meta selbst als wesentlich darstellen, so werden diese durch die Curamenta Facebook-Fanpages und den Curamenta Instagram-Kanälen nur in begrenztem Maße erhöht. Denn die Daten sind zu einem wesentlichen Teil schon für Meta verfügbar. Insbesondere entsteht durch das Angebot von Curamenta kein Zwang, einen Facebook/Instagram-Account zu erstellen, da genügend alternative Kontakt- und Informationsmöglichkeiten zu Curamenta bestehen.
3. Risikobewertung
Insgesamt ist das durch die Facebook-Fanpages sowie Instagram-Kanäle von Curamenta verursachte zusätzliche Risiko daher als gering bis mittel einzustufen.
Die Durchführung von Abhilfemaßnahmen ist möglich, die das Risiko weiter senken. Ein Großteil dieser Maßnahmen liegt in der Sphäre des Nutzers: Der/die Nutzer/in kann sich durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browser-Verlaufs, das Deaktivieren von Cookies oder die fehlende Standortfreigabe bei der Verwendung von Fotos. Allerdings verlangt Meta im Gegensatz zu z. B. Twitter offiziell einen Klarnamen.
Die kontinuierliche redaktionelle Betreuung ermöglicht ein Eingreifen bei ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts. Curamenta hat hier für die Nutzung seines Angebots eine Netiquette formuliert, auf deren Einhaltung das Unternehmen bei der Betreuung der Seite achten wird.
4. Ergebnis
Die Facebook- sowie Instagram-Nutzung durch Curamenta ist angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Curamenta verpflichtet sich, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung regelmäßig zu wiederholen und gegebenenfalls fortzuentwickeln