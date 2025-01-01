Datenschutzfolgenabschätzung (DSFA) für die Nutzung von TikTok durch DATEV
Intro
DATEV hat neben Instagram, Facebook, YouTube, Xing und LinkedIn nun eine weitere Plattform, auf der Social-Media-Content bereitgestellt wird: TikTok. Durch einen Auftritt bei TikTok möchte DATEV Auszubildende und Studierende ansprechen und dabei das Unternehmen als einen attraktiven Arbeitgeber darstellen.
DATEV will mit TikTok Beschäftigte akquirieren. Es handelt sich um Öffentlichkeitsarbeit in einem weltweiten Umfeld, auch wenn hierbei maßgeblich deutschsprachige bzw. europäische Nutzer angesprochen werden sollen. Es werden Imagefilme sowie Fotos erstellt und im Internet frei zugänglich geteilt. Mittels Kommentarfunktion wird mit den Plattformnutzern interagiert. Aufgrund der Vorgaben der geltenden Datenschutzgrundverordnung (nachfolgend DSGVO) ist für die Angebote der DATEV gemäß Art. 35 Abs.1 DSGVO eine Datenschutzfolgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Risikoidentifikation
Die eigenen TikTok spezifischen Medieninhalte lösen das in Art. 35 DSGVO beschriebene Risiko aufgrund des nur sehr geringen Umfangs einer eigenen Datenverarbeitung nicht aus. Dies gilt insbesondere im Hinblick darauf, dass es sich bei den eigenen Beiträgen hauptsächlich um ein reines Senden von Inhalten handelt, und bei einer etwaigen Kommunikation mit anderen Nutzern nur die Daten verarbeitet werden, die diese selbst und freiwillig angegeben haben.
Die Nutzung von TikTok hat jedoch weitreichende Auswirkungen, insbesondere hinsichtlich der Auswertung der Daten durch den Plattformbetreiber zu Werbe- oder anderen nicht immer transparenten Zwecken. Dies stellt eine Verarbeitung mit einem potenziell hohen Risiko dar, für die eine Datenschutzfolgenabschätzung durchzuführen ist.
Es ist davon auszugehen, dass DATEV bei Verarbeitungsvorgängen auf TikTok, die zur Werbung, sonstiger Öffentlichkeitsarbeit und zur Bereitstellung allgemeiner Informationen genutzt werden, eine Mitverantwortung trägt. Mitverantwortung bedeutet dabei nicht, dass DATEV die Datenschutzkonformität des Sozialen Netzwerkes bestätigt oder garantiert. Mitverantwortung bedeutet vielmehr, dass DATEV sich und anderen die Risiken des Sozialen Netzwerkes bewusst macht.
Die Daten, die durch die Interaktion mit dem jeweiligen Account in dem Sozialen Medium oder anderen Accounts verarbeitet werden sind bereits öffentlich zugänglich bzw. frei im Internet verfügbar.
Jedoch werden die Inhalte durch das Erscheinen auf dem Account der DATEV und die Wechselbeziehung einer breiteren bzw. "spezifischeren" Öffentlichkeit zur Verfügung gestellt und erreichen so unter Umständen eine größere Aufmerksamkeit und weitere Verbreitung als ohne diese Interaktionen.
Auch dadurch, dass DATEV sich innerhalb TikTok mit anderen Accounts vernetzt, entstehen zusätzliche Querverbindungen und Informationen über den jeweiligen Nutzer des Accounts.
Es werden auch beim passiven Mitlesen der Seite durch die Nutzer Daten erhoben und durch den Plattformanbieter weiterverarbeitet, dies kann z.B. ein sog. Fingerprinting zur Nachverfolgung und Profilbildung ermöglichen.
Risikoanalyse
Durch die Erweiterung des Verbreitungskreises und die Vergrößerung der Verknüpfungsmöglichkeiten wird die Verarbeitung der Daten für andere Zwecke durch TikTok und eine exzessive Profilbildung der Nutzer begünstigt. Auch kann die Offenheit für Besucherbeiträge zu nachteiligen gesellschaftlichen Folgen wie unangebrachten oder diskriminierenden Kommentaren oder der Verbreitung sensibler Daten führen.
Diese Risiken können sich bei einer Verursachung durch TikTok selbst als wesentlich darstellen. Sie werden jedoch durch das Angebot der DATEV nur in sehr begrenztem Maße erhöht. Da die jeweiligen Beiträge auch noch anderweitig veröffentlicht werden, entsteht auch kein Zwang der Teilnahme an diesem Sozialen Netzwerk.
Risikobewertung und Maßnahmen zu deren Minimierung
Insgesamt ist das Risiko für die betroffenen Personen an einer nicht rechtskonformen Verarbeitung aus Sicht der Beteiligung von DATEV an TikTok niedrig anzusehen, wenn gleich es nicht ausgeschlossen werden kann.
Erstens gibt es Bedenken hinsichtlich der Einhaltung der Datenschutzgrundverordnung im Zusammenhang mit Vertragsvereinbarungen und Datenübermittlungen in Drittländer.
Obwohl Standardvertragsklauseln für Drittlandübermittlungen verwendet werden, bleibt die Verarbeitung in Teilen intransparent, weshalb betroffenen Personen nicht immer wirksame Rechtsbehelfe zur Verfügung stehen.
Die Nutzerrechte werden möglicherweise nicht ausreichend erfüllt, da TikTok keine klaren Richtlinien zur Löschung personenbezogener Daten bereitstellt. Es besteht die Gefahr von Phishing- und anderen Angriffen, insbesondere wenn Mitarbeiter in den Videos identifizierbar sind.
DATEV ergreift aktiv Maßnahmen um das Risiko für die betroffenen Personen zu minimieren:
Technische Maßnahmen zur Risikominimierung fallen aufgrund der Fremdsteuerung der Plattform prinzipiell aus. Organisatorische Maßnahmen bestehen darin, die Interaktionen zu beschränken bzw. zu entpersonalisieren. Dies erfolgt, wo es möglich und sinnvoll erscheint, ändert jedoch nichts an den sonst bei der Plattform verarbeiteten Datenmengen sondern jeweils nur am Beteiligungsumfang der DATEV.
DATEV bietet alternative Informations- und Kommunikationswege neben Social-Media-Plattformen wie TikTok und Facebook an. Nutzer können sich direkt über den unternehmenseigenen Internetauftritt unter www.datev.de informieren, wo alle relevanten Informationen zur Genossenschaft sowie weitere Inhalte abrufbar sind. Die Kontaktaufnahme mit DATEV ist über verschiedene Möglichkeiten, einschließlich eines Kontaktformulars, möglich. Stellenausschreibungen werden auf der DATEV Karriereseite veröffentlicht.
Zusätzlich informiert DATEV die Nutzer auf den jeweiligen Plattformen über sichere Nutzungsmöglichkeiten, indem sie beispielsweise auf den Hinweis des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verlinkt.
Es könnte weiterhin risikominimierend zu werten sein, wenn die Inhalte, welche bei den jeweiligen Plattformen ausgespielt werden, ebenfalls unter z.B. www.datev.de vorgehalten würden. Die Idee hinter dieser Maßnahme ist, keinen "Zwang" auf die Nutzer der Plattform auszuüben, die Inhalte auf der Plattform selbst zu konsumieren und mit DATEV in Interaktion zu treten, sondern mitzuteilen, dass die gleichen Inhalte auch über eine ohne Tracking und Drittlandübermittlung der Daten der Nutzer bereitgehalten werden und DATEV somit einen leichten Zugang zu den Inhalten ermöglicht. Die gespiegelten Inhalte sollen über die Plattform YouTube verlinkt werden. Die hierdurch neu entstehenden Datenflüsse lassen bei anonymer Nutzung der Plattform YouTube allenfalls Fingerprints zu, ein personenbasiertes Tracking wird dadurch erschwert.
Auch die Nutzer selbst haben Möglichkeiten, ihre eigenes Risiko zu minimieren: So besteht bei einer Nutzung Sozialer Netzwerke keine Pflicht den jeweiligen Klarnamen zu führen. Außerdem kann sich der Nutzer durch verschiedene Einstellungen bis zu einem gewissen Grad schützen, etwa durch das Löschen seines Browserverlaufs, das Deaktivieren von Cookies, oder die fehlende Standortfreigabe bei der Verwendung von Fotos und Videos.
Zudem ermöglicht die kontinuierliche redaktionelle Betreuung ein Eingreifen durch DATEV bei etwaigen ehr- oder persönlichkeitsverletzenden Kommentaren bis hin zur Sperrung des Accounts des "störenden" Nutzers.
Ergebnis
Die Nutzung von TikTok durch DATEV hat kein hohes Datenschutzrisiko zur Folge. Somit sind die Angebote von DATEV auf TikTok angesichts der beschriebenen Risiken und verbindlich vorgesehenen Maßnahmen vertretbar. Des Weiteren verpflichtet sich DATEV zudem, die weitere Entwicklung zu beobachten und die hier vorgenommene Prüfung nötigenfalls zu wiederholen und fortzuentwickeln.
Social-Media-Guidelines für Mitarbeiterinnen und Mitarbeiter von DATEV
Verantwortung: Sie sind für das, was Sie in Social Media tun, selbst verantwortlich.
Sie sind für das, was Sie in sozialen Netzwerken tun und veröffentlichen, selbst verantwortlich. Bitte gehen Sie bewusst mit dieser Verantwortung um, in Ihrem eigenen Interesse und im Interesse Ihres Arbeitgebers.
Transparenz: Sagen Sie, wer Sie sind.
Es ist Ihr persönlicher Beitrag, der in den sozialen Medien zählt. Daher bekennen Sie sich auch bitte immer mit ihrem Klarnamen dazu. Spitznamen, so genannten Nicknames, begegnet man zwar immer wieder, für die Leser und auch Sie selbst ist es aber hilfreicher und angenehmer, über die Identität des Verfassers Klarheit zu haben.
Rechtliche Rahmenbedingungen: Halten Sie Gesetze und Ihren Arbeitsvertrag ein.
Machen Sie sich bewusst, dass Sie mit der Nutzung von sozialen Netzwerken keinen rechtsfreien Raum betreten – Sie unterliegen hier ebenso den Gesetzen und Verträgen, zu denen Sie sich bekannt haben, wie wenn Sie an ihrem Schreibtisch sitzen, im Zug oder in der Kneipe. Davor schützt Sie auch kein Nickname. Auch haben viele Netzwerke eigene Nutzungsbedingungen; mit deren Anerkennung bei der Registrierung werden diese verbindlich.
Wichtige Regeln, die auch verbindlich gelten, während Sie sich in den sozialen Netzwerken bewegen, finden sich in Ihrem Arbeitsvertrag: Sie dürfen keine Interna nach Außen geben, also vor allem Betriebsgeheimnisse, Wissen über andere Mitarbeiterinnen und Mitarbeiter oder Angelegenheiten, die dem Unternehmen schaden oder sein Ansehen verletzen könnten. Außerdem sind Sie zum Datengeheimnis verpflichtet. Das heißt, geschützte, personenbezogene Daten dürfen nicht zu einem anderen als "zu dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck" bekannt oder zugänglich gemacht werden.
Verhaltenskodex: Achten Sie den DATEV-Code-of-Business-Conduct.
Das zweite wichtige Regelwerk, das für Sie verbindlich ist, wenn Sie sich im dienstlichen Auftrag an Social Media beteiligen, ist der allgemeine Verhaltenskodex von DATEV, der sogenannte Code of Business Conduct.
Wenn Sie sich nicht sicher sind, wie Sie sich im Sinne von DATEV in den Social Media richtig verhalten, finden Sie hier vor allem in den Artikeln Datenschutz und Datensicherheit, Arbeitsschutz, Betriebliche Mitbestimmung, Kollegialität und Menschenwürde eine erste Orientierung.
Wie Sie sicher wissen, werden hier Verhaltensweisen beschrieben, von denen wir annehmen, dass sie auch allgemein dem gesunden Menschenverstand entsprechen.
Urheberrecht: Verwenden Sie nur eigene Inhalte.
Ein wichtiger Punkt des Verhaltenskodex betrifft das Urheberrecht: Social Media verleiten nicht selten dazu, Inhalte von anderen einfach zu kopieren. Das ist nach dem Urheberrecht nicht erlaubt.
- Kopieren Sie also in ihren Beiträgen kein Material von anderen und geben Sie es nicht als ihr eigenes aus.
- Wenn Sie auf fremde Inhalte verweisen, nutzen Sie Links.
- Vermeiden Sie auch lange Zitate.
- Laden Sie nur Bilder oder Videos ins Internet hoch, wenn Sie die nötigen Rechte besitzen, weil sie zum Beispiel über die Zustimmung der Fotografen oder des Filmemachers und auch der abgebildeten Personen verfügen.
Private Nutzung: Achten Sie auf die DATEV-Bestimmungen zur privaten Nutzung des Internets.
Die Social-Media-Nutzung bringt es mit sich, dass häufig private und dienstliche Nutzung ineinander übergehen. Was die private Nutzung während der Arbeitszeit betrifft, so ist diese innerhalb des Unternehmens in der Gesamtbetriebsvereinbarung über die Nutzung der Kommunikationseinrichtungen geregelt. Nutzen Sie erforderlichenfalls die Zeitkorrektur-Buchungen im personalwirtschaftlichen Self-Service.
Die Nutzung wird dabei weder generell maschinell überwacht noch in einer anderen Form ausgewertet. Wie bei allen anderen Äußerungen, z.B. in persönlichen Gesprächen oder E-Mails, sind Sie natürlich auch auf Social Media an die Regelungen Ihres Arbeitsvertrags gebunden. Bitte beachten Sie, dass Ihr Verhalten Konsequenzen haben kann, wenn Sie z.B. jemanden beleidigen oder Betriebsgeheimnisse veröffentlichen.