Regelkonforme Umsetzung von Social Media-Herausforderungen in der Verwaltung

Social Media – Abgrund und Brücke zugleich

| Autor / Redakteur: Jan Alexander Linxweiler, Cassini Consulting / Ira Zahorsky

Social Login – bequem, aber nicht ohne Risiko

Kommen wir bei den Umsetzungsmöglichkeiten zunächst auf eine der beliebtesten zu sprechen: den so genannten Social Login. Es handelt sich dabei um eine Variante der Registrierung und des Logins auf den unterschiedlichsten Webseiten mittels eines einzelnen Accounts in einem sozialen Netzwerk. Grundsätzlich fragt die administrierende Behörde bei der Registrierung für einen Dienst auf einer Website oder in einer App personenbezogene Daten ab – insbesondere Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse und Telefonnummer. Abschluss findet dieser Vorgang zumeist durch einen Bestätigungslink, der an die E-Mail-Adresse des Registrierenden geschickt wird. Der Social Login ersetzt diesen Vorgang durch den Informationsaustausch über ein soziales Netzwerk. Dabei werden die benötigten Daten an den Dienstanbieter übermittelt. Der Registrierende oder der User meldet sich also mittels seines Accounts im entsprechenden Netzwerk bei dem Dienst einer Behörde an. Technisch werden diese Login-Varianten als Social Plugin in Form eines iFrames eingebunden.

Dies erscheint grundsätzlich recht bequem, kann sich jedoch datenschutzrechtlich als problematisch erweisen. Dies liegt an dem Datenaustausch, der stattfindet: Zunächst werden die durch das soziale Netzwerk bereitgestellten Daten vom Dienstanbieter ausgelesen. Dazu gehören unter anderem – hier am Beispiel Facebook-Connect – Name, Vorname, Geburtstag, Geschlecht, Sprache, Profilbild, Titelbild, Social Media ID, Adresse, E-Mail-Adresse, Freundeslisten sowie auch „Gefällt mir“-Angaben. Umgekehrt erlangt auch das Social Media-Netzwerk Informationen und Datensätze aus dieser Übertragung – der Dienstanbieter übermittelt dem Netzwerk seinerseits die von ihm gesammelten Daten.

Ein solches Vorgehen widerspricht einigen Grundsätzen, denen die Verwaltung verpflichtet ist: dem Grundsatz der Datensparsamkeit sowie dem Gebot der Zweckgebundenheit. Während die Datensparsamkeit darauf verpflichtet, nur das Minimum an Daten zu erheben, das für die Zweckerfüllung notwendig ist, bindet das Gebot der Zweckgebundenheit die Verwendung der Daten an den ursprünglichen Zweck der Erhebung. Zudem kommt der Grundsatz des Verbots mit Erlaubnisvorbehalt zum Tragen: Danach ist jede Verarbeitung personenbezogener Daten nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen zulässig. Es erweist sich also als brisant, dass auch Registrierende oder User betroffen sind, die eben keinen Gebrauch vom Social Login machen. So werden ohne Kenntnis des Users bereits bei Aufruf der Verwaltungs-Webseite personenbezogene Daten erhoben, u.a. die IP-Adresse – einfach durch eine Verbindung zur Seite des Anbieters des sozialen Netzwerks.

Da in beiden Szenarien (mit und ohne Verbindung zum sozialen Netzwerk) sowohl die administrierende Behörde als auch der Anbieter des Netzwerks als verarbeitende Stelle im datenschutzrechtlichen Sinne auftreten, gelten für sie entsprechende Verpflichtungen. Dem Grundsatz des Verbots mit Erlaubnisvorbehalt unterliegen Bestandsdaten im Sinne des § 14 Telemediengesetz, Nutzerdaten im Sinne des § 15 Telemediengesetz und Daten zur Erfüllung eines Geschäftszwecks im Sinne des § 28 Bundesdatenschutzgesetz. Hierunter fallen unter anderem Namen, E-Mail-Adressen und Geburtsdaten. Darüber hinausgehende Daten bedürfen allerdings einer Einwilligung durch den Betroffenen. Auf diese Einwilligungsnotwendigkeit muss entsprechend sowohl bei der initialen Nutzung des Social Login als auch in der Datenschutzerklärung hingewiesen werden. Für den behördlichen Alltag bewahrheitet sich ein ehernes Gesetz: stets absichern. Eine Datenschutzerklärung und die Einbettung einer interaktiven Einwilligungsoption für die Freischaltung des Social Logins sichern hier die Verwaltung als Dienstanbieter ab.

Sharing

Ähnliche Probleme wirft die Funktionalität des Sharing auf, eines der beliebtesten Marketingtools. Beim Sharing wird der Besucher einer Website eingeladen, das angebotene Produkt oder die Dienstleistungen mit dem eigenen Profil in einem sozialen Netzwerk zu verbinden oder zu bewerten – um letztlich ein User-Cross-Selling und Multiplikationseffekte zu erreichen. Auch im Rahmen des Sharing werden Daten über den Webseitenbesucher sowie den tatsächlich teilenden oder bewertenden Nutzer im bereits beschriebenen Umfang ausgetauscht. Allerdings lässt sich diesem Problem relativ leicht begegnen – durch verschiedene technische Lösungen. Oft kommen sogenannte Zwei-Klick-Lösungen oder aber skript-freie Umsetzungen zum Einsatz. Ins Blickfeld der Verwaltung gehört insbesondere die Zwei-Klick-Lösung, die eine Mitwirkungs- und Zwischeninstanz einbaut. Der Nutzer wird dabei dazu aufgefordert, die Social Media-Nutzung durch das Anklicken eines zusätzlichen Buttons freizuschalten – daher der Name Zwei-Klick-Lösung. So werden nicht bereits beim Laden der Seite Informationen von anderen Servern abgerufen – oder zumindest deutlich weniger als ohne Zwei-Klick-Lösung. Das Resultat ist eine schneller geladene Seite mit weniger Overhead. Zugleich eröffnet das Mitwirkungselement dem Nutzer die Möglichkeit, sich der Datenerhebung zu entziehen. Eine Lösung rein auf Script-Seite vermeidet zwar den technischen Overhead, bringt aber keine datenschutzrechtlichen Vorzüge.

Lesen Sie auf der nächsten Seite, warum Marktforschung auch für die Verwaltung wichtig ist.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43965735 / Kommunikation)