Suchen

Regelkonforme Umsetzung von Social Media-Herausforderungen in der Verwaltung Social Media – Abgrund und Brücke zugleich

Autor / Redakteur: Jan Alexander Linxweiler, Cassini Consulting / Ira Zahorsky

Die Welt des Web 2.0 und besonders die sozialen Medien stellen die öffentliche Verwaltung immer wieder vor Herausforderungen, sodass die Nutzung kaum voranschreitet.

Firmen zum Thema

Die Verwaltung muss sich mit einer regelkonformen, strategisch umfassend geplanten und konzeptionell gesicherten Nutzung der sozialen Medien daran machen, die goldene Brücke über diesen Abgrund zu schlagen
Die Verwaltung muss sich mit einer regelkonformen, strategisch umfassend geplanten und konzeptionell gesicherten Nutzung der sozialen Medien daran machen, die goldene Brücke über diesen Abgrund zu schlagen
(Bild: Female photographer_Fotolia.com)

Vor allem datenschutzrechtliche Bedenken sind in puncto Social Media durchaus gerechtfertigt, da vielfach selbst für die Vertragspartner der Networking-Riesen Facebook, Google und Twitter nicht ersichtlich ist, welche Daten tatsächlich abgefragt, verarbeitet oder weitergegeben werden. In Sachen Datenschutz existieren in den sozialen Medien so viele Schattenbereiche und Grauzonen, dass das berühmte Zitat von Friedrich Nietzsche eine ganz neue Bedeutungsnuance erhält: „Und wenn du lange in einen Abgrund blickst, blickt der Abgrund auch in dich hinein.“ Der Nutzer einer Website und eines sozialen Netzwerks wird vielfach – auch ohne eigene Verbindung zum sozialen Netzwerk – bereits beim Betrachten einer Seite ausgespäht, wobei eine Kontrolle der datenhungrigen Unternehmen, Organisationen und Behörden nur bedingt gegeben ist.

Dennoch: Eine Verwaltung, die auf Bürgernähe und aufgabenorientierte Problemlösung ausgerichtet sein will, darf sich wegen solcher Datenschutzbedenken den sozialen Medien nicht völlig verweigern. Es gilt vielmehr, sich mit der Realität des Massenphänomens Social Media, mit den unterschiedlichen Umsetzungsvarianten und -variationen sowie mit deren Implikationen und Rechtsfolgen auseinanderzusetzen. Der Nutzen beim Einsatz sozialer Medien für die Verwaltung ist ebenso zu klären wie auch Transparenz über die gängigen Datenschutz-Problematiken hergestellt werden muss. Eine regelkonforme Umsetzung der Social Media-Nutzung in der Verwaltung ist möglich – und letztlich ist sie stets auch eine Führungsaufgabe.

Chancen und Anwendungsfelder

Nicht zufällig stehen die Gedanken der Medienbruchfreiheit, der Barrierefreiheit und des Einsatzes von sozialen Medien in den letzten Jahren im Fokus der Verwaltungsmodernisierung. Auch wegen der „Web-2.0-Evolution“ besteht die Rolle der Verwaltung und insbesondere der Kommunen im Internet nicht mehr in bloßer Präsenz und der Bereitstellung von Information – heute geht es um Kommunikation und Interaktion auf Augenhöhe. Die Verwaltung muss, wie Wirtschaftsunternehmen auch, eine gewisse Kundenorientierung auf- oder gegebenenfalls ausbauen. Schließlich liegt auch hier ein interdependentes Verhältnis vor: Der Bürger ist zwar auf die Verwaltung angewiesen, aber er produziert auch Aufgaben für sie. In der Aufgabenerfüllung ist die Verwaltung wiederum auf bürgerliche Mitwirkung angewiesen.

Soziale Medien werden vom Normalbürger weitläufig und täglich genutzt, Zugangshemmnisse gibt es also nicht. Umgekehrt können Verwaltungsbehörden über soziale Medien ein breites, aber auch stark individualisierbares Publikum ansprechen. Damit bergen soziale Netzwerke das inhärente Potenzial, einen eventuell wahrgenommenen Bürger-Staat-Antagonismus zu überwinden. Konkret können Verwaltungseinheiten die sozialen Medien zu Werbezwecken nutzen, sie für größere Transparenz – schon im Sinne des Transparenzgesetzes – verwenden oder dort gezielt Dienstleistungen anbieten. Ebenso lassen sich eGovernment-Ansätze verfolgen, dem Bürger können die Recherche von Informationen und der Zugang zu Dokumenten erleichtert werden. Auch intern kann die Verwaltung soziale Netzwerke nutzen: für den internen Austausch und eine tatsächliche Netzwerkbildung. Wird die Nutzung sozialer Medien regelkonform ausgestaltet, schlägt die Verwaltung dadurch letztlich die goldene Brücke zum Bürger. Die „Kundenbasis“ würde so gestärkt, die Reichweite ausgebaut und die eigene Attraktivität gesteigert.

Lesen Sie auf der nächsten Seite, welche Umsetzungsmöglichkeiten es gibt.

Social Login – bequem, aber nicht ohne Risiko

Kommen wir bei den Umsetzungsmöglichkeiten zunächst auf eine der beliebtesten zu sprechen: den so genannten Social Login. Es handelt sich dabei um eine Variante der Registrierung und des Logins auf den unterschiedlichsten Webseiten mittels eines einzelnen Accounts in einem sozialen Netzwerk. Grundsätzlich fragt die administrierende Behörde bei der Registrierung für einen Dienst auf einer Website oder in einer App personenbezogene Daten ab – insbesondere Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse und Telefonnummer. Abschluss findet dieser Vorgang zumeist durch einen Bestätigungslink, der an die E-Mail-Adresse des Registrierenden geschickt wird. Der Social Login ersetzt diesen Vorgang durch den Informationsaustausch über ein soziales Netzwerk. Dabei werden die benötigten Daten an den Dienstanbieter übermittelt. Der Registrierende oder der User meldet sich also mittels seines Accounts im entsprechenden Netzwerk bei dem Dienst einer Behörde an. Technisch werden diese Login-Varianten als Social Plugin in Form eines iFrames eingebunden.

Dies erscheint grundsätzlich recht bequem, kann sich jedoch datenschutzrechtlich als problematisch erweisen. Dies liegt an dem Datenaustausch, der stattfindet: Zunächst werden die durch das soziale Netzwerk bereitgestellten Daten vom Dienstanbieter ausgelesen. Dazu gehören unter anderem – hier am Beispiel Facebook-Connect – Name, Vorname, Geburtstag, Geschlecht, Sprache, Profilbild, Titelbild, Social Media ID, Adresse, E-Mail-Adresse, Freundeslisten sowie auch „Gefällt mir“-Angaben. Umgekehrt erlangt auch das Social Media-Netzwerk Informationen und Datensätze aus dieser Übertragung – der Dienstanbieter übermittelt dem Netzwerk seinerseits die von ihm gesammelten Daten.

Ein solches Vorgehen widerspricht einigen Grundsätzen, denen die Verwaltung verpflichtet ist: dem Grundsatz der Datensparsamkeit sowie dem Gebot der Zweckgebundenheit. Während die Datensparsamkeit darauf verpflichtet, nur das Minimum an Daten zu erheben, das für die Zweckerfüllung notwendig ist, bindet das Gebot der Zweckgebundenheit die Verwendung der Daten an den ursprünglichen Zweck der Erhebung. Zudem kommt der Grundsatz des Verbots mit Erlaubnisvorbehalt zum Tragen: Danach ist jede Verarbeitung personenbezogener Daten nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen zulässig. Es erweist sich also als brisant, dass auch Registrierende oder User betroffen sind, die eben keinen Gebrauch vom Social Login machen. So werden ohne Kenntnis des Users bereits bei Aufruf der Verwaltungs-Webseite personenbezogene Daten erhoben, u.a. die IP-Adresse – einfach durch eine Verbindung zur Seite des Anbieters des sozialen Netzwerks.

Da in beiden Szenarien (mit und ohne Verbindung zum sozialen Netzwerk) sowohl die administrierende Behörde als auch der Anbieter des Netzwerks als verarbeitende Stelle im datenschutzrechtlichen Sinne auftreten, gelten für sie entsprechende Verpflichtungen. Dem Grundsatz des Verbots mit Erlaubnisvorbehalt unterliegen Bestandsdaten im Sinne des § 14 Telemediengesetz, Nutzerdaten im Sinne des § 15 Telemediengesetz und Daten zur Erfüllung eines Geschäftszwecks im Sinne des § 28 Bundesdatenschutzgesetz. Hierunter fallen unter anderem Namen, E-Mail-Adressen und Geburtsdaten. Darüber hinausgehende Daten bedürfen allerdings einer Einwilligung durch den Betroffenen. Auf diese Einwilligungsnotwendigkeit muss entsprechend sowohl bei der initialen Nutzung des Social Login als auch in der Datenschutzerklärung hingewiesen werden. Für den behördlichen Alltag bewahrheitet sich ein ehernes Gesetz: stets absichern. Eine Datenschutzerklärung und die Einbettung einer interaktiven Einwilligungsoption für die Freischaltung des Social Logins sichern hier die Verwaltung als Dienstanbieter ab.

Sharing

Ähnliche Probleme wirft die Funktionalität des Sharing auf, eines der beliebtesten Marketingtools. Beim Sharing wird der Besucher einer Website eingeladen, das angebotene Produkt oder die Dienstleistungen mit dem eigenen Profil in einem sozialen Netzwerk zu verbinden oder zu bewerten – um letztlich ein User-Cross-Selling und Multiplikationseffekte zu erreichen. Auch im Rahmen des Sharing werden Daten über den Webseitenbesucher sowie den tatsächlich teilenden oder bewertenden Nutzer im bereits beschriebenen Umfang ausgetauscht. Allerdings lässt sich diesem Problem relativ leicht begegnen – durch verschiedene technische Lösungen. Oft kommen sogenannte Zwei-Klick-Lösungen oder aber skript-freie Umsetzungen zum Einsatz. Ins Blickfeld der Verwaltung gehört insbesondere die Zwei-Klick-Lösung, die eine Mitwirkungs- und Zwischeninstanz einbaut. Der Nutzer wird dabei dazu aufgefordert, die Social Media-Nutzung durch das Anklicken eines zusätzlichen Buttons freizuschalten – daher der Name Zwei-Klick-Lösung. So werden nicht bereits beim Laden der Seite Informationen von anderen Servern abgerufen – oder zumindest deutlich weniger als ohne Zwei-Klick-Lösung. Das Resultat ist eine schneller geladene Seite mit weniger Overhead. Zugleich eröffnet das Mitwirkungselement dem Nutzer die Möglichkeit, sich der Datenerhebung zu entziehen. Eine Lösung rein auf Script-Seite vermeidet zwar den technischen Overhead, bringt aber keine datenschutzrechtlichen Vorzüge.

Lesen Sie auf der nächsten Seite, warum Marktforschung auch für die Verwaltung wichtig ist.

Social Profiling, Social Engineering, Social Hacking

Der Social Login und das Sharing werfen eine grundsätzliche Frage auf: Warum all dieser Aufwand und das Interesse an den Datensätzen? Letztlich ist das Ziel natürlich eine marktwirtschaftliche Erschließung des Individuums – das ganz konkret seinen Interessen entsprechend adressiert oder gar in Richtung der eigenen Produkte oder Dienstleistungen beeinflusst werden soll. Beim so genannten Social Profiling wird anhand der Daten, die man über die Eigenschaften, Handlungen und Neigungen einer Person gesammelt hat, ein Persönlichkeitsprofil erstellt. Dazu dienen spezielle Software-Lösungen oder Analyse-Tools. In einem nächsten Schritt, beim sogenannten Social Engineering, werden diese Persönlichkeitsprofile dann genutzt, um durch bewusste Einflussnahme – beispielsweise via individualisierter Werbebanner oder Angebots-Emails – die Zielperson zu einem bestimmten Handeln zu bewegen. Dies kann im Kauf bestimmter Produkte oder auch in der Preisgabe weiterer Informationen bestehen. Das Social Hacking verfolgt sogar eine kriminelle Zielsetzung, es ist letztlich auf das Eindringen in Computersysteme bzw. das Abgreifen vertraulicher Daten gerichtet.

So verwerflich Social Hacking auch ist – das Social Profiling und das Social Engineering sollte man nicht verteufeln. Schließlich handelt es sich dabei lediglich um einen spezifischen Ansatz der Marktforschung, der auch für die Verwaltung durchaus relevant ist: Dienst- und Produktanbieter versuchen dabei nur, den Konsumenten seinen Wünschen und Bedürfnissen gemäß zu adressieren. Grundsätzlich sollten hier also eine Gefahren-Nutzen-Abwägung sowie eine risiko-orientierte Umsetzung im Vordergrund stehen. Sich hier vor der marktwirtschaftlichen Realität zu verschließen, führt letztlich nur zum Verlust von Marktanteilen – oder zum Verlust von Adressatennähe.

Der Mitarbeiter als Quelle und Adressat

Besonders beim Begriff der Adressatennähe sind Mitarbeiter der öffentlichen Verwaltung gleich doppelt betroffen. Werden soziale Medien im Kontext verwaltungsrelevanter Beratungsleistungen genutzt, birgt dies ein erhebliches Gefährdungspotenzial bei Performanz-, Datenschutz- oder Haftungsthematiken.

Einerseits kann eine private Nutzung von Social Media während der Arbeitszeit natürlich die Produktivität der Mitarbeiter unmittelbar beeinflussen. Aber auch die vertriebs- oder beratungsorientierte Nutzung im Auftrag des Arbeitgebers birgt Risiken. So wird die Reaktionszeit auf „Posts“ vielfach als ein Qualitätsmerkmal gesehen. Dem Mitarbeiter bleibt bei seiner Reaktion daher kaum Zeit für eine Qualitätssicherung. Fehlt es jedoch an der entsprechenden Einweisung und Schulung, können die qualitativen Mängel einer Reaktion im Web desaströse Folgen im Kontext von Haftung und Marketing haben. Die Mitarbeiter zu involvieren, hat also ebenso zeitliche wie qualitative Implikationen.

Datenschutzrechtlich wird dabei vor allem der Umgang mit erhobenen Daten relevant. Mitarbeiter des Verwaltungsapparats müssen sich bewusst sein, dass Nutzung, Weitergabe oder gar Veröffentlichung personenbezogener oder personenbeziehbarer Daten stets an strikte rechtliche Rahmenbedingungen geknüpft sind. Anfragen oder Erhebungen dürfen – ohne entsprechende gesetzliche oder durch den Betroffenen vorgenommene Erlaubnis – nicht nach außen getragen werden. Eine persönliche Verwendung der Datensätze oder gar eine Vorteilsnahme dadurch ist unter allen Umständen zu unterbinden. In diesem Zusammenhang waren beispielsweise einige öffentliche Krankenhäuser in den Medien. Deren Krankenschwestern hatten Bilder von Neugeborenen auf privaten Facebook-Accounts veröffentlicht – mit direkten datenschutz- und haftungsrechtlichen Konsequenzen. Leider ist dies kein „beispielloses“, einzigartiges Vergehen, sondern leicht auf alle gesellschaftlichen Bereiche übertragbar. Doch auch solchen Risikoherden können Verwaltungsorganisationen entgegenwirken – etwa indem sie Sensibilisierungsschulungen, Richtlinien und Best Practices als Standard einführen.

Regelkonforme Umsetzung ist Führungsaufgabe

Es bleibt festzuhalten, dass die Nutzung sozialer Medien Risiken birgt. Bei bewusstem und regelkonformem Vorgehen lassen sich diese Risiken jedoch gut und schnell handhaben oder ganz ausschließen. Zentral dafür ist das Bewusstsein, dass eine regelkonforme Umsetzung stets auch Führungsaufgabe ist. Die Führungsebene einer Organisation trägt die Verantwortung dafür, dass geeignete Rahmenbedingungen die Risiken reduzieren. Die Aufgabe der Führungsebene mit ihrer Leitungs- und Organisationsfunktion ist es, Leitlinien, Richtlinien und Best Practices einzuführen, die das „Unterfangen soziale Medien“ präventiv und proaktiv angehen. Ein wesentliches Element der Rahmenbedingungen besteht darin, ein nachhaltiges Informationssicherheitssystem mit einem umfassenden Datenschutzmanagement zu schaffen. Ohne einen ganzheitlichen organisatorischen Ansatz dieser Art werden die Risikoherde im Rahmen der Ausgestaltung und Operationalisierung nicht adressiert. Die verbleibenden Lücken würden immense Haftungsrisiken oder gar den Verlust des Zugangs zum Adressaten mit sich bringen. Das Datenschutzmanagement muss darum auf jeden Fall auch ein Konzept zur Nutzung sozialer Medien beinhalten. In ihm lassen sich Aspekte wie das Rechtemanagement, Verantwortungen, Prozesse oder Kontrollinstanzen definieren. Zudem sind natürlich die Gestaltung und der Einsatz von Einwilligungsabläufen und Datenschutzerklärungen von höchster Relevanz.

Aktuell haben Verwaltungen in Sachen sozialer Medien und ihrer datenschutzrechtlichen Implikationen meist noch erhebliche Wissensdefizite. Hier ist unbedingt Abhilfe zu schaffen. Die bürgernahe Antwort besteht in einer regelkonformen, strategisch umfassend geplanten und konzeptionell gesicherten Nutzung der sozialen Medien durch die Verwaltung.

(ID:43965735)