Kann eine Schule unter den aktuellen datenschutzrechtlichen Vorgaben einen Social Media Auftritt wie Facebook, Instagram, Snapchat, Tik Tok, YouTube oder ähnlich zur Außendarstellung betreiben?
Die datenschutzrechtliche Lage
Um eine Aussage bezüglich der Zulässigkeit eines schulischen Social Media Auftritts treffen zu können, sollte man die datenschutzrechtliche Lage und ihre Entwicklung kennen. Dass bei Anbietern wie Facebook der Nutzer nicht der Kunde, sondern das Produkt darstellt, ist seit längerem hinreichend bekannt. Die europäische Datenschutz Grundverordnung ist unter anderem auch vor dem Hintergrund entstanden, den großen US Internet Konzernen die Zügel anzulegen. Entsprechend haben die Entwicklungen bis zum heutigen Stand auch schon eine längere Geschichte.
Bisher geht es vor Gericht bezüglich der datenschutzrechtlichen Zulässigkeit einer Nutzung von Social Media zur Außendarstellung vor allem um Facebook. Auch wenn die entsprechenden Urteile des europäischen Gerichtshofs und deutscher Gerichte zunächst Facebook betreffen, so sind Juristen jedoch überwiegend der Meinung, dass die dort gefällten Urteile auch auf andere Social Media Anbieter wie Twitter übertragbar sind. Auf Instagram sollten die Urteile zu Facebook noch eher zutreffen, da dieses zum Facebook Konzern gehört. Inwieweit sich alles dann auf nicht-amerikanische Anbieter wie Tik Tok (chinesischer Anbieter) übertragen lässt, ist zu sehen.
Das zentrale Urteil, welches aktuell maßgeblich die Auseinandersetzung mit Social Media bestimmt, ist das Urteil des europäischen Gerichtshofs vom Juni 2018, EuGH Urteil (C-20/16), in welchem festgestellt wurde, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich sind.
Um eine gemeinsame Verantwortlichkeit nachzuweisen, ist nach Art. 26 DS-GVO ein Vertrag zwischen beiden Seiten erforderlich, in welchem festgelegt ist, wer welche Verpflichtungen nach der DS-GVO erfüllt. Ohne diese Vereinbarung ist nach einem Beschluss der Datenschutz-Konferenz1Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 der Betrieb einer Fanpage rechtswidrig.
Facebook reagierte auf das Urteil des europäischen Gerichtshofes und stellte als Seiten-Insights-Ergänzung das sogenannte Page Controller Addendum zur Verfügung, welches dann im November 2019 noch einmal überarbeitet wurde.
In einem Urteil stellte im September 2019 das Bundesverwaltungsgericht fest (BVerwG, 11.09.2019 – 6 C 15.18), dass Aufsichtsbehörden gegen Fanpages bzw. deren Betreiber vorgehen können.
Es steht außerdem noch ein weiteres Urteil aus, welches mit dem zuvor genannten in Zusammenhang steht. Das Oberverwaltungsgericht in Schleswig soll in der Frage entscheiden, ob und inwieweit die Datenverarbeitungsvorgänge auf den Fanpages von Facebook datenschutzkonform bzw. rechtswidrig sind.
Was bedeutet das nun für eine Schule?
Betrachtet man die Urteile und die Reaktion von Facebook darauf, so ist es rein formell durchaus möglich, einen Facebook Auftritt (Facebook Fanpage) zu betreiben. Gegenwärtig geht man, auch wenn das nicht völlig unumstritten ist, an vielen Stellen davon aus, dass die AGB-Passagen zu Facebook-Insights eine wirksame Vereinbarung zur gemeinsamen Datenverarbeitung nach Art. 26 DSGVO darstellen. Die Forderung der Datenschutz-Konferenz wäre damit zumindest formell erfüllt. Da dieses Facebook Dokument auch für Instagram gilt, lässt sich das Gesagte damit auch auf Instagram übertragen.
Nutzt die Schule eine Social Media Plattform zur Außendarstellung, muss sie dort Angaben zur datenschutzrechtlichen Verantwortung machen und auf die Datenschutzerklärung auf der Schulhomepage verlinken. Dort sollte es dann entsprechende Angaben zur gemeinsamen Verantwortlichkeit mit dem Anbieter der Social Media Plattform geben, mit entsprechender Verlinkung. Bei Facebook und Instagram wäre dieses beispielsweise eine Verlinkung auf die AGB und das Page Controller Addendum. Vertiefende Informationen sind nachzulesen unter Facebook und Instagram zur Außendarstellung hier auf dieser Website.
Die aktuelle Entwicklung und was das bedeutet
Die Nutzung von Social Media Auftritten durch Firmen und öffentliche Stellen wird durchaus auch kritisch gesehen und es gibt Fachjuristen, welche anzweifeln, dass trotz Page Controller Addendum ein rechtmäßiger Betrieb überhaupt möglich ist. Die Kritiker gehen davon aus, dass der Firma bzw. öffentlichen Stelle längst nicht alle Informationen vorliegen, über welche sie im Rahmen einer gemeinsamen Verantwortlichkeit verfügen müssten.2“Infolge des EuGH-Urteils sei eigentlich eine Vereinbarung über die gemeinsame Verarbeitung von Daten nach Artikel 26 DSGVO zwischen dem User und dem Plattformbetreiber zwingend. Dies sei jedoch nicht möglich, weil Netzwerke wie Twitter und Facebook die dafür nötigen Informationen nicht zur Verfügung stellten.” – https://www.handelsblatt.com/politik/deutschland/forderung-der-fdp-twitter-abschied-von-datenschuetzer-brink-koennte-nachspiel-auf-eu-ebene-haben/25424952.html Abgerufen, 13.01.2020 (User würde in unserem Falle die Schule meinen)
Als Schule kann man sich zumindest momentan noch immer darauf berufen, dass auch andere öffentliche Stellen wie Ministerien, Bezirksregierungen, Kommunen, die Polizei und ähnlich Social Media Auftritte pflegen.
Zum Jahreswechsel 2019/20 verkündete der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Stefan Brink, der bisher einen in der Öffentlichkeit positiv wahrgenommenen Auftritt bei Twitter unterhielt, den Rückzug von dieser Social Media Plattform zum Ende des Januar. Als Begründung dafür gibt er an, keine Möglichkeit mehr zu sehen, seinen Account dort rechtskonform weiter zu betreiben.3Interview: Warum Behörden und Unternehmen soziale … – Faz.” 9 Jan. 2020, https://www.faz.net/aktuell/interview-warum-behoerden-und-unternehmen-soziale-medien-meiden-sollten-16570982.html. Abgerufen 13 Jan. 2020.
Dieser Rückzug hat für ziemlich viel Aufsehen gesorgt und an vielen Stellen wird die Frage gestellt, ob Firmen und öffentliche Stellen ihre Social Media Accounts nicht sämtlich einstellen müssten.4“Die Abstinenz von sozialen Netzwerken sei jedoch nicht nur für ihn als Datenschützer zwingend, „sondern für alle Behörden und auch Privatunternehmen, die soziale Medien nutzen“.”https://www.handelsblatt.com/politik/deutschland/forderung-der-fdp-twitter-abschied-von-datenschuetzer-brink-koennte-nachspiel-auf-eu-ebene-haben/25424952.html. Abgerufen 13.01.2020 Soweit ist es allerdings noch nicht. Man sollte die Entwicklung der gesamten Situation jedoch im Auge behalten. Es hat sich mittlerweile auch die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Helga Block, zum Thema zu Wort gemeldet. Sie “teilt die Bedenken ihres baden-württembergischen Kollegen Stefan Brink gegen eine Nutzung Sozialer Medien wie Twitter oder Facebook durch die Behörden.”5“NRW-Datenschützerin rät Behörden von Twitter ab.” 9 Jan. 2020, https://www.wz.de/nrw/nrw-datenschuetzerin-raet-behoerden-von-twitter-ab_aid-48239669. Abgerufen 13 Jan. 2020. vielerorts ist man momentan noch unsicher, wie man sich verhalten soll, selbst auf Bundesebene.6“Galgenfrist für Behörden in sozialen Medien? – Kommunal.de.” 13 Jan. 2020, https://kommunal.de/soziale-medien-galgenfrist. Accessed 13 Jan. 2020. Da die Rechtslage momentan noch unklar ist, sieht man zumindest aktuell noch keinen Handlungsbedarf und wird die Social Media Accounts weiter betreiben. Dieser Zustand wird mit größter Wahrscheinlichkeit so lange andauern, bis das Oberverwaltungsgericht Schleswig-Holstein sein Urteil bezüglich der Datenschutzkonformität von Facebook Fanpages gesprochen hat. Und selbst dann bezieht sich dieses Urteil zunächst nur auf Facebook und die Fanpages. Inwieweit die Aufsichtsbehörden dann daraus ableiten, dass dieses auch auf Instagram und Twitter zutrifft und sie Firmen und öffentlichen Stellen daraus folgend den Betrieb untersagen können, bleibt abzuwarten. Bisher ist auch kein einheitliches Stimmungsbild unter den verschiedenen Landesdatenschützern zu erkennen. Wie sich die Möglichkeiten zur Nutzung von Social Media durch Schulen entwickeln, hängt allerdings nicht nur von Gerichtsurteilen und dem Handeln der Aufsichtsbehörden ab. Auch die Anbieter von Social Media haben Einfluss auf die weitere Entwicklung. Sie können auf Anordnungen und Gerichtsurteile reagieren und die Funktionen ihrer Plattformen verändern wie auch AGB’s und andere vertragliche Dokumente anpassen.
Fazit
Zusammenfassend kann man sicher sagen, noch ist es durchaus möglich, einen Social Media Auftritt für eine Schule zu unterhalten. Man sollte sich als Schule dann auf die Nutzung von Social Media Auftritten durch andere Behörden (öffentliche Stellen) bis hinauf zur Bundesebene berufen. Wenn es für die möglich ist, sollte auch für Schulen eine Möglichkeit zum Betrieb eines Social Media Auftritts bestehen. Die Entwicklungen der letzten Wochen zeigen aber sehr deutlich, das Eis, auf welchem Schulen sich dabei datenschutzrechtlich bewegen, wird zumindest momentan zunehmend dünner.
Man wird als Schule nicht mit einem Bußgeld rechnen müssen, auch nicht mit einer Abmahnung. Es ist aber zu durchaus möglich, dass der Punkt kommt, wo Aufsichtsbehörden zur Abschaltung auffordern werden. Eventuell werden hier auch Schulministerien vorher die Notbremse ziehen und Schulen anweisen, ihre Social Media Auftritte abzuschalten (falls die Social Media Anbieter nicht vorher von ihrer Seite aktiv werden und Schulen einen datenschutzkonforme(re)n Betrieb ihres Social Media Auftrittes ermöglichen).
Nutzt eine Schule Social Media Kanäle zur Außendarstellung direkt über die Seiten der Anbieter, so ist dieses in Bezug auf das Thema Datenschutz eine Sache. Werden die Social Media Auftritte der Schule zusätzlich in die Schulhomepage eingebunden, kommen ergeben sich in Bezug auf die datenschutzrechtliche Verantwortung der Schule weitere Aspekte, die zu berücksichtigen sind. Diese sollen hier beleuchtet werden.
Datenfluss bei Embed von Social Media
Werden Social Media wie Twitter oder Instagram über ein Embed in die Website eingebunden, fließen automatisch Daten der Besucher der Seite an den Social Media Anbieter, nicht anders als würde man diesen Anbieter direkt auf der Seite besuchen. Entsprechend äußert sich auch der LDI Baden Württemberg, dessen Behörde einen Twitter Account betreibt bis Ende Januar 2020 einen Twitter Account betrieb, zu dieser Thematik1Quelle des Zitats: https://www.baden-wuerttemberg.datenschutz.de/twitter-datenschutzfolgenabschaetzung/ (abgerufen 11/2019) Die Datenschutzfolgenabschätzung ist mittlerweile nicht mehr online verfügbar (03.2020).
Technisch besteht die Möglichkeit, in eigene Webseiten aktive Elemente von Sozialen Netzwerken, auch von Twitter, zu integrieren. Derartige Elemente informieren das Soziale Netzwerk (oder ggf. sonstige Dritte) von dem Besuch auf einer bestimmten Seite. Ist der Besucher mit seinem (z.B. Twitter-)Account angemeldet, so ist er für den Dritten (z.B. Twitter) identifiziert. Auch wenn er nicht angemeldet oder sogar gar nicht registriert ist, sind Profilbildung und Wiedererkennung möglich.
Danach ist die Einbindung derartiger Elemente nicht erlaubt, wenn nicht die informierte, freiwillige und vorherige, aktiv und separat erklärte Einwilligung des Nutzers vorliegt.
Daraus ergibt sich die Erfordernis, die Besucher vorher über diese Art von Datenverarbeitung zu informieren, ähnlich wie diese jetzt bei den nicht erforderlichen Cookies oder bei der Einbettung von Social Media Buttons notwendig ist. Erst wenn die Besucher diesbezüglich einwilligen oder einen Link klicken, werden die Cookies gesetzt, die Social Media Sharing Buttons auf der Website aktiviert und können genutzt werden. Entsprechend ist es aus Sicht des Datenschutzes erforderlich, wenn man Twitter, Instagram oder ähnliche Anbieter entsprechend einbindet.
Lösungsmöglichkeiten
Es gibt verschiedene Möglichkeiten, die Datenerhebung durch Social Media Embed Elemente2Embed bezeichnet die technische Möglichkeit, Inhalte anderer Websites innerhalb der eigenen Website einzubetten, so das der Inhalt der anderen Website unmittelbar von der Quelle angezeigt wird, so als würde man diese Seite direkt aufrufen. in einer Seite zu unterbinden.
Information
Datenschutzerklärung
Die saubere Einbettung von externen Social Media Inhalten ist die eine Seite der Medaille. Die andere ist die Information der Website Besucher über die Datenschutzerklärung. Dort muss ein entsprechender Passus enthalten sein. Dieser sollte nicht nur auf die Datenschutzerklärung des Social Media Anbieters verlinken, sonder auch darüber hinausgehend informieren, welche Datenverarbeitung im Zusammenhang mit der Einbettung in die Schulhomepage erhoben werden. Dazu gehört die Identifizierung des Besuchers durch den Social Media Anbieter. Ist der Besucher gleichzeitig bei diesem Anbieter eingeloggt, kann der Anbieter dem Besucher den Seitenbesuch auf der Schulhomepage zuordnen. Je nach Anbieter kann solches auch ohne Anmeldung oder eigenes Profil beim Social Media Anbieter möglich sein (z.B. Facebook Schatten Profil).
Information beim Embed
Wichtig ist, dass die Besucher der Seite vor Aktivierung der Social Media Embeds bzw. Besuch des Social Media Angebotes (auf einer andere Seite der eigenen Homepage) einen Hinweis erhalten über die damit einhergehende Datenerhebung, der auch auf die Datenschutzerklärung verweist für vertiefende Informationen. Es sollte in den meisten Fällen ausreichen, wenn außerdem darauf hingewiesen wird, dass die Besucher durch Anklicken in die erforderliche Datenverarbeitung einwilligen.
Plugins & Tools
Welche Möglichkeiten es dazu in technischer Hinsicht gibt, hängt vom genutzten System für die Website ab. Bei WordPress kann man so etwas über Plugins lösen, bei anderen Systemen muss man eventuell etwas von Hand erstellen. Es gibt darüber hinaus verschiedene Techniken. Ein Beispiel ist die Einbettung von YouTube Videos, bei denen nur ein Vorschau Bild generiert wird, welches mit dem Video selbst verlinkt ist. Das wird dann in den iframe geladen, wenn dieses Bild angeklickt wird. Bis dahin fließen keine Daten an YouTube. Vergleichbare Ergebnisse bei Nutzung einer etwas anderen Technik liefert Embetty für WordPress von Heise Online3Die Nutzung setzt allerdings die Einrichtung eines kleinen Proxy Servers voraus.
Verlinkung
Ist eine Umsetzung mittels Plugin oder anderer Tools nicht möglich, bleibt immer noch die Option, über einen Link zu arbeiten. Dieser Link kann entweder über einen Textlink oder ein Bild erfolgen. Dabei gibt es zwei Optionen, wohin der Link verweist. Er kann direkt auf das Social Media Angebot führen oder er kann auf eine andere Seite innerhalb der Homepage verweisen, in welcher das Social Media Angebot direkt eingebettet ist, ohne weitere Schutzmaßnahmen. Wichtig wäre bei letzterer Option, dass diese Seite nicht über eine Suche innerhalb der Website oder eine Suche über eine Suchmaschine direkt aufgerufen werden kann. In Systemen wie WordPress lassen sich Seiten aus der Suchfunktion ausschließen. Für Suchmaschinen muss der Ausschluss aus der Suche über einen entsprechenden Meta Tag umgesetzt werden.4Leider ist der robots txt noindex Meta Tag keine Gewähr mehr, dass Suchmaschinen eine einzelne Seite nicht in den Index aufnehmen, da Google die Berücksichtigung dieses Tags im Juli 2019 gestoppt hat.
Kann eine Schule aktuell überhaupt noch einen eigenen Social Media Kanal betreiben?
Wenn sogar Behörden und Aufsichtsbehörden eigene Social Media Auftritte haben, sollte eine Nutzung auch für Schulen möglich sein. Wie oben beschrieben, sind dabei jedoch einige Dinge zu beachten.5Da der Inhalt dieser Seite auf Anfrage entstand, überschneidet sich ein Teil der folgenden Inhalte mit denen anderer Seiten zum Thema Social Media und Schule.
Nur eine Informationsmöglichkeit von mehreren
Für Besucher der Seite, ob externe Besucher oder Schüler, Eltern und Lehrkräfte sollten die über den Social Media Account bereitgestellten Inhalte und Informationen möglichst auch auf einem anderen Weg bereitgestellt werden. Besucher dürfen nicht gezwungen sein, den Social Media Dienst zu nutzen bzw. den Embed in der Schulhomepage zu aktivieren, um an Informationen, welche sie zwingend erhalten müssen, zu gelangen. Werden in den Social Media Kanal nur “unwichtige” Informationen eingestellt, besteht keine Erfordernis, sie auch auf anderem Wege zur Verfügung zu stellen.
Alternative Zugangswege
Um Personen aus der Schule, die am Social Media Auftritt der Schule interessiert sind, eine Möglichkeit zu geben, diese Inhalte auch im Social Media Kanal selbst anzusehen könnte die Schule alternative Zugangswege bieten. Das könnte eine Einbindung in digitale Schwarze Bretter im Schulgebäude sein oder die Möglichkeit, den Social Media Kanal über schulische Rechner zu besuchen, die einen un-personalisierten Zugang erlauben (z.B. Zugang über Rechner ohne Logins an irgendwelchen externen Diensten, die eine Verbindung zu Social Media Anbietern haben, Gastzugang auf einem Rechner, Brave Browser im Anonym Modus mit Schutz durch TOR Netzwerk)
Vertrag zur Auftragsverarbeitung bzw. Gemeinsame Verantwortlichkeit
Wenn die Schule einen eigenen Social Media Auftritt hat, werden dabei personenbezogene Daten verarbeitet. Das sind auf jeden Fall personenbezogene Daten der Besucher des Auftritts und können je nach Nutzung auch personenbezogene Daten der Personen sein, welche den Auftritt betreuen. Außerdem kommen personenbezogene Daten von Personen aus der Schule in Betracht, wenn solche über den Auftritt veröffentlicht werden. Aus diesem Grund muss zwischen der Schule als verantwortlicher Stelle und dem Social Media Anbieter ein Vertrag geschlossen werden, welcher die Verantwortlichkeiten, Rechte und Pflichten beider Seiten regelt. Da Social Media Anbieter die durch die Plattform erhobenen Daten auch immer für eigene Zwecke nutzen, kommt ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DS-GVO in der Regel nicht in Betracht. Stattdessen bedarf es einer Vereinbarung gemäß Artikel 26 DS-GVO, in welchem die Zwecke und Mittel zur Verarbeitung gemeinsam festgelegt werden wie auch wer für die Erfüllung der verschiedenen Verpflichtungen, welche sich aus der DS-GVO ergeben, verantwortlich ist. Dabei sind insbesondere zu regeln, wer für die Wahrnehmung der Rechte der betroffenen Person zuständig ist, und in wessen Zuständigkeit die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 liegt.
Personenbezogene Daten aus der Schule in Social Media
Solange eine Schule ihren Social Media Account ohne personenbezogene Daten aus der Schule nutzt und nur allgemeine Informationen darüber verbreitet, die gegebenenfalls auch noch auf anderem Wege genauso einfach zu erhalten sind, etwa über einen Blog oder ein Nachrichten Board auf der Schulhomepage, ist die Nutzung insgesamt datenschutzrechtlich wenig problematisch. Sollen auch personenbezogene Daten von Personen aus der Schule darüber verbreitet werden, so setzt dieses eine informierte und freiwillige Einwilligung der Betroffenen voraus. Jugendliche können hier vor Vollendung des 16. Lebensjahres nicht eigenständig einwilligen, da es sich bei Social Media Kanälen in der Regel um Dienste der Informationsgesellschaft im Sinne von Art. 8.1 DS-GVO handelt.6Siehe hierzu auch den Beitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Die Schule sollte darüber hinaus auch ihre ethische und moralische Verantwortung gegenüber den Schülerinnen und Schülern nicht außer acht lassen. Bei älteren Schülern, welche über einen eigenen Instagram Account verfügen und diesen auch aktiv nutzen, spricht sicherlich weniger gegen eine aktive Beteiligung an einem Social Media Auftritt der Schule mittels Posts und Fotos die der Person zugeordnet werden können als bei Schülern, die selbst (noch) nicht aktive Social Media Nutzer sind.
Lernanlass
Besitzt eine Schule einen Social Media Account, so sollte die damit verbundene datenschutzrechtliche Problematik mit den Schülern auf jeden Fall thematisiert werden. Es sollte für Schüler klar sein, warum die Schule dieses Medium nutzt und welche Risiken eine Nutzung für Betroffene in Bezug auf ihr Recht auf informationelle Selbstbestimmung, Profilbildung, Cyberbullying, … darstellen kann.
Weiter lesen
Wer mit dem Gedanken spielt, Social Media in die Schulhomepage einzubinden, sollte unbedingt die aktuellen Entwicklungen bezüglich der Nutzungsmöglichkeiten von Social Media durch Behörden bzw. öffentliche Stellen und Firmen berücksichtigen – siehe dazu Schule Social Media Auftritt – Stand Januar 2020.
Darf ich auf privaten Endgeräten Programme wie ‘Whatsapp’, IMessage’ oder ‘Telegram’ benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?
Die privaten Endgeräte bzw. die darauf installierten Apps sind so zu konfigurieren, dass keine Daten mit Personenbezug aus der Schule an Dritte weitergegeben werden. Im Zweifelsfall ist von der Installation der App oder der Nutzung des privaten Endgerätes für dienstliche Zwecke abzusehen.
… Schülerinnen und Schüler oder Erziehungsberechtigte Lehrerinnen und Lehrer in Sozialen Medien hinzufügen wollen?
Rein rechtlich dürfen Lehrerinnen und Lehrer mit Schülerinnen und Schülern oder Erziehungsberechtigten über Social Media Kanäle in Kontakt treten. Lehrerinnen und Lehrer nehmen in solchen Situationen aber nie als Privatperson Teil und sollten sich ihrer Rolle klar und bewusst sein. Auf keinen Fall dürfen personenbezogene Daten (Noten, Namen etc.) über Social Media Accounts verschickt werden.
FAQ – Social Media, Medienberatung NRW1Die FAQ Social Media wurden auf Seiten der Medienberatung NRW im Mai 2019 offline genommen.
Bei Social Media gelten Lehrkräfte in der Kommunikation mit Schülern und Eltern nicht als Privatperson – bei E-Mail handeln sie hingegen privat, wenn sie über eine persönliche Adresse mit Schülern und Eltern kommunizieren! Das scheint in sich widersprüchlich!
Welche Inhalte dürfen mit Eltern über E-Mail ausgetauscht werden?
Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogenen Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.
Soweit Lehrkräfte über private E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Die Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.
Haben Sie hier jemanden speziell im Blick [wenn es darum geht, zu beurteilen, ob die DSGVO auch bei Datenschutzverstößen greift, die von großen internationalen Konzernen in voller Absicht begangen werden]?
“Zum Beispiel WhatsApp. Der Messenger-Dienst, der bekanntlich zu Facebook gehört, verstößt aus meiner Sicht an mehreren Stellen ganz klar gegen europäisches Recht. Und damit meine ich nicht nur, dass WhatsApp-Daten ungefragt und in großem Umfang von Facebook verwendet werden.
Klar gegen Europarecht verstößt der Umstand, dass alle, die den Dienst nutzen wollen, ihre kompletten Kontakte an WhatsApp übertragen müssen – obwohl diese Daten für die eigentliche Funktionalität von WhatsApp überhaupt nicht erforderlich sind. Und das Problem dabei ist: In die Übertragung kann ich gar nicht in vollem Umfang wirksam einwilligen, da es sich ja sich auch um Daten Dritter handelt.”
“Aus diesem Grund würde ich übrigens auch nie Nachrichten-Apps wie WhatsApp benutzen, wo man für die volle Funktionalität seinen gesamten Kontaktordner anbieten muss.”
“Darf ich mit meiner Klasse mittels Facebook, WhatsApp oder iMessage schulisch kommunizieren?
Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.
Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.
Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, SIMSme, Chiffry, Wire oder Threema).
“Abschließend muss ich Ihnen mitteilen, dass uns von Seiten der Landesschulbehörde die Nutzung der Messenger Dienstes WhatsApp in schulischen Zusammenhängen strengstens untersagt wurde.
Auch andere Messenger Dienste genügen nicht den neuen Datenschutzbestimmungen. Wenn Sie zukünftig Kontakt mit Lehrkräften aufnehmen möchten, schreiben Sie bitte eine E-Mail oder nutzen Sie das Telefon.”
Auskunft einer Schule in Niedersachsen an ein Elternteil, Twitter, (10/2018)
Soziale Netzwerke: Ist Facebook in der Schule erlaubt?
Facebook sollte aus Datenschutzgründen grundsätzlich nicht genutzt werden.
Dürfen wir als Lehrer den Messenger WhatsApp für den Unterricht nutzen?
Datenschutzrechtlich ist jedoch von der Nutzung für schulische Zwecke abzuraten.
Dies aus mehreren Gründen:
Mit der Anmeldung stellen Sie dem Anbieter alle in Ihrem Mobiltelefon gespeicherten Kontakte zur Verfügung, auch die Ihrer Schüler. Weiter werden Kommunikationsinhalte vom Anbieter gespeichert. Dafür benötigen Sie eine wirksame Einwilligung. Diese setzt datenschutzrechtlich voraus, dass sie „freiwillig“ erfolgt. Wenn Ihre Schüler bzw. die Eltern einwilligen müssen, um Unterrichtsinhalte über WhatsApp zuverlässig mitgeteilt zu bekommen, ist dies nicht freiwillig.
Die Daten werden in einem Land außerhalb des europäischen Wirtschaftsraums gespeichert. Da der Anbieter von „WhatsApp“ sich nicht dem Datenschutzabkommen zwischen Europa und den USA unterworfen hat, ist die Übermittlung nach den Vorgaben der DSGVO unzulässig.
Sie werden als Lehrer für WhatsApp Ihr privates Smartphone nutzen. Die Speicherung von personenbezogenen Daten Ihrer Schüler auf privaten Geräten ist in den meisten Bundesländern durch Erlasse geregelt. Die private Telefonnummer zu speichern ist zumeist nicht erlaubt.
Allerdings müssen Ihre Schüler auch hier in die Nutzung freiwillig einwilligen. Somit kann ein Messenger nur als Alternative und nicht als Ersatz zur schulischen Kommunikation genutzt werden.
SCHOOLBOOK, Lehrermagazin, Rechtsanwalt Christian Schuler (Jan 2018)
Einsatz von WhatsApp und Facebook an Berliner Schulen ist rechtswidrig
So gilt beispielsweise für die Nutzung von Facebook und WhatsApp: Hier werden Daten an Anbieter in einem Drittland übertragen, eine Überprüfung oder Bewertung der dortigen Bestimmungen ist der Schule nicht möglich. Auch werden durch die Nutzung von WhatsApp fortlaufend Klardaten von allen im eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das Unternehmen übertragen. Die Berliner Beauftragte bewertet den Einsatz von Social Media wie WhatsApp zur dienstlichen Kommunikation von Lehrkräften mit Schülerinnen und Schülern und Eltern als rechtswidrig (Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2016).
In anderen Bundesländern sieht es übrigens ähnlich aus.
Um Messenger geht’s hier nicht. Der Fokus dieser Richtlinie liegt also auf Sozialen Netzwerken, die sich als Plattformen an die Öffentlichkeit richten. Die Nutzung sog. Instant-Messaging-Dienste wie etwa Whatsapp, Snapchat und des Facebook-Messengers unterliegt strengeren Voraussetzungen – gerade in den Fällen, in denen zwischen Staat und Nutzern eine besondere Schutz- und Obhutsbeziehung besteht, wie etwa im Bereich von Kindergärten oder Schulen – und ist daher nicht Gegenstand dieser Richtlinie.
Ein Lehrer darf keine gemeinsame „WhatsApp“-Gruppe für Eltern der Kinder aus der Schulklasse einrichten, denn der Einsatz von sozialen Medien zur dienstlichen Kommunikation von Lehrern mit Eltern oder Schülern ist unzulässig (Klassenlehrer eröffnet „WhatsApp“-Gruppe für Eltern, S. 94).
Aus datenschutzrechtlicher Sicht wird der Einsatz von „WhatsApp“ für schulische Zwecke, also zur dienstlichen Kommunikation zwischen Lehrpersonal und Schülerinnen und Schülern, allerdings als nicht zulässig angesehen.
[…]
Kinder – das sind aus datenschutzrechtlicher Sicht Personen, die das 16. Lebensjahr noch nicht vollendet haben – können nicht allein wirksam in die Datenschutzbestimmungen eines Messengers einwilligen. Hierzu ist auch die Einwilligung der Eltern erforderlich. Hierbei ist zu beachten, dass eine datenschutzrechtlich wirksame Einwilligung u.a. voraussetzt, dass sie „freiwillig“ erfolgt. Wenn das Kind faktisch WhatsApp nutzen muss, um Unterrichtsinhalte zuverlässig mitgeteilt zu bekommen, bestehen erhebliche Zweifel an der „Freiwilligkeit“ der Einwilligung.
Merkblatt für die Nutzung von „WhatsApp“ in Schulen.pdf Landesbeauftragte für den Datenschutz Niedersachsen (11/2018)
Persönliche Daten als Bezahlung für Apps
Das gilt insbesondere für Schulen. Baeriswyl wiederholte an einer Medienkonferenz zum Tätigkeitsbericht 2017 eine Kritik, die er bereits vor zwei Monaten gegenüber der NZZ geäußert hatte: In Klassenzimmern hätten Tools wie Whatsapp, Dropbox und Co. nichts verloren. Denn die Nutzung solcher Programme müsse man teuer bezahlen – und zwar mit einem massiven Kontrollverlust, was die eigenen Daten anbelange. «Die Crux liegt dabei meist im Geschäftsmodell», erklärt Baeriswyl. Denn: Nichts sei gratis. Wer einen vermeintlich kostenlosen Dienst verwende, bezahle mit seinen Daten.
“Mit Blick auf die besondere Schutzbedürftigkeit der Schülerinnen und Schüler ist von einer unterrichtlichen Nutzung Sozialer Netzwerke abzusehen”
Hinweise zum Umgang mit Sozialen Medien/Netzwerken … für die schulische Praxis, Bayerisches Staatsministerium für Unterricht und Kultus, (04/2013)
Totales WhatsApp Verbot an Winterthurer Schulen
Seit Mai des letzten Jahres dürfen Lehrerinnen und Lehrer mit ihren Klassen nicht mehr über Whatsapp kommunizieren. Dies, weil das Mindestalter der App auf 16 Jahre erhöht wurde.
Nun hat die Zentralschulpflege (ZSP) das Whatsapp-Verbot ausgeweitet. Die App ist in der Schule überhaupt nicht mehr erlaubt, weder im Kontakt der Lehrpersonen untereinander noch in der Kommunikation mit den Eltern.
Die ZSP stützte sich bei ihrem Beschluss laut ihrem Präsidenten Jürg Altwegg (Grüne) auf den Datenschutzbeauftragten des Kantons Zürich. Dieser hält fest, bei einer Whatsapp-Nutzung würden fortlaufend Kontaktdaten des Mobiltelefon-Adressbuchs an Whatsapp und Facebook übertragen. Die Daten werden in die USA weitergeleitet und dort gespeichert.
Dabei werden auch Kontaktdaten von Personen weitergeleitet, die Whatsapp nicht nutzen und die nicht in die Bekanntgabe ihrer Daten eingewilligt haben. Wollte man einen rechtmäßigen Umgang mit den Daten der Betroffenen garantieren, müssten alle Personen im Adressbuch in diese Weitergabe einwilligen. Der Datenschutzbeauftragte folgert: «Die Nutzung von Whatsapp durch Lehrpersonen ist nicht rechtmäßig, da es solche vollständigen Einwilligungen praktisch nicht gibt.»
Social Media Plattformen wie WhatsApp, Facebook und Facebook Messenger, Instagram, Snap-Chat und ähnlich sind für Schule ein permanentes Thema. Ging es lange Zeit noch vor allem um mit der Nutzung der Plattformen verbundene Probleme wie Cybermobbing von Schülern und auch Lehrkräften oder für Lehrkräfte um die Trennung des persönlichen Lebensbereiches vom schulischen bzw. die Wahrung der Distanz zu den Schülern, so steht heute das Thema Datenschutz deutlich stärker im Vordergrund.
Online finden sich weiterhin viele Angebote, welche die Nutzung der Social Media Plattformen medienpädagogisch aufbereiten und Tipps zu einer verantwortungsvollen Nutzung geben, und dieses macht auch Sinn, da vor allem junge Menschen hier eine Menge lernen müssen. Es ist von daher wichtig, dass Schule sich im Unterricht dieses Themas annimmt. Dabei spricht auch nichts dagegen, wenn die Plattformen im Unterricht zur Verdeutlichung exemplarisch genutzt werden. Aus Sicht des Datenschutz ist so etwas wünschenswert und, wenn dabei gewisse Regeln beachtet werden, auch rechtlich vertretbar. Ganz anders sieht das jedoch aus, wenn Social Media Plattformen in Schule als offizielle Kommunikationsplattformen genutzt werden.
Spätestens in der Sekundarstufe werden in jeder Schulklasse nahezu alle Schülerinnen und Schüler zumindest eine Social Media Plattform für sich nutzen. Ein großer Teil der Mitglieder einer Schulklasse werden über eine der aktuellen Plattformen untereinander vernetzt sein. Es spricht also nichts dagegen, diese Plattform zu nutzen, um sich mit den verschiedenen Themen, welche sich rund um die Nutzung von Social Media Plattformen auftun, auseinanderzusetzen. Dabei kann man dann auch die in der Klasse überwiegend genutzte Plattform aktiv im Unterricht einsetzen, um Dinge praktisch zu zeigen und auszuprobieren. Beachten sollte man dabei mehrere Dinge.
Die Freiwilligkeit ohne den sozialen Druck der Gruppe oder der Lehrkraft muss für jedes Klassenmitglied gewahrt bleiben bei der exemplarischen Nutzung von Social Media als Unterrichtsthema. Das heißt – niemand sollte gedrängt werden, …
sich ebenfalls an der Plattform anzumelden, falls man dort noch kein Konto hat,
sich einer Gruppe innerhalb der Plattform anzuschließen, falls beispielsweise eine solche im Rahmen der Thematisierung im Unterricht erstellt wird,
den eigenen Benutzernamen in einer Plattform der ganzen Lerngruppe zu offenbaren, wenn er dort bisher aus persönlichen Gründen des Benutzers nicht bekannt war,
Einblicke in die private Nutzung der Plattform zu geben oder private Informationen, die in der Plattform gespeichert sind, zu offenbaren,
andere Kontakte eines Nutzers offenzulegen oder Einblicke in persönliche Informationen dieser Kontakte zu geben.
Wenn eine Person in der Klasse bereit ist, etwas von der Plattform vorzuführen, dann sollte dieses so geschehen, dass die Person dabei immer die Kontrolle behält über das, was sie zeigen möchte und was nicht.
Die Altersvorgaben der Plattform sollten eingehalten werden.1Mehr dazu weiter unten.
Für Lehrkräfte empfiehlt es sich, mit den privaten Social Media Accounts außen vor zu bleiben bei dieser Art von Unterrichtsprojekten.
Wichtig ist, diese Regeln sollten besprochen und akzeptiert werden, bevor man die Plattformen im Unterricht einsetzt.
Zur Thematisierung von Social Media im Unterricht empfehlen sich bewährte Marterialien wie z.B. Klicksafe und Handysektor, die sich auch mit dem Datenschutzaspekt auseinandersetzen.
Social Media als schulische Plattform
Während eine exemplarische Nutzung von Social Media Plattformen in der Schule recht unproblematisch möglich ist, solange sie lediglich Unterrichtsgegenstand sind, und dabei die Privatsphäre und das Recht auf informationelle Selbstbestimmung gewahrt bleiben, ist eine offizielle Nutzung als Plattform für den Unterricht völlig anders zu bewerten. Dabei macht es keinen Unterschied, ob die jeweilige Plattform direkt innerhalb des Unterrichts zur Kommunikation und zum Austausch von Materialien genutzt wird oder begleitend zum Unterricht, etwa zur Erinnerung an Hausaufgaben oder um Stundenplanänderungen mitzuteilen. Gleiches gilt auch, wenn es um die Kommunikation mit Eltern geht.
Die Nutzung von Social Media in der Schule ist in den verschiedenen Bundesländern recht unterschiedlich geregelt. Während einige Schulministerien eine Nutzung untersagen2z.B. Berlin “der Einsatz von sozialen Medien zur dienstlichen Kommunikation von Lehrern mit Eltern oder Schülern ist unzulässig”, ist bei anderen nichts geregelt.
Das sagt das MSB NRW
Während es bis Anfang 2019 noch eine Aussage auf die Frage gab, wie Lehrkräfte auf den Wunsch von Eltern zur Kommunikation über Social Media reagieren sollen, was in der Praxis tatsächlich immer wieder vorkommt,3Was tun, wenn Schülerinnen und Schüler oder Erziehungsberechtigte Lehrerinnen und Lehrer in Sozialen Medien hinzufügen wollen?
Rein rechtlich dürfen Lehrerinnen und Lehrer mit Schülerinnen und Schülern oder Erziehungsberechtigten über Social Media Kanäle in Kontakt treten. Lehrerinnen und Lehrer nehmen in solchen Situationen aber nie als Privatperson Teil und sollten sich ihrer Rolle klar und bewusst sein. Auf keinen Fall dürfen personenbezogene Daten (Noten, Namen etc.) über Social Media Accounts verschickt werden.
FAQ – Social Media, Medienberatung NRW (die Informationen wurden auf Seiten der Medienberatung im Mai 2019 offline genommen). wird das Thema jetzt in den FAQs Datenschutz deutlich ausführlicher erläutert, allerdings unter einer ganz anderen Fragestellung. Eine Antwort auf letztere wird dann erst im letzten Drittel gegeben und ist im Zitat ausgespart:
Darf ich auf privaten Endgeräten Programme wie Whatsapp, iMessage oder Telegram benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?
Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften ausdrücklich die Verwendung von modernen Kommunikationsmedien wie WhatsApp verbietet, natürlich immer vorausgesetzt, dass keine Daten mit Personenbezug verarbeitet werden.
Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen.
Nach diesen Vorgaben muss bei der dienstliche Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern sensible personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und keine sensiblen personenbezogenen Daten übermittelt werden, liegt dies im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.4Die gestrichenen Textteile und die Ergänzungen in grüner Farbe spiegeln die Veränderung der FAQ vom Stand 02/2019 bis zum Stand 11/2019 wider.
Messengerdienste und private Endgeräte
Private Endgeräte bzw. die darauf installierten Apps sind so zu konfigurieren, dass …
Es gibt (in NRW) keine Rechtsgrundlage, welche Schulen und Lehrkräften untersagt, Social Media wie WhatsApp als Kommunikationskanal zu nutzen.
Messenger wie WhatsApp erfüllen die datenschutzrechtlichen Voraussetzungen für eine Übermittlung von personenbezogenen von Schülern nicht.
Kommunikation mit Eltern und Schülern
Kommunizieren Lehrkräfte mit Eltern und Schülern über WhatsApp, liegt dieses im persönlichen Ermessen der Beteiligten, auch wenn dabei personenbezogene Daten der Schüler übermittelt werden.
Die Kommunikation von Lehrkräften mit Eltern und Schülern fällt nicht in den Verantwortungsbereich der Schulleitung.
Es wird eine schriftliche Einverständnis der Betroffenen bzw. Eltern empfohlen.
Kommunikation Lehrkräfte
Die Übermittlung von sensiblen personenbezogenen Daten fällt unter dienstliche Kommunikation. Dafür ist WhatsApp nicht geeignet.
Diese Aussagen des Schulministeriums NRW geben Lehrkräften zwar einige Freiheiten, klammert aber eine ganze Reihe von Fragen aus. Nach dieser Aussage wäre es also durchaus möglich, dass Lehrkräfte die Einladung ihrer Schülerinnen und Schüler annehmen, einer WhatsApp Klassengruppe beizutreten. Genauso könnten Lehrkräfte auf den Wunsch von Eltern eingehen, mit diesen über WhatsApp zu kommunizieren. Die einzigen Vorgaben dabei sind, es dürfen keine personenbezogenen Daten übermittelt werden, zumindest nicht von Seiten der Lehrkräfte. Eine Nachricht wie im folgenden Bild wäre damit definitiv ausgeschlossen.
Die Aussage des Schulministeriums NRW schließt nicht aus, dass auch Lehrkräfte den Kontakt initiieren könnten. Demnach sollte es also statthaft sein, wenn eine Lehrkraft in der Klasse vorschlägt, beispielsweise WhatsApp als Klassengruppe einzuführen, um Hausaufgaben mitzuteilen, Terminänderungen, Erinnerungen und Ankündigungen von Klassenarbeiten bekanntzugeben. Solange die Lehrkraft sich darauf beschränkt, wären die Vorgaben, welche in der Antwort der FAQ ausgeführt werden, erfüllt. Und damit is alles gut? So einfach ist es leider nicht.
Sozialer Druck und Freiwilligkeit
In einer regulären Schulklasse wird es fast immer einzelne Personen geben, welche die von der Klasse favorisierte Social Media Plattform nicht nutzen oder ihre Kontaktinformationen nicht in der Klasse teilen. Die Nutzung einer Social Media Plattform ist immer mit einer Verarbeitung von personenbezogenen Daten der Betroffenen verbunden. Aus welchen Gründen die einzelnen Personen diese Plattform nicht nutzen oder ihre Kontaktdaten nicht teilen, ist letztlich unerheblich. Eine Nutzung setzt immer eine Einwilligung der Betroffenen voraus und diese muss freiwillig erfolgen. In dem Moment, wo zwei von 29 Kindern die Plattform nicht nutzen oder ihren Kontakt nicht teilen, entsteht ein sozialer Druck. Von Freiwilligkeit kann dann sicher nicht mehr gesprochen werden.5 “Hierbei ist zu beachten, dass eine datenschutzrechtlich wirksame Einwilligung u.a. voraussetzt, dass sie „freiwillig“ erfolgt. Wenn das Kind faktisch WhatsApp nutzen muss, um Unterrichtsinhalte zuverlässig mitgeteilt zu bekommen, bestehen erhebliche Zweifel an der „Freiwilligkeit“ der Einwilligung.” Merkblatt für die Nutzung von „WhatsApp“ in Schulen.pdf (PDF nicht länger online) Landesbeauftragte für den Datenschutz Niedersachsen (11/2018)Keiner möchte Außenseiter sein. Das Problem lässt sich auch nicht wirklich beseitigen, indem man alle Informationen, welche man beispielsweise über WhatsApp verbreitet, zusätzlich in Papierform weitergibt. Es müsste dann eine Möglichkeit geben, gleichwertig auf anderem Wege zu informieren, etwa über einen schulischen E-Mail Account. Gleichwertig hieße dann eben auch zur gleichen Zeit, etwa am Nachmittag, nach der Schule. Gleiches würde auch für eine Klassenelterngruppe in einem sozialen Netzwerk gelten.
Datenschutzrechtlich bedenklich
Unabhängig von der bisherigen Betrachtung gibt es ein grundsätzliches Problem, wenn es um die Nutzung von Social Media Plattformen wie WhatsApp, Facebook, Instagram und ähnlich geht. Nach Einschätzung der Aufsichtsbehörden verstoßen diese Plattformen in ihrer Funktionalität gegen die Datenschutz Grundverordnung (DS-GVO).
Einer der Hauptkritikpunkte der Aufsichtsbehörden ist dabei der Zugriff auf die im Mobilgerät gespeicherten Kontakte. Die genannten Social Media Plattformen übermitteln die Kontakte des Nutzers für einen Abgleich an den Anbieter. Das mag zwar praktisch sein, weil so alle Kontakte, die ebenfalls in der genutzten Social Media Plattform angemeldet sind, dort sofort die Freundesliste bevölkern, verstößt aber gegen die Vorgaben der DS-GVO, da die Kontakte im eigenen Adressbuch, und das meint vor allem diejenigen, die nicht Mitglied in der Social Media Plattform sind, ohne deren Einwilligung an den Anbieter übermittelt werden.6“Zum Beispiel WhatsApp. Der Messenger-Dienst, der bekanntlich zu Facebook gehört, verstößt aus meiner Sicht an mehreren Stellen ganz klar gegen europäisches Recht. Und damit meine ich nicht nur, dass WhatsApp-Daten ungefragt und in großem Umfang von Facebook verwendet werden.
Klar gegen Europarecht verstößt der Umstand, dass alle, die den Dienst nutzen wollen, ihre kompletten Kontakte an WhatsApp übertragen müssen – obwohl diese Daten für die eigentliche Funktionalität von WhatsApp überhaupt nicht erforderlich sind. Und das Problem dabei ist: In die Übertragung kann ich gar nicht in vollem Umfang wirksam einwilligen, da es sich ja sich auch um Daten Dritter handelt.”
Chats in WhatApp sind zwar Ende zu Ende verschlüsselt, so dass auch der Anbieter die Inhalte nicht einsehen kann. Doch auch wenn die Chatinhalte samt übermittelten Anhängen wie Fotos und Sprachnachrichten so vertraulich bleiben, erhält der Anbieter sämtliche Metadaten zu den Chats. Dazu gehört, wer mit wem, wann, von wo nach wo mit welchem Gerät, Betriebssytem usw. kommuniziert. Und alle diese Daten, die mit dem Benutzer und seiner Telefonnummer verknüpft sind, landen beim Anbieter, bei WhatsApp in den USA, wo sie weiter ausgewertet werden, etwa um Profile der Nutzer zu erstellen. Im Fall von WhatsApp und Instagram fließen diese Daten an den Mutterkonzern Facebook, wo sie mit weiteren Informationen aus Nutzerprofilen oder Schattenprofilen kombiniert werden.
Social Media Plattformen und Alter
Aus verschiedenen Gründen haben viele Anbieter von Social Media Plattformen mittlerweile das Mindestalter für die Nutzung ihrer Plattformen auf 16 Jahre gesetzt. Jüngere Nutzer hindert das allerdings nicht daran, sich mit falschen Altersangaben trotzdem anzumelden und die Anbieter haben auch keine Möglichkeit der Alterskontrolle. Eine Schule sollte sich hier immer ihrer Verantwortung bewusst sein und solch eine Plattform, auch wenn die oben beschriebenen Empfehlungen eingehalten werden, nicht mit Schülern unter 16 Jahren nutzen. Nach den Vorgaben der DS-GVO können Jugendliche vor Vollendung des 16. Lebensjahres keine wirksame Einwilligung in die Nutzung von Social Media Plattformen wie WhatsApp, Instagram oder Facebook geben, da sie zu den sogenannten Diensten der Informationsgesellschaft zählen7Siehe hierzu den Beitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern. Eine Nutzung ist damit nur mit Einwilligung der Erziehungsberechtigten bzw. deren Zustimmung zur Einwilligung möglich. Ob diese bei allen Schülern in der Klasse, welche die Plattform nutzen, bei der Anmeldung an derselben vorlag, darf bezweifelt werden.8Eine Überprüfung durch die Anbieter der hier genannten Plattformen findet aktuell nicht statt. Will man in der Schule sichergehen, dass Schüler vor Vollendung des 16. Lebensjahres ein schon bestehendes Konto auf einer Social Media Plattform tatsächlich mit Zustimmung der Eltern eingerichtet haben, sollte sich vor einer schulischen Nutzung eine schriftliche Zusicherung der Eltern diesbezüglich einholen.
Schutz- und Obhutsbeziehung
Datenschutz ist vor allem beim Facebook und damit auch bei den zum Konzern gehörenden Plattformen WhatsApp und Instagram ein enormes Problem. Daran hat bisher auch die DS-GVO nicht wirklich etwas ändern können. Immer wieder hat es in der Vergangenheit Datenschutzvorfälle gegeben und trotz aller Entschuldigungen und Beteuerungen durch Marc Zuckerberg, den Gründer von Facebook, hat sich nicht wirklich etwas geändert. Der Netzwerkeffekt der Facebook Plattformen ist noch immer so enorm, dass man dort wohl der Meinung ist, sie alles erlauben zu können, sei es dass man Dritten Zugriff auf die Daten von Millionen von Nutzern gibt oder gar Jugendliche dafür bezahlt, dass sie dem Konzern unbeschränkten Zugriff auf ihre Smartphones geben9“Facebook bezahlte Jugendliche für Zugriff auf Handydaten – Bis zu 20 Dollar monatlich für alle Daten: Mit einer App hat Facebook Daten zum Online-Verhalten seiner Nutzer gesammelt, darunter auch die von Minderjährigen.” Zeit Online, 30.01.2019. Andere kostenlose Social Media Plattformen, deren Nutzung mit personenbezogenen Daten und dem Ansehen von Werbung bezahlt wird, zeichnen sich vielleicht nicht durch die gleiche Skrupellosigkeit aus, doch auch dort geht es primär darum, an den Nutzern Geld zu verdienen.
“Die Nutzung sog. Instant-Messaging-Dienste wie etwa Whatsapp, Snapchat und des Facebook-Messengers unterliegt strengeren Voraussetzungen – gerade in den Fällen, in denen zwischen Staat und Nutzern eine besondere Schutz- und Obhutsbeziehung besteht, wie etwa im Bereich von Kindergärten oder Schulen.”
Schule hat durch ihre Schutz- und Obhutsbeziehung zu den Schülern ihnen gegenüber eine besondere Verantwort. Darunter fällt auch eine verantwortungsvolle Nutzung bzw. ein Verzicht auf die Nutzung von datenschutzrechtlich bedenktlichen Social Media Plattformen in der Schule, sobald sie über eine exemplarische Nutzung, wie oben beschrieben, hinausgeht.
Problem Nutzungsbedingungen
Wenig bekannt ist, dass WhatsApp laut seinen Geschäftsbedingungen nur eine private Nutzung zulässt, außer man verfügt über ein Business Konto.10In den Nutzungsbedingungen heißt es “Legal And Acceptable Use. You must access and use our Services only for legal, authorized, and acceptable purposes. You will not use (or assist others in using) our Services in ways that: (a) … (f) involve any non-personal use of our Services unless otherwise authorized by us” – “Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: (a) … (f) eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.” WhatsApp Legal Info (03/2019) Von daher wäre eine Nutzung durch eine Schule als offizieller Kommunikationskanal mit der Nutzervereinbarung überhaupt nicht vereinbar. Verbreitet eine Schule über WhatsApp Informationen an Eltern, kann dieses nie privaten Charakter haben. Inwieweit man eine Nutzung in einer Klassengruppe als privat deklarieren kann, ist schwierig zu beurteilen. WhatsApp Kann eine Nutzung nicht anhand der Inhalte der Kommunikation kontrollieren, da diese verschlüsselt stattfindet und wird auch keine Überprüfung über die Verbindungs-Meta-Daten vornehmen. Für den Fall, dass es zu datenschutzrechtlichen Problemen in der Schule durch eine nicht private Nutzung von WhatsApp kommt, ist der Anbieter durch diese Klausel aber rechtlich abgesichert.
Social Media Nutzung im Kollegium
Den Nutzen von Messengern haben mittlerweile auch viele Lehrerkollegien erkannt. Vor allem WhatsApp scheint zur Kommunikation unter Lehrkräften weit verbreitet.
Informeller Austausch
Solange es sich dabei um einen informellen Austausch von Informationen handelt, spricht rechtlich nichts gegen eine Nutzung von WhatsApp. Unter Erwachsenen finden sich jedoch häufiger als bei Jugendlichen Personen, welche eine Nutzung von Social Media Plattformen aus persönlichen Gründen ablehnen oder die Nutzung auf eine ausgewählte Gruppe wie Freundeskreis und Familie beschränken. Schon aus diesem Grund kann selbst eine informelle Nutzung innerhalb eines Kollegiums problematisch sein, wenn dieses der einzige Kanal ist, der für den Austausch von Informationen genutzt wird, da hier ein Zwang durch die Gruppe ausgeübt wird.
Offizieller Informationskanal
Solange es sich bei den ausgetauschten Informationen um solche handelt, welche keine personenbezogenen Daten beinhalten oder sensible interne Informationen und die Plattform in ihren Nutzungsbedingungen eine nicht-private Nutzung zulässt, spricht auch hier prinzipiell nichts gegen eine Nutzung von Social Media Plattformen. Allerdings ist die Problematik auch hier die gleiche wie bei einer informellen Nutzung. Nicht jeder im Kollegium wird Mitglied sein oder seinen Kontakt im Kollegium offenbaren wollen.
Problem der undisziplinierten Nutzer
Selbst wenn tatsächlich jedes Mitglied im Kollegium Nutzer von beispielsweise WhatsApp wäre und auch bereit, dieses für die Kommunikation im Kollegium zu nutzen, so gibt es ein großes, kaum lösbares Problem. Das ist die Disziplin der Nutzer, sich an Regeln zu halten. Die Nutzung eines Messengers wie WhatsApp ist einfach und unkompliziert. Manches ist schneller geschrieben und verschickt als der Verstand Einhalt gebietet. Und so landen permanent personenbezogene Informationen in diesen Kanälen, die dort nichts zu suchen haben. Es wird mal eben der Klassenlehrerin mitgeteilt, dass der Schüler XY früher aus dem Unterricht gegangen ist, Mitteilungen zum Sozialverhalten für das Zeugnis werden, weil die Zeit knapp ist, übermittelt, Notenlisten für den Elternsprechtag, oder Fotos mit Schülerinnen und Schülern von einem gelungenen Unterrichtsprojekt werden zur Freude aller in der Gruppe verteilt. Das geht gar nicht, lässt sich jedoch nicht verhindern.
Social Media nicht gleich Social Media
WhatsApp, Instagram, Facebook, Snapchat und ähnliche kostenfreie Social Media Plattformen, die sich über die personenbezogenen Daten ihrer Nutzer, und im Fall von Facebook auch die Nicht-Nutzer, und Werbung finanzieren, sind nicht die einzigen verfügbaren Plattformen. Am Markt gibt es eine Reihe anderer Plattformen, einige davon sogar kostenfrei nutzbar, welche aus datenschutzrechtlicher Sicht für einen Einsatz in der Schule durchaus in Frage kommen könnten. Wenn es um das reine Messaging geht, sind aktuell vor allem drei Plattformen aus datenschutzrechtlicher Sicht interessant: Threema (kostenflichtig), Wire (kostenflichtig) und Signal (kostenlos). Darüber hinaus gibt es Anbieter, die Plattformen für Schulen entwickelt haben, die mehr als eine Messaging Funktion bieten. Eine Übersicht mit Berücksichtigung formaler datenschutzrechtlicher Kriterien findet sich unter “Schulische Plattformen (Kommunikation)“. Für welche Plattform eine Schule sich entscheidet, hängt sehr vom geplanten Nutzungsszenario ab.
Empfehlung
Aus Sicht des Datenschutzes kann man Schulen von der Nutzung der großen Social Media Plattformen, allen voran WhatsApp, Instagram, Facebook und Snapchat nur abraten, da diese kostenlosen Plattformen eben doch ihren Preis einfordern, indem sie die personenbezogenen Daten ihrer Nutzer verwerten, Profile bilden und entsprechende Werbung zeigen11WhatsApp zeigt im Februar 2019 noch keine Werbung an, plant dieses jedoch für die Zukunft Zumindest in Teilbereichen bewegen sie sich damit datenschutzrechtlich aus Sicht vieler Fachleute in der Illegalität.
Sollen die Plattformen im Unterricht thematisiert werden, um sich mit Nettiquette, Cyberbullying, Fakenews und den Geschäftsmodellen der Anbieter auseinanderzusetzen, spricht nichts gegen eine exemplarische Nutzung, wenn dabei auf Altersvorgaben, das Recht auf informationelle Selbstbestimmung und Privatsphäre sowie Freiwilligkeit geachtet werden.
Eine Nutzung als informeller Kanal in einer Klasse ist definitiv nicht zu empfehlen, gegenwärtig aber nicht ausgeschlossen und muss, wenn überhaupt, auf Freiwilligkeit basieren, darf niemanden benachteiligen und sollte keine personenbezogenen Daten verwenden.
Für Lehrkräfte in NRW ist es gegenwärtig auch zulässig, über eine Social Media Plattform wie WhatsApp mit Eltern zu kommunizieren, wenn diese das wünschen. Lehrkräfte sollten sich dabei jedoch auf Informationen beschränken, welche keine personenbezogenen Daten beinhalten. Sollte es eine Klassenelterngruppe geben, kann eine Lehrkraft über diese Gruppe allgemeine Informationen weitergeben. Sobald jedoch nicht alle Eltern Mitglied dieser Gruppe sind, muss die Lehrkraft sicherstellen, dass alle Informationen auch auf anderem Wege für die Eltern, welche sich nicht in der Elterngruppe befinden, verfügbar sind. Lehrkräfte sollten den Kontakt zu Eltern oder eine Elternklassengruppe über die genannten Social Media Plattformen niemals von sich aus initiieren.
Auch wenn es definitiv nicht zu empfehlen ist, so ist WhatsApp für die Kommunikation unter Lehrkräften nicht verboten, solange der Informationsaustausch im informellen Bereich bleibt und keine personenbezogenen Daten aus der Schule dort übermittelt werden. Da es scheinbar in fast jedem Kollegium Lehrkräfte gibt, welche mangels Disziplin doch immer wieder personenbezogene Daten darüber weitergeben, empfiehlt es sich, hier besser eine professionelle Lösung zu nutzen, welche dieses erlaubt. Mit einer Plattform wie Threema kann die Schule einen Vertrag zur Auftragsverarbeitung abschließen und Lizenzen in Anzahl der Lehrkräfte erwerben. Auf dieser Basis können dann sämtliche personenbezogenen Daten zwischen Lehrkräften und auch zu Schulleitung übermittelt werden, welche Anlage 3 der VO-DV I zur Verarbeitung auf privaten Endgeräten von Lehrkräften bei Genehmigung durch die Schulleitung zulässt. Werden mehr Funktionen benötigt, wählt man einen anderen Anbieter. Mittlerweile gibt es hier ein gutes Angebot im deutschsprachigen Raum.12Siehe Padlet Plattformen zur schulischen Kommunikation
Viele Schulen möchten gerne Social Media Kanäle zur Außendarstellung nutzen in Ergänzung zu ihrer Schulhomepage. Geht das und wenn ja, was ist zu beachten?
Grundsätzlich sollte man bei der Beschäftigung mit diesem datenschutzrechtlichen Thema zwei Dinge nie außer Acht lassen. Aussagen, die heute gelten, können morgen bereits nicht mehr zutreffen und …
Facebook kennt nur Benutzer und Besucher, keine Schüler
Im Gegensatz zu den speziell für den Bildungsbereich ausgelegten Angeboten von Microsoft, Google und Apple kennt Facebook eine derartige Unterscheidung nicht. Auf den Plattformen von Facebook wird jeder Besucher gleich behandelt. Jeder Besucher bzw. Benutzer wird mit allen Möglichkeiten, welche die Plattform bietet, datentechnisch erfasst und ausgewertet. Alle von Besuchern erhobenen Daten, die sämtlich personenbeziehbar sind, werden monetarisiert. Entsprechend werden Profile erstellt und wird der Stream, den die einzelne Person zu sehen bekommt, mit Werbeeinblendungen und Beiträgen gesteuert. Außerdem werden die Daten Dritten gegen Geld zur Verfügung gestellt. Dieses gilt tatsächlich für jedermann, auch für Menschen, die nicht bei Facebook oder einer seiner Plattformen als Benutzer angemeldet sind. Für diese Menschen werden sogenannte Schattenprofile erstellt. Durch Kombination mit personenbezogenen Daten aus anderen Quellen lassen sich auch die Schattenprofile sehr oft tatsächlichen Personen zuordnen.
Eine Plattform, viele Probleme
Aus datenschutzrechtlicher Sicht sind Probleme, welche sich für eine Schule mit der Nutzung von Facebook und Instagram zur Außendarstellung ergeben können, vielschichtig. Zwei Problemfelder stehen dabei im Vordergrund:
die Verantwortung als Betreiber einer Facebook Seite/ einer Instagram Präsenz gegenüber Besuchern bezüglich der Verarbeitung ihrer personenbezogenen Daten und
die Verantwortung der Schule bezüglich der Veröffentlichung von personenbezogenen Daten von Personen aus der Schule.
Beide Problemfelder sind quasi untrennbar miteinander verbunden. Trotzdem sollen sie hier zunächst getrennt voneinander betrachtet werden.
Schule als Verantwortlicher gegenüber Personen aus der Schule bei Veröffentlichungen auf Facebook und Instagram
In Bezug auf die Veröffentlichung von personenbezogenen Daten von Personen aus der Schule stellt eine Präsenz bei Facebook oder Instagram rechtlich gesehen zunächst nichts anderes dar als eine Schulhomepage.
NUR MIT EINWILLIGUNG
Da Veröffentlichungen von personenbezogenen Daten von Schülern und Lehrkräften durch die Schule in Online- oder Offlinemedien nicht durch das Schulgesetz NRW und die anhängigen Verordnungen zur Datenverarbeitung (VO-DV I & II) legitimiert werden, ist eine Verarbeitung in diesem Sinne nur mit einer rechtswirksamen Einwilligung der Betroffenen zulässig.1Siehe SchulG NRW §120 Abs. 2 Satz 2 und Abs. 5 Satz 3 Dabei ist es unerheblich, ob die Veröffentlichung in der Lokalpresse erfolgt oder auf einer Internetpräsenz, welche die Schule selbst betreibt, oder ob es sich bei den personenbezogenen Daten, welche veröffentlicht werden sollen, um Namen und Ergebnisse bei einem Sportwettbewerb handelt oder um Fotografien.
Informierte Einwilligung
Eine rechtswirksame Einwilligung setzt voraus, dass die Betroffenen nicht nur über die Zwecke der Verarbeitung informiert werden, eventuelle Löschfristen, geplante Übermittlungen, die Freiwilligkeit und über ihre Rechte als Betroffene, sondern auch bezüglich möglicher Risiken, welche sich durch die Verarbeitung ihrer personenbezogenen Daten für ihr Recht auf informationelle Selbstbestimmung ergeben können. An der Stelle wird es gerade bei Facebook kritisch, da die Risiken nur schwer kalkulierbar sind.
Facebook nutzt in seinen Plattformen Gesichtserkennungsalgorithmen, so dass auch Abbildungen von Personen auch ohne Angaben von Namen echten Personen zugeordnet werden können. 2Wie gering die Auflösung eines Fotos sein muss, dass dieses nicht mehr möglich ist, kann nur schwierig abgeschätzt werden. KI und steigende Rechnenleistung senkt auch hier die Schwelle immer mehr. Auch aus Profilen können heute bereits Personen erkannt werden.
Profilbildung ist eines der Geschäftsmodelle von Facebook. Wer irgendwie mit Facebook in Berührung kommt, von dem erstellt der Anbieter ein Profil, basierend auf gesammelten Informationen und Schlussfolgerungen. Profile sind in der Regel nicht neutral, sondern bewerten nach vordefinierten Kategorien.
Facebook handelt mit personenbezogenen Daten zur gezielten Schaltung von Werbung und zur Auswertung durch Dritte. Werbung kann so im Auftrag von Dritten passgenau auf Menschen zugeschnitten werden, welche die Plattform besuchen.3Im Prinzip geht es um nichts anderes als Manipulation. Facebook kennt Vorlieben und Abneigungen, religiöse Überzeugungen, politische Anschauungen und kann sogar aktuelle Stimmungen aus dem Verhalten ableiten. All dieses lässt sich zur gezielten Beeinflussung von Verhalten nutzen. Ein Beispiel wie Cambridge Analytica zeigt, in welche Richtung derartige Beeinflussung, hier im Zusammenhang mit Wahlen, gehen kann.
Durch den Verkauf von personenbezogenen Daten von Nutzern, wie auch den Zukauf von Daten aus anderen Plattformen oder den Erwerb kompletter Plattformen samt der Daten der Nutzer dieser Plattformen, werden die umfangreich bei Facebook und Instagram erhobenen Daten mit weiteren Daten zur Profilbildung kombiniert. Eine Transparenz bezüglich dieser Vorgänge fehlt.
Vorkommnisse, bei denen Facebook das Recht der Betroffenen auf informationelle Selbstbestimmung missachtete, sind leider keine Einzelfälle.
Auch Datenschutzvorfälle, bei denen Dritte Zugriff auf große Mengen von personenbezogenen Daten von Nutzern erhielten, sind mehrfach dokumentiert.
Da Facebook von Zeit zu Zeit die Nutzungsbedingungen ändert, besteht auch keine Verlässlichkeit, dass eingestellte personenbezogene Daten entsprechend der von Nutzern getroffenen Sicherheitseinstellungen in ihrer Sichtbarkeit dauerhaft privat oder auf einen Freundeskreis beschränkt bleiben.
Über alle diese Risiken müsste eine Schule Schüler und Lehrkräfte vor einer Einwilligung in eine Veröffentlichung von personenbezogenen Daten auf Facebook oder Instagram nach Art. 13 DS-GVO informieren, damit die Einwilligung rechtswirksam ist.
Schule als Verantwortlicher gegenüber Besuchern einer Präsenz auf Facebook und Instagram
Wie auch bei der Schulhomepage hat Schule eine datenschutzrechtliche Verantwortung gegenüber den Besuchern einer Präsenz bei Facebook und Instagram. Öffnet ein Besucher die Facebook Seite oder Instagram Präsenz im Browser oder über ein App, so werden automatisch personenbezogene Daten durch die Plattformen erhoben. Dabei ist es vollkommen unerheblich, ob der Besucher ein registrierter Benutzer der Plattform ist oder nicht. Bei registrierten Benutzern werden die im Zusammenhang mit dem Besuch der schulischen Präsenz in Facebook oder Instagram erhobenen personenbezogenen Daten zum bestehenden Profil hinzugefügt. Auch die Daten von nicht registrierten Benutzern werden erhoben und verarbeitet. Bei vielen Menschen, die oft im Internet unterwegs sind und kein eigenes Facebook oder Instagram Profil besitzen, existiert bereits ein sogenanntes Schattenprofil4Siehe dazu Ob Nutzer oder nicht: Facebook legt Schattenprofile über alle an auf Netzpolitik.de . Mit diesem Schattenprofil verdient Facebook genauso Geld, wie oben bei der Auflistung der möglichen Risiken beschrieben. Damit eine Schule ihrer datenschutzrechtlichen Verantwortung nachkommen kann, müssen auch Besucher der Präsenz auf Facebook und Instagram in einer Datenschutzerklärung über mögliche Risiken aufgeklärt werden.
Gemeinsame Verantwortlichkeit
Auftragsverarbeitung
Bei der eigenen Schulhomepage ist die Schule als Betreiberin dieser Website für die Verarbeitung der personenbezogenen Daten auf dieser Seite verantwortliche Stelle. Dabei ist es unerheblich, ob es sich um personenbezogene Daten handelt, welche die Schule selbst dort verarbeitet, etwa indem sie Informationen veröffentlicht oder Nutzungsstatistiken auswertet, oder ob es sich um personenbezogene Daten von Besuchern handelt, die bei einem Besuch durch die technische Bereitstellung des Angebotes automatisiert erhoben und verarbeitet werden, wie beispielsweise die IP Adresse der Endgeräte, Cookies, und Kommentare. Entsprechend wird mit dem Anbieter des Webspace ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen. Damit ist geregelt, dass der Hoster, welcher die Infrastruktur und grundlegende Software zum Betrieb einer Website bereitstellt, sämtliche Verarbeitung von personenbezogenen Daten nur entsprechend dieses Vertrages und auf Weisung des Verantwortlichen vornimmt. Da Facebook, wie oben beschrieben, personenbezogene Daten, egal welcher Herkunft, zu eigenen Zwecken erhebt und verarbeitet, besteht keine Grundlage für einen Vertrag zur Auftragsverarbeitung.
Gemeinsame Verantwortlichkeit
Die Schule ist damit jedoch nicht aus der Verantwortung entlassen. Vielmehr entschied der Europäische Gerichtshof im Juni 2018, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich sind.5EuGH Urteil (C-20/16) Um eine gemeinsame Verantwortlichkeit nachzuweisen, ist nach Art. 26 DS-GVO ein Vertrag zwischen beiden Seiten erforderlich, in welchem festgelegt ist, wer welche Verpflichtungen nach der DS-GVO erfüllt. Ohne diese Vereinbarung ist nach einem Beschluss der Datenschutz Konferenz6Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 der Betrieb einer Fanpage rechtswidrig. Facebook reagierte recht schnell auf diese Vorgabe und stellt seit dem 11. September als Seiten-Insights-Ergänzung7Seiten Insights meint ein Tool, welches Facebook Betreibern von Fanpages zur Verfügung stellt, um deren Nutzung durch Besucher – gestützt auf die von Facebook erhobenen personenbezogenen Daten – auswerten zu können. das sogenannte Page Controller Addendum zur Verfügung. Anstelle des Vertrags zur Auftragsbearbeitung tritt hier also im Rahmen der gemeinsamen Verantwortung das Page Controller Addendum. In diesem übernimmt Facebook beispielsweise die Verantwortung, wenn es um das Recht der Betroffenen auf Einsicht und Löschung geht. Das macht Sinn, da der Betreiber einer Fanpage selbst, wie vom EUGH bemängelt, hier keine technischen Möglichkeiten zur Umsetzung dieser Betroffenenrechte hat. Als Verantwortlicher ist die Schule dadurch in der Pflicht. Sie muss die Rechtmäßigkeit der gemeinsam mit Facebook zu verantwortenden Datenverarbeitung gewährleisten und entsprechend Art. 5 Abs. 2 DS-GVO nachweisen. Dieses kann erfolgen, indem für Besucher der Fanpage bzw. der Instagram Präsenz Angaben zur datenschutzrechtlichen Verantwortung gemacht werden und von dort aus auf die Datenschutzerklärung auf der Schulhomepage verlinkt wird. In der Datenschutzerklärung der Schulhomepage werden dann entsprechende Angaben zur gemeinsamen Verantwortung bezüglich Facebook und Instagram gemacht und auf das Page Controller Addendum verlinkt. Wie dieses funktioniert, erklärt der Jurist Dr. Schwenke unter Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“
Im November 2019 hat Facebook das Page Controller Addendum überarbeitet und übernimmt damit mehr Verantwortung für die bei Insights stattfindende Verarbeitung von personenbezogenen Daten. Deutlicher als bisher wird dabei herausgestellt, dass es bei Facebook Insights um eine gemeinsame Verantwortlichkeit geht 8“Du und Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Facebook Ireland“, „wir“ oder „uns“; zusammen die „Parteien“) erkennen an und stimmen zu, gemeinsam Verantwortliche gemäß Artikel 26 DSGVO für die Verarbeitung dieser personenbezogenen Daten in Events für Seiten-Insights („Insights-Daten“) zu sein.” . An der grundlegenden datenschutzrechtlichen Problematik einer Nutzung von Facebook durch Schulen dürfte dieses jedoch wenig ändern.
Page Controller Addendum – und alles gut?
Wie Dr. Schwenke schon im September 2018 selbst klar stellt, bleiben immer noch offene Fragen und kleine Unsicherheiten. Seine Ausführungen beziehen sich primär auf Unternehmen. Kann man das auf Schulen übertragen? Könnte man ein berechtigtes Interesse an Außendarstellung und Nutzung von Kanälen geltend machen, welche Schüler und Eltern nutzen? Das ist schwer zu sagen, zumal eine Anwendung von DS-GVO Art. 6 lit. f in Schule in dem Bereich ihrer eigentlichen Aufgaben rechtlich nicht möglich ist.9Siehe hierzu Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?
„Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Um Facebook oder auch Instagram auf der Grundlage von berechtigten Interessen nutzen zu können als Schule, müsste man argumentieren können, dass die Außendarstellung nicht Teil der Verarbeitungen ist, welche eine Schule in Erfüllung ihrer Aufgaben vornimmt. Das berechtigte Interesse könnte dann aber auch nur die mit den Besuchern der Präsenzen verbundene Verarbeitung von personenbezogenen Daten rechtlich abdecken, nicht die Veröffentlichungen, welche die Schule selbst dort vornimmt.
Der Berliner Fragenkatalog
Rein formal erfüllt Facebook mit dem Page Controller Addendum vermutlich die Forderungen des Europäischen Gerichtshofes. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellt jedoch in Frage, ob damit auch dem Beschluss der DSK Genüge getan ist. In einem Schreiben an Unternehmen heißt es deshalb im November 2018: “Die DSK machte deutlich, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen (Art. 5 Abs. 2 DS-GVO) können müssen.“10Siehe dazu den Brief als PDF: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/informationen/2018-BlnBDI-Fragenkatalog_Fanpages.pdf. Die DSK (Datenschutz Konferenz) ist ein Gremium der Aufsichtsbehörden aller Bundesländer, in welchem zu datenschutzrechtlichen Fragen gemeinsame Positionen erarbeitet werden.
Auch öffentliche Stellen müssen “die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und […] nachweisen” können. Damit sind auch Schulen als öffentliche Stellen in der Pflicht. Ein dafür erstellter Fragenkatalog zielt genau auf dieses Nachweisbarkeit der Rechtmäßigkeit der gemeinsam mit Facebook verantworteten Datenverarbeitung ab. Mit etwas Aufwand wird eine Schule viele Fragen beantworten können bzw. geleitet von den Fragen, entsprechende Anpassungen in der Datenschutzerklärung vornehmen können. Schwierig zu beantworten sein wird beispielsweise Frage 10 – “Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?“, da aus Sicht der Schule für den Großteil der durch Facebook verarbeiteten personenbezogenen Daten kein erforderlicher Verarbeitungszweck vorliegt. Entsprechend wird eine Schule auch die in ähnliche Richtung zielende Frage Nr. 14 nicht beantworten können.
Was bedeutet dieses nun für Schulen?
Wie aus den Ausführungen hoffentlich deutlich geworden ist, bewegt sich eine Schule, die eine Facebook Fanpage betreibt oder eine Instagram Präsenz, um sich öffentlich dort zu präsentieren, auf einem datenschutzrechtlichen Minenfeld.
Rein formal genügt das Page Controller Addendum, welches auch für Instagram gilt, vermutlich den Vorgaben, welche der Europäische Gerichtshof im Juni 2018 gesetzt hat. Facebook hat darüber hinaus schon lange das EU-US Privacy Shield gezeichnet11Auch wenn das Abkommen durch das Schrems 2 Urteil im Juli 2020 durch den EUGH für unwirksam erklärt wurde, signalisiert Facebook dadurch, dass es die Zertifizierung beibehalten hat, seine Bereitschaft, die dort beschriebenen Vorgaben einzuhalten. wie auch die EU Standard Vertragsklauseln. In der Praxis reicht der Abschluss des Page Controller Addendum zwischen einer Schule und Facebook dann jedoch alleine nicht aus, da wie der Fragenkatalog der Berliner Datenschutzbeauftragten mehr als deutlich zeigt, in der Umsetzung große Unklarheiten bestehen.
Hinzu kommt für mich noch eine ethisch-moralische Komponente, wenn man als Schule auf diese Plattformen setzt. Eine Schule macht sich, wenn sie eine Facebook oder Instagram Präsenz betreibt, quasi zum Handlanger des Facebook Konzerns, indem sie für Internetnutzer einen Anreiz schafft, die Angebote Facebooks für sich zu nutzen.
Da sich durch neue Klagen und Gerichtsurteile, Änderungen in den Geschäfts- und Nutzungsbedingungen sowie den Datenschutzeinstellungen bei Facebook wie auch den in Folge verabschiedeten Beschlüssen der Datenschutzkonferenz oder Aktionen einzelner Aufsichtsbehörden die Gesamtlage permanent in Bewegung befindet, muss eine Schule als verantwortliche Stelle die datenschutzrechtliche Gesamtlage fortwährend im Blick haben, um entsprechend reagieren zu können. Was heute noch geht, kann morgen zur Unmöglichkeit werden.
Wenn eine Schule trotzdem eine Präsenz auf Facebook/ Instagram betreiten möchte …
Die Verantwortung liegt für die Einhaltung datenschutzrechtlicher Vorgaben bei der Schulleitung einer jeden Schule. Sie entscheidet und trägt das Risiko. Was kann einer Schule passieren, wenn sie eine Facebook Fanpage betreibt, das Addendum angenommen hat, entsprechend der Anleitung die Datenschutzerklärung angepasst und die erforderlichen Angaben bei Facebook bzw. Instagram integriert hat?
Mit einem Bußgeld von Seiten der Aufsichtsbehörde wird eine Schule nicht rechnen müssen, wenn sie gegenüber der LDI NRW Stellung beziehen muss, warum sie diese Seite betreibt und wie sie ihre gemeinsame Verantwortung mit Facebook nachweisen kann und hierzu nicht in der Lage ist. Sie wird jedoch um eine Abschaltung der Präsenz nicht umhinkommen.
Rechtliche Folgen könnten jedoch drohen, wenn Betroffene von ihren Rechten entsprechend der DS-GVO Gebrauch machen und die Schule diesen nicht nachkommen kann, weder durch eigenes Handeln noch durch “Zusammenarbeit” mit Facebook, wie im Addendum vereinbart.
Was unbedingt bei der Nutzung von Facebook und Instagram als Social Media Plattform, die eine Schule repräsentieren soll, zu beachten ist
* In beiden Plattformen sollten sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchern durch die Plattformen auf das absolute Minimum zu beschränken.
* Auf die Einbindung von Facebook Like Buttons oder entsprechende Buttons für Sharing/Teilen nach Instagram oder Facebook in die Schulhomepage sollte verzichtet werden, (außer man ist in der Lage, die Einbindung technisch so zu gestalten, dass Benutzer die Buttons erst aktivieren müssen, bevor sie sie zum Teilen oder Liken nutzen können).
* Alle Veröffentlichungen durch die Schule sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich alle Inhalte, welche auf Facebook und Instagram gepostet werden, alternativ auch auf der Schulhomepage wieder, so dass kein Benutzer gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.
Zum Thema gemeinsame Verantwortlichkeit und den Änderungen ab 11/2019 beschreibt der Beitrag Facebook Fanpages: Änderungen bei Facebook Insights auf ISiCO, was diese Änderungen bedeuten und welche Pflichten sich für Betreiber von Fanpages ergeben.
Bitte beachten Sie auch die aktuellen Entwicklungen zum Thema. Mit dem angekündigten Rückzug der Aufsichtsbehörde Baden Württemberg für Ende Januar 2020 ergeben sich neue Aspekte, die zu berücksichtigen sind, wenn eine Schule einen Social Media Auftritt pflegen möchte – siehe dazu Schule Social Media Auftritt – Stand Januar 2020.
Die Nutzung von Social Media in der Schule ist in den verschiedenen Bundesländern recht unterschiedlich geregelt. Während einige Schulministerien eine Nutzung untersagen
Sehr nützlich sind die