Nutzung von Social Media – Hintergrundrecherche

Lesezeit: 6 Minuten

Das sagt NRW

Darf ich auf privaten Endgeräten Programme wie ‚Whatsapp‘, IMessage‘ oder ‚Telegram‘ benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?

Die privaten Endgeräte bzw. die darauf installierten Apps sind so zu konfigurieren, dass keine Daten mit Personenbezug aus der Schule an Dritte weitergegeben werden. Im Zweifelsfall ist von der Installation der App oder der Nutzung des privaten Endgerätes für dienstliche Zwecke abzusehen.

FAQ – MSB NRW – Genehmigung zur Nutzung privater ADV-Anlagen (12/2018)


… Schülerinnen und Schüler oder Erziehungsberechtigte Lehrerinnen und Lehrer in Sozialen Medien hinzufügen wollen?

Rein rechtlich dürfen Lehrerinnen und Lehrer mit Schülerinnen und Schülern oder Erziehungsberechtigten über Social Media Kanäle in Kontakt treten. Lehrerinnen und Lehrer nehmen in solchen Situationen aber nie als Privatperson Teil und sollten sich ihrer Rolle klar und bewusst sein. Auf keinen Fall dürfen personenbezogene Daten (Noten, Namen etc.) über Social Media Accounts verschickt werden.

FAQ – Social Media, Medienberatung NRW1Die FAQ Social Media wurden auf Seiten der Medienberatung NRW im Mai 2019 offline genommen.


Bei Social Media gelten Lehrkräfte in der Kommunikation mit Schülern und Eltern nicht als Privatperson – bei E-Mail handeln sie hingegen privat, wenn sie über eine persönliche Adresse mit Schülern und Eltern kommunizieren! Das scheint in sich widersprüchlich!

Welche Inhalte dürfen mit Eltern über E-Mail ausgetauscht werden?      

Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogenen Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.   

Soweit Lehrkräfte über private E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Die Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.     

FAQ – MSB NRW – Genehmigung zur Nutzung privater ADV-Anlagen (12/2018)


Das sagen andere

Haben Sie hier jemanden speziell im Blick [wenn es darum geht, zu beurteilen, ob die DSGVO auch bei Datenschutzverstößen greift, die von großen internationalen Konzernen in voller Absicht begangen werden]?

“Zum Beispiel WhatsApp. Der Messenger-Dienst, der bekanntlich zu Facebook gehört, verstößt aus meiner Sicht an mehreren Stellen ganz klar gegen europäisches Recht. Und damit meine ich nicht nur, dass WhatsApp-Daten ungefragt und in großem Umfang von Facebook verwendet werden.

Klar gegen Europarecht verstößt der Umstand, dass alle, die den Dienst nutzen wollen, ihre kompletten Kontakte an WhatsApp übertragen müssen – obwohl diese Daten für die eigentliche Funktionalität von WhatsApp überhaupt nicht erforderlich sind. Und das Problem dabei ist: In die Übertragung kann ich gar nicht in vollem Umfang wirksam einwilligen, da es sich ja sich auch um Daten Dritter handelt.”

Ulrich Kelber, neuer BDIF, WhatsApp han­delt klar euro­pa­rechts­widrig (12/2018)


“Aus diesem Grund würde ich übrigens auch nie Nachrichten-Apps wie WhatsApp benutzen, wo man für die volle Funktionalität seinen gesamten Kontaktordner anbieten muss.”

Ulrich Kelber, neuer BDIF, Bundesdatenschutzbeauftragter: „Würde nie WhatsApp benutzen“ (01/2019)


“Da hilft Erwägungsgrund 18 der #DSGVO, wonach die Nutzung von #Socialmedia zu privaten Zwecken der Haushaltsausnahme unterfällt.”

@lfdi_bw https://twitter.com/lfdi_bw/status/1084456087003283458 (01/2019)


Darf ich mit meiner Klasse mittels Facebook, WhatsApp oder iMessage schulisch kommunizieren?

Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.

Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.

http://lernenonline.bildung-rp.de Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.

Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, SIMSme, Chiffry, Wire oder Threema).

Hierbei ist stets das Distanzgebot zu beachten.”

Fragen und Antworten für Lehrkräfte, datenschutz.rlp.de, (11/2018)


Abschließend muss ich Ihnen mitteilen, dass uns von Seiten der Landesschulbehörde die Nutzung der Messenger Dienstes WhatsApp in schulischen Zusammenhängen strengstens untersagt wurde.

Auch andere Messenger Dienste genügen nicht den neuen Datenschutzbestimmungen. Wenn Sie zukünftig Kontakt mit Lehrkräften aufnehmen möchten, schreiben Sie bitte eine E-Mail oder nutzen Sie das Telefon.

Auskunft einer Schule in Niedersachsen an ein Elternteil, Twitter, (10/2018)


Soziale Netzwerke: Ist Facebook in der Schule erlaubt?

Facebook sollte aus Datenschutzgründen grundsätzlich nicht genutzt werden.

Digitalcourage, FAQ für Schulen


Dürfen wir als Lehrer den Messenger WhatsApp für den Unterricht nutzen?

Datenschutzrechtlich ist jedoch von der Nutzung für schulische Zwecke abzuraten.

Dies aus mehreren Gründen:

  • Mit der Anmeldung stellen Sie dem Anbieter alle in Ihrem Mobiltelefon gespeicherten Kontakte zur Verfügung, auch die Ihrer Schüler. Weiter werden Kommunikationsinhalte vom Anbieter gespeichert. Dafür benötigen Sie eine wirksame Einwilligung. Diese setzt datenschutzrechtlich voraus, dass sie „freiwillig“ erfolgt. Wenn Ihre Schüler bzw. die Eltern einwilligen müssen, um Unterrichtsinhalte über WhatsApp zuverlässig mitgeteilt zu bekommen, ist dies nicht freiwillig.
  • Die Daten werden in einem Land außerhalb des europäischen Wirtschaftsraums gespeichert. Da der Anbieter von „WhatsApp“ sich nicht dem Datenschutzabkommen zwischen Europa und den USA unterworfen hat, ist die Übermittlung nach den Vorgaben der DSGVO unzulässig.
  • Sie werden als Lehrer für WhatsApp Ihr privates Smartphone nutzen. Die Speicherung von personenbezogenen Daten Ihrer Schüler auf privaten Geräten ist in den meisten Bundesländern durch Erlasse geregelt. Die private Telefonnummer zu speichern ist zumeist nicht erlaubt.

Allerdings müssen Ihre Schüler auch hier in die Nutzung freiwillig einwilligen. Somit kann ein Messenger nur als Alternative und nicht als Ersatz zur schulischen Kommunikation genutzt werden.

SCHOOLBOOK, Lehrermagazin, Rechtsanwalt Christian Schuler (Jan 2018)


Einsatz von WhatsApp und Facebook an Berliner Schulen ist rechtswidrig

Auszug aus dem »Leitfaden zum Umsetzen der Datenschutzgrundverordnung an Berliner Schulen«:

So gilt beispielsweise für die Nutzung von Facebook und WhatsApp: Hier werden Daten an Anbieter in einem Drittland übertragen, eine Überprüfung oder Bewertung der dortigen Bestimmungen ist der Schule nicht möglich. Auch werden durch die Nutzung von WhatsApp fortlaufend Klardaten von allen im eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das Unternehmen übertragen. Die Berliner Beauftragte bewertet den Einsatz von Social Media wie WhatsApp zur dienstlichen Kommunikation von Lehrkräften mit Schülerinnen und Schülern und Eltern als rechtswidrig (Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2016).

In anderen Bundesländern sieht es übrigens ähnlich aus.

Kukez Blog, (01/2019)


  1. Um Messenger geht’s hier nicht. Der Fokus dieser Richtlinie liegt also auf Sozialen Netzwerken, die sich als Plattformen an die Öffentlichkeit richten. Die Nutzung sog. Instant-Messaging-Dienste wie etwa Whatsapp, Snapchat und des Facebook-Messengers unterliegt strengeren Voraussetzungen – gerade in den Fällen, in denen zwischen Staat und Nutzern eine besondere Schutz- und Obhutsbeziehung besteht, wie etwa im Bereich von Kindergärten oder Schulen – und ist daher nicht Gegenstand dieser Richtlinie.

Neue Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen (11/2017)


Ein Lehrer darf keine gemeinsame „WhatsApp“-Gruppe für Eltern der Kinder aus der Schulklasse einrichten, denn der Einsatz von sozialen Medien zur dienstlichen Kommunikation von Lehrern mit Eltern oder Schülern ist unzulässig (Klassenlehrer eröffnet „WhatsApp“-Gruppe für Eltern, S. 94).

Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2016


Aus datenschutzrechtlicher Sicht wird der Einsatz von „WhatsApp“ für schulische Zwecke, also zur dienstlichen Kommunikation zwischen Lehrpersonal und Schülerinnen und Schülern, allerdings als nicht zulässig angesehen.

[…]

Kinder – das sind aus datenschutzrechtlicher Sicht Personen, die das 16. Lebensjahr noch nicht vollendet haben – können nicht allein wirksam in die Datenschutzbestimmungen eines Messengers einwilligen. Hierzu ist auch die Einwilligung der Eltern erforderlich. Hierbei ist zu beachten, dass eine datenschutzrechtlich wirksame Einwilligung u.a. voraussetzt, dass sie „freiwillig“ erfolgt. Wenn das Kind faktisch WhatsApp nutzen muss, um Unterrichtsinhalte zuverlässig mitgeteilt zu bekommen, bestehen erhebliche Zweifel an der „Freiwilligkeit“ der Einwilligung.

Merkblatt für die Nutzung von „WhatsApp“ in Schulen.pdf Landesbeauftragte für den Datenschutz Niedersachsen (11/2018)


Persönliche Daten als Bezahlung für Apps

Das gilt insbesondere für Schulen. Baeriswyl wiederholte an einer Medienkonferenz zum Tätigkeitsbericht 2017 eine Kritik, die er bereits vor zwei Monaten gegenüber der NZZ geäußert hatte: In Klassenzimmern hätten Tools wie Whatsapp, Dropbox und Co. nichts verloren. Denn die Nutzung solcher Programme müsse man teuer bezahlen – und zwar mit einem massiven Kontrollverlust, was die eigenen Daten anbelange. «Die Crux liegt dabei meist im Geschäftsmodell», erklärt Baeriswyl. Denn: Nichts sei gratis. Wer einen vermeintlich kostenlosen Dienst verwende, bezahle mit seinen Daten.

Warum der Zürcher Datenschützer den Einsatz von Whatsapp und Co. in Schulen kritisiert (07/2018)


“Mit Blick auf die besondere Schutzbedürftigkeit der Schülerinnen und Schüler ist von einer unterrichtlichen Nutzung Sozialer Netzwerke abzusehen”

Hinweise zum Umgang mit Sozialen Medien/Netzwerken … für die schulische Praxis, Bayerisches Staatsministerium für Unterricht und Kultus, (04/2013)


Totales WhatsApp Verbot an Winterthurer Schulen

Seit Mai des letzten Jahres dürfen Lehrerinnen und Lehrer mit ihren Klassen nicht mehr über Whatsapp kommunizieren. Dies, weil das Mindestalter der App auf 16 Jahre erhöht wurde.

Nun hat die Zentralschulpflege (ZSP) das Whatsapp-Verbot ausgeweitet. Die App ist in der Schule überhaupt nicht mehr erlaubt, weder im Kontakt der Lehrpersonen untereinander noch in der Kommunikation mit den Eltern.

Die ZSP stützte sich bei ihrem Beschluss laut ihrem Präsidenten Jürg Altwegg (Grüne) auf den Datenschutzbeauftragten des Kantons Zürich. Dieser hält fest, bei einer Whatsapp-Nutzung würden fortlaufend Kontaktdaten des Mobiltelefon-Adressbuchs an Whatsapp und Facebook übertragen. Die Daten werden in die USA weitergeleitet und dort gespeichert.

Dabei werden auch Kontaktdaten von Personen weitergeleitet, die Whatsapp nicht nutzen und die nicht in die Bekanntgabe ihrer Daten eingewilligt haben. Wollte man einen rechtmäßigen Umgang mit den Daten der Betroffenen garantieren, müssten alle Personen im Adressbuch in diese Weitergabe einwilligen. Der Datenschutzbeauftragte folgert: «Die Nutzung von Whatsapp durch Lehrpersonen ist nicht rechtmäßig, da es solche vollständigen Einwilligungen praktisch nicht gibt.»

Totales WhatsApp Verbot an Winterthurer Schulen (01/2019)

Sonstige Aussagen

Schulische Nutzung von Social Media

Lesezeit: 11 Minuten

Social Media Plattformen wie WhatsApp, Facebook und Facebook Messenger, Instagram, Snap-Chat und ähnlich sind für Schule ein permanentes Thema. Ging es lange Zeit noch vor allem um mit der Nutzung der Plattformen verbundene Probleme wie Cybermobbing von Schülern und auch Lehrkräften oder für Lehrkräfte um die Trennung des persönlichen Lebensbereiches vom schulischen bzw. die Wahrung der Distanz zu den Schülern, so steht heute das Thema Datenschutz deutlich stärker im Vordergrund.

Online finden sich weiterhin viele Angebote, welche die Nutzung der Social Media Plattformen medienpädagogisch aufbereiten und Tipps zu einer verantwortungsvollen Nutzung geben, und dieses macht auch Sinn, da vor allem junge Menschen hier eine Menge lernen müssen. Es ist von daher wichtig, dass Schule sich im Unterricht dieses Themas annimmt. Dabei spricht auch nichts dagegen, wenn die Plattformen im Unterricht zur Verdeutlichung exemplarisch genutzt werden. Aus Sicht des Datenschutz ist so etwas wünschenswert und, wenn dabei gewisse Regeln beachtet werden, auch rechtlich vertretbar. Ganz anders sieht das jedoch aus, wenn Social Media Plattformen in Schule als offizielle Kommunikationsplattformen genutzt werden.

Social Media App Icons iOS auf einem Bildschirm abfotografiert
Bild: Pixabay, LoboStudioHamburg

Social Media als Unterrichtsgegenstand

Spätestens in der Sekundarstufe werden in jeder Schulklasse nahezu alle Schülerinnen und Schüler zumindest eine Social Media Plattform für sich nutzen. Ein großer Teil der Mitglieder einer Schulklasse werden über eine der aktuellen Plattformen untereinander vernetzt sein. Es spricht also nichts dagegen, diese Plattform zu nutzen, um sich mit den verschiedenen Themen, welche sich rund um die Nutzung von Social Media Plattformen auftun, auseinanderzusetzen. Dabei kann man dann auch die in der Klasse überwiegend genutzte Plattform aktiv im Unterricht einsetzen, um Dinge praktisch zu zeigen und auszuprobieren. Beachten sollte man dabei mehrere Dinge.

  • Die Freiwilligkeit ohne den sozialen Druck der Gruppe oder der Lehrkraft muss für jedes Klassenmitglied gewahrt bleiben bei der exemplarischen Nutzung von Social Media als Unterrichtsthema. Das heißt – niemand sollte gedrängt werden, …
    • sich ebenfalls an der Plattform anzumelden, falls man dort noch kein Konto hat,
    • sich einer Gruppe innerhalb der Plattform anzuschließen, falls beispielsweise eine solche im Rahmen der Thematisierung im Unterricht erstellt wird,
    • den eigenen Benutzernamen in einer Plattform der ganzen Lerngruppe zu offenbaren, wenn er dort bisher aus persönlichen Gründen des Benutzers nicht bekannt war,
    • Einblicke in die private Nutzung der Plattform zu geben oder private Informationen, die in der Plattform gespeichert sind, zu offenbaren,
    • andere Kontakte eines Nutzers offenzulegen oder Einblicke in persönliche Informationen dieser Kontakte zu geben.
  • Wenn eine Person in der Klasse bereit ist, etwas von der Plattform vorzuführen, dann sollte dieses so geschehen, dass die Person dabei immer die Kontrolle behält über das, was sie zeigen möchte und was nicht.
  • Die Altersvorgaben der Plattform sollten eingehalten werden.2Mehr dazu weiter unten.

Für Lehrkräfte empfiehlt es sich, mit den privaten Social Media Accounts außen vor zu bleiben bei dieser Art von Unterrichtsprojekten.

Wichtig ist, diese Regeln sollten besprochen und akzeptiert werden, bevor man die Plattformen im Unterricht einsetzt.

Zur Thematisierung von Social Media im Unterricht empfehlen sich bewährte Marterialien wie z.B. Klicksafe und Handysektor, die sich auch mit dem Datenschutzaspekt auseinandersetzen.

Social Media als schulische Plattform

Während eine exemplarische Nutzung von Social Media Plattformen in der Schule recht unproblematisch möglich ist, solange sie lediglich Unterrichtsgegenstand sind, und dabei die Privatsphäre und das Recht auf informationelle Selbstbestimmung gewahrt bleiben, ist eine offizielle Nutzung als Plattform für den Unterricht völlig anders zu bewerten. Dabei macht es keinen Unterschied, ob die jeweilige Plattform direkt innerhalb des Unterrichts zur Kommunikation und zum Austausch von Materialien genutzt wird oder begleitend zum Unterricht, etwa zur Erinnerung an Hausaufgaben oder um Stundenplanänderungen mitzuteilen. Gleiches gilt auch, wenn es um die Kommunikation mit Eltern geht.

Die Nutzung von Social Media in der Schule ist in den verschiedenen Bundesländern recht unterschiedlich geregelt. Während einige Schulministerien eine Nutzung untersagen3z.B. Berlinder Einsatz von sozialen Medien zur dienstlichen Kommunikation von Lehrern mit Eltern oder Schülern ist unzulässig“, ist bei anderen nichts geregelt.

Das sagt das MSB NRW

Während es bis Anfang 2019 noch eine Aussage auf die Frage gab, wie Lehrkräfte auf den Wunsch von Eltern zur Kommunikation über Social Media reagieren sollen, was in der Praxis tatsächlich immer wieder vorkommt,4Was tun, wenn Schülerinnen und Schüler oder Erziehungsberechtigte Lehrerinnen und Lehrer in Sozialen Medien hinzufügen wollen?

Rein rechtlich dürfen Lehrerinnen und Lehrer mit Schülerinnen und Schülern oder Erziehungsberechtigten über Social Media Kanäle in Kontakt treten. Lehrerinnen und Lehrer nehmen in solchen Situationen aber nie als Privatperson Teil und sollten sich ihrer Rolle klar und bewusst sein. Auf keinen Fall dürfen personenbezogene Daten (Noten, Namen etc.) über Social Media Accounts verschickt werden.

FAQ – Social Media, Medienberatung NRW (die Informationen wurden auf Seiten der Medienberatung im Mai 2019 offline genommen).
wird das Thema jetzt in den FAQs Datenschutz deutlich ausführlicher erläutert, allerdings unter einer ganz anderen Fragestellung. Eine Antwort auf letztere wird dann erst im letzten Drittel gegeben und ist im Zitat ausgespart:

Darf ich auf privaten Endgeräten Programme wie Whatsapp oder iMessage benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?

Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften ausdrücklich die Verwendung von modernen Kommunikationsmedien wie WhatsApp verbietet, natürlich immer vorausgesetzt, dass keine Daten mit Personenbezug verarbeitet werden.

Die Zulässigkeit der Datenverarbeitung und -speicherung ist umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen.

Nach diesen Vorgaben muss bei der dienstliche Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern sensible personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und keine sensiblen personenbezogenen Daten übermittelt werden, liegt dies im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.

Messengerdienste und private Endgeräte
Private Endgeräte bzw. die darauf installierten Apps sind so zu konfigurieren, dass …

FAQs Datenschutz/ Fragen zu Anwendungen, Apps und Programmen/ Medienberatung NRW (02/2019)

In der Antwort stecken mehrere Aussagen:

  • Allgemein
    • Es gibt (in NRW)  keine Rechtsgrundlage, welche Schulen und Lehrkräften untersagt, Social Media wie WhatsApp als Kommunikationskanal zu nutzen.
    • Die Übermittlung von sensiblen personenbezogenen Daten ist davon jedoch ausgenommen.
  • Kommunikation mit Eltern und Schülern
    • Kommunizieren Lehrkräfte mit Eltern und Schülern über WhatsApp, liegt dieses im persönlichen Ermessen der Beteiligten. Die Übermittlung von sensiblen personenbezogenen Daten durch Lehrkräfte ist davon ausgenommen.
    • Werden die genannten Bedingungen bei der Kommunikation von Lehrkräften mit Eltern und Schülern eingehalten, fällt diese nicht in den Verantwortungsbereich der Schulleitung.
    • Es wird eine schriftliche Einverständnis der Betroffenen bzw. Eltern empfohlen.
  • Kommunikation Lehrkräfte
    • Die Übermittlung von sensiblen personenbezogenen Daten fällt unter dienstliche Kommunikation. Dafür ist WhatsApp nicht geeignet.

Diese Aussagen des Schulministeriums NRW geben Lehrkräften zwar einige Freiheiten, klammert aber eine ganze Reihe von Fragen aus. Nach dieser Aussage wäre es also durchaus möglich, dass Lehrkräfte die Einladung ihrer Schülerinnen und Schüler annehmen, einer WhatsApp Klassengruppe beizutreten. Genauso könnten Lehrkräfte auf den Wunsch von Eltern eingehen, mit diesen über WhatsApp zu kommunizieren. Die einzigen Vorgaben dabei sind, es dürfen keine personenbezogenen Daten übermittelt werden, zumindest nicht von Seiten der Lehrkräfte. Eine Nachricht wie im folgenden Bild wäre damit definitiv ausgeschlossen.

Die Aussage des Schulministeriums NRW schließt nicht aus, dass auch Lehrkräfte den Kontakt initiieren könnten. Demnach sollte es also statthaft sein, wenn eine Lehrkraft in der Klasse vorschlägt, beispielsweise WhatsApp als Klassengruppe einzuführen, um Hausaufgaben mitzuteilen, Terminänderungen, Erinnerungen und Ankündigungen von Klassenarbeiten bekanntzugeben. Solange die Lehrkraft sich darauf beschränkt, wären die Vorgaben, welche in der Antwort der FAQ ausgeführt werden, erfüllt. Und damit is alles gut? So einfach ist es leider nicht.

Sozialer Druck und Freiwilligkeit

In einer regulären Schulklasse wird es fast immer einzelne Personen geben, welche die von der Klasse favorisierte Social Media Plattform nicht nutzen oder ihre Kontaktinformationen nicht in der Klasse teilen. Die Nutzung einer Social Media Plattform ist immer mit einer Verarbeitung von personenbezogenen Daten der Betroffenen verbunden. Aus welchen Gründen die einzelnen Personen diese Plattform nicht nutzen oder ihre Kontaktdaten nicht teilen, ist letztlich unerheblich. Eine Nutzung setzt immer eine Einwilligung der Betroffenen voraus und diese muss freiwillig erfolgen. In dem Moment, wo zwei von 29 Kindern die Plattform nicht nutzen oder ihren Kontakt nicht teilen, entsteht ein sozialer Druck. Von Freiwilligkeit kann dann sicher nicht mehr gesprochen werden.5Hierbei ist zu beachten, dass eine datenschutzrechtlich wirksame Einwilligung u.a. voraussetzt, dass sie „freiwillig“ erfolgt. Wenn das Kind faktisch WhatsApp nutzen muss, um Unterrichtsinhalte zuverlässig mitgeteilt zu bekommen, bestehen erhebliche Zweifel an der „Freiwilligkeit“ der Einwilligung.“
Merkblatt für die Nutzung von „WhatsApp“ in Schulen.pdf Landesbeauftragte für den Datenschutz Niedersachsen (11/2018)  
Keiner möchte Außenseiter sein. Das Problem lässt sich auch nicht wirklich beseitigen, indem man alle Informationen, welche man beispielsweise über WhatsApp verbreitet, zusätzlich in Papierform weitergibt. Es müsste dann eine Möglichkeit geben, gleichwertig auf anderem Wege zu informieren, etwa über einen schulischen E-Mail Account. Gleichwertig hieße dann eben auch zur gleichen Zeit, etwa am Nachmittag, nach der Schule. Gleiches würde auch für eine Klassenelterngruppe in einem sozialen Netzwerk gelten.

Datenschutzrechtlich bedenklich

Unabhängig von der bisherigen Betrachtung gibt es ein grundsätzliches Problem, wenn es um die Nutzung von Social Media Plattformen wie WhatsApp, Facebook, Instagram und ähnlich geht. Nach Einschätzung der Aufsichtsbehörden verstoßen diese Plattformen in ihrer Funktionalität gegen die Datenschutz Grundverordnung (DS-GVO).

Einer der Hauptkritikpunkte der Aufsichtsbehörden ist dabei der Zugriff auf die im Mobilgerät gespeicherten Kontakte. Die genannten Social Media Plattformen übermitteln die Kontakte des Nutzers für einen Abgleich an den Anbieter. Das mag zwar praktisch sein, weil so alle Kontakte, die ebenfalls in der genutzten Social Media Plattform angemeldet sind, dort sofort die Freundesliste bevölkern, verstößt aber gegen die Vorgaben der DS-GVO, da die Kontakte im eigenen Adressbuch, und das meint vor allem diejenigen, die nicht Mitglied in der Social Media Plattform sind, ohne deren Einwilligung an den Anbieter übermittelt werden.6“Zum Beispiel WhatsApp. Der Messenger-Dienst, der bekanntlich zu Facebook gehört, verstößt aus meiner Sicht an mehreren Stellen ganz klar gegen europäisches Recht. Und damit meine ich nicht nur, dass WhatsApp-Daten ungefragt und in großem Umfang von Facebook verwendet werden.

Klar gegen Europarecht verstößt der Umstand, dass alle, die den Dienst nutzen wollen, ihre kompletten Kontakte an WhatsApp übertragen müssen – obwohl diese Daten für die eigentliche Funktionalität von WhatsApp überhaupt nicht erforderlich sind. Und das Problem dabei ist: In die Übertragung kann ich gar nicht in vollem Umfang wirksam einwilligen, da es sich ja sich auch um Daten Dritter handelt.”

Ulrich Kelber, neuer Bundesbeauftragter für Datenschutz und Informationsfreiheit, WhatsApp han­delt klar euro­pa­rechts­widrig (12/2018)

Chats in WhatApp sind zwar Ende zu Ende verschlüsselt, so dass auch der Anbieter die Inhalte nicht einsehen kann. Doch auch wenn die Chatinhalte samt übermittelten Anhängen wie Fotos und Sprachnachrichten so vertraulich bleiben, erhält der Anbieter sämtliche Metadaten zu den Chats. Dazu gehört, wer mit wem, wann, von wo nach wo mit welchem Gerät, Betriebssytem usw. kommuniziert. Und alle diese Daten, die mit dem Benutzer und seiner Telefonnummer verknüpft sind, landen beim Anbieter, bei WhatsApp in den USA, wo sie weiter ausgewertet werden, etwa um Profile der Nutzer zu erstellen. Im Fall von WhatsApp und Instagram fließen diese Daten an den Mutterkonzern Facebook, wo sie mit weiteren Informationen aus Nutzerprofilen oder Schattenprofilen kombiniert werden.

Social Media Plattformen und Alter

Aus verschiedenen Gründen haben viele Anbieter von Social Media Plattformen mittlerweile das Mindestalter für die Nutzung ihrer Plattformen auf 13 Jahre gesetzt. Jüngere Nutzer hindert das allerdings nicht daran, sich mit falschen Altersangaben trotzdem anzumelden und die Anbieter haben auch keine Möglichkeit der Alterskontrolle. Eine Schule sollte sich hier immer ihrer Verantwortung bewusst sein und solch eine Plattform, auch wenn die oben beschriebenen Empfehlungen eingehalten werden, nicht mit Schülern unter 13 Jahren nutzen. Nach den Vorgaben der DS-GVO können Jugendliche vor Vollendung des 16. Lebensjahres keine wirksame Einwilligung in die Nutzung von Social Media Plattformen wie WhatsApp, Instagram oder Facebook geben, da sie zu den sogenannten Diensten der Informationsgesellschaft zählen7Siehe hierzu den Beitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern . Eine Nutzung ist damit nur mit Einwilligung der Erziehungsberechtigten bzw. deren Zustimmung zur Einwilligung möglich. Ob diese bei allen Schülern in der Klasse, welche die Plattform nutzen, bei der Anmeldung an derselben vorlag, darf bezweifelt werden.8Eine Überprüfung durch die Anbieter der hier genannten Plattformen findet aktuell nicht statt.

Schutz- und Obhutsbeziehung

Datenschutz ist vor allem beim Facebook und damit auch bei den zum Konzern gehörenden Plattformen WhatsApp und Instagram ein enormes Problem. Daran hat bisher auch die DS-GVO nicht wirklich etwas ändern können. Immer wieder hat es in der Vergangenheit Datenschutzvorfälle gegeben und trotz aller  Entschuldigungen und Beteuerungen durch Marc Zuckerberg, den Gründer von Facebook, hat sich nicht wirklich etwas geändert. Der Netzwerkeffekt der Facebook Plattformen ist noch immer so enorm, dass man dort wohl der Meinung ist, sie alles erlauben zu können, sei es dass man Dritten Zugriff auf die Daten von Millionen von Nutzern gibt oder gar Jugendliche dafür bezahlt, dass sie dem Konzern unbeschränkten Zugriff auf ihre Smartphones geben9„Facebook bezahlte Jugendliche für Zugriff auf Handydaten – Bis zu 20 Dollar monatlich für alle Daten: Mit einer App hat Facebook Daten zum Online-Verhalten seiner Nutzer gesammelt, darunter auch die von Minderjährigen.“ Zeit Online, 30.01.2019. Andere kostenlose Social Media Plattformen, deren Nutzung mit personenbezogenen Daten und dem Ansehen von Werbung bezahlt wird, zeichnen sich vielleicht nicht durch die gleiche Skrupellosigkeit aus, doch auch dort geht es primär darum, an den Nutzern Geld zu verdienen.

„Die Nutzung sog. Instant-Messaging-Dienste wie etwa Whatsapp, Snapchat und des Facebook-Messengers unterliegt strengeren Voraussetzungen – gerade in den Fällen, in denen zwischen Staat und Nutzern eine besondere Schutz- und Obhutsbeziehung besteht, wie etwa im Bereich von Kindergärten oder Schulen.“

Quelle: Neue Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen (11/2017)

Schule hat durch ihre Schutz- und Obhutsbeziehung zu den Schülern ihnen gegenüber eine besondere Verantwort. Darunter fällt auch eine verantwortungsvolle Nutzung bzw. ein Verzicht auf die Nutzung von datenschutzrechtlich bedenktlichen Social Media Plattformen in der Schule, sobald sie über eine exemplarische Nutzung, wie oben beschrieben, hinausgeht.

Problem Nutzungsbedingungen

Wenig bekannt ist, dass WhatsApp laut seinen Geschäftsbedingungen nur eine private Nutzung zulässt, außer man verfügt über ein Business Konto.10In den Nutzungsbedingungen heißt es „Legal And Acceptable Use. You must access and use our Services only for legal, authorized, and acceptable purposes. You will not use (or assist others in using) our Services in ways that: (a) … (f) involve any non-personal use of our Services unless otherwise authorized by us“ – „Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: (a) … (f) eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.“ WhatsApp Legal Info (03/2019) Von daher wäre eine Nutzung durch eine Schule als offizieller Kommunikationskanal mit der Nutzervereinbarung überhaupt nicht vereinbar. Verbreitet eine Schule über WhatsApp Informationen an Eltern, kann dieses nie privaten Charakter haben. Inwieweit man eine Nutzung in einer Klassengruppe als privat deklarieren kann, ist schwierig zu beurteilen. WhatsApp Kann eine Nutzung nicht anhand der Inhalte der Kommunikation kontrollieren, da diese verschlüsselt stattfindet und wird auch keine Überprüfung über die Verbindungs-Meta-Daten vornehmen. Für den Fall, dass es zu datenschutzrechtlichen Problemen in der Schule durch eine nicht private Nutzung von WhatsApp kommt, ist der Anbieter durch diese Klausel aber rechtlich abgesichert.

Social Media Nutzung im Kollegium

Den Nutzen von Messengern haben mittlerweile auch viele Lehrerkollegien erkannt. Vor allem WhatsApp scheint zur Kommunikation unter Lehrkräften weit verbreitet.

Informeller Austausch

Solange es sich dabei um einen informellen Austausch von Informationen handelt, spricht rechtlich nichts gegen eine Nutzung von WhatsApp. Unter Erwachsenen finden sich jedoch häufiger als bei Jugendlichen Personen, welche eine Nutzung von Social Media Plattformen aus persönlichen Gründen ablehnen oder die Nutzung auf eine ausgewählte Gruppe wie Freundeskreis und Familie beschränken. Schon aus diesem Grund kann selbst eine informelle Nutzung innerhalb eines Kollegiums problematisch sein, wenn dieses der einzige Kanal ist, der für den Austausch von Informationen genutzt wird, da hier ein Zwang durch die Gruppe ausgeübt wird.

Offizieller Informationskanal

Solange es sich bei den ausgetauschten Informationen um solche handelt, welche keine personenbezogenen Daten beinhalten oder sensible interne Informationen und die Plattform in ihren Nutzungsbedingungen eine nicht-private Nutzung zulässt, spricht auch hier prinzipiell nichts gegen eine Nutzung von Social Media Plattformen. Allerdings ist die Problematik auch hier die gleiche wie bei einer informellen Nutzung. Nicht jeder im Kollegium wird Mitglied sein oder seinen Kontakt im Kollegium offenbaren wollen.

Problem der undisziplinierten Nutzer

Selbst wenn tatsächlich jedes Mitglied im Kollegium Nutzer von beispielsweise WhatsApp wäre und auch bereit, dieses für die Kommunikation im Kollegium zu nutzen, so gibt es ein großes, kaum lösbares Problem. Das ist die Disziplin der Nutzer, sich an Regeln zu halten. Die Nutzung eines Messengers wie WhatsApp ist einfach und unkompliziert. Manches ist schneller geschrieben und verschickt als der Verstand Einhalt gebietet. Und so landen permanent personenbezogene Informationen in diesen Kanälen, die dort nichts zu suchen haben. Es wird mal eben der Klassenlehrerin mitgeteilt, dass der Schüler XY früher aus dem Unterricht gegangen ist, Mitteilungen zum Sozialverhalten für das Zeugnis werden, weil die Zeit knapp ist, übermittelt, Notenlisten für den Elternsprechtag, oder Fotos mit Schülerinnen und Schülern von einem gelungenen Unterrichtsprojekt werden zur Freude aller in der Gruppe verteilt. Das geht gar nicht, lässt sich jedoch nicht verhindern.

Social Media nicht gleich Social Media

WhatsApp, Instagram, Facebook, Snapchat und ähnliche kostenfreie Social Media Plattformen, die sich über die personenbezogenen Daten ihrer Nutzer, und im Fall von Facebook auch die Nicht-Nutzer, und Werbung finanzieren, sind nicht die einzigen verfügbaren Plattformen. Am Markt gibt es eine Reihe anderer Plattformen, einige davon sogar kostenfrei nutzbar, welche aus datenschutzrechtlicher Sicht für einen Einsatz in der Schule durchaus in Frage kommen könnten. Wenn es um Messaging geht, sind aktuell vor allem drei Plattformen aus datenschutzrechtlicher Sicht interessant: Threema (kostenflichtig), Wire (kostenflichtig) und Signal (kostenlos). Darüber hinaus gibt es Anbieter, die Plattformen für Schulen entwickelt haben, die mehr als eine Messaging Funktion bieten. Für welche Plattform eine Schule sich entscheidet, hängt sehr vom geplanten Nutzungsszenario ab.

Empfehlung

Aus Sicht des Datenschutzes kann man Schulen von der Nutzung der großen Social Media Plattformen, allen voran WhatsApp, Instagram, Facebook und Snapchat nur abraten, da diese kostenlosen Plattformen eben doch ihren Preis einfordern, indem sie die personenbezogenen Daten ihrer Nutzer verwerten, Profile bilden und entsprechende Werbung zeigen11WhatsApp zeigt im Februar 2019 noch keine Werbung an, plant dieses jedoch für die Zukunft Zumindest in Teilbereichen bewegen sie sich damit datenschutzrechtlich aus Sicht vieler Fachleute in der Illegalität.

  • Sollen die Plattformen im Unterricht thematisiert werden, um sich mit Nettiquette, Cyberbullying, Fakenews und den Geschäftsmodellen der Anbieter auseinanderzusetzen, spricht nichts gegen eine exemplarische Nutzung, wenn dabei auf Altersvorgaben, das Recht auf informationelle Selbstbestimmung und Privatsphäre sowie Freiwilligkeit beachtet werden.
  • Eine Nutzung als informeller Kanal in einer Klasse ist definitiv nicht zu empfehlen, gegenwärtig aber nicht ausgeschlossen und muss, wenn überhaupt, auf Freiwilligkeit basieren, darf niemanden benachteiligen und keine personenbezogenen Daten verwenden.
  • Für Lehrkräfte in NRW ist es gegenwärtig auch zulässig, über eine Social Media Plattform wie WhatsApp mit Eltern zu kommunizieren, wenn diese das wünschen. Lehrkräfte müssen sich dabei jedoch auf Informationen beschränken, welche keine personenbezogenen Daten beinhalten. Sollte es eine Klassenelterngruppe geben, kann eine Lehrkraft über diese Gruppe allgmeine Informationen weitergeben. Sobald jedoch nicht alle Eltern Mitglied dieser Gruppe sind, muss die Lehrkraft sicherstellen, dass alle Informationen auch auf anderem Wege für die Eltern, welche sich nicht in der Elterngruppe befinden, verfügbar sind. Lehrkräfte sollten den Kontakt zu Eltern oder eine Elternklassengruppe über die genannten Social Media Plattformen unter niemals von sich aus initiieren.
  • Auch wenn es definitiv nicht zu empfehlen ist, so ist WhatsApp für die  Kommunikation unter Lehrkräften nicht verboten, solange der Informationsaustausch im informellen Bereich bleibt und keine personenbezogenen Daten aus der Schule dort übermittelt werden. Da es scheinbar in fast jedem Kollegium Lehrkräfte gibt, welche mangels Disziplin doch immer wieder personenbezogene Daten darüber weitergeben, empfiehlt es sich, hier besser eine professionelle Lösung zu nutzen, welche dieses erlaubt. Mit einer Plattform wie Threema kann die Schule einen Vertrag zur Auftragsverarbeitung abschließen und Lizenzen in Anzahl der Lehrkräfte erwerben. Auf dieser Basis können dann sämtliche personenbezogenen Daten zwischen Lehrkräften und auch zu Schulleitung übermittelt werden, welche Anlage 3 der VO-DV I zur Verarbeitung auf privaten Endgeräten von Lehrkräften bei Genehmigung durch die Schulleitung zulässt. Werden mehr Funktionen benötigt, wählt man einen anderen Anbieter. Mittlerweile gibt es hier ein Angebot im deutschsprachigen Raum.12Siehe Padlet Plattformen zur schulischen Kommunikation

Stand 03/2019

Siehe auch Nutzung von Social Media – Hintergrundrecherche

Facebook und Instagram zur Außendarstellung

Lesezeit: 7 Minuten

Viele Schulen möchten gerne Social Media Kanäle zur Außendarstellung nutzen in Ergänzung zu ihrer Schulhomepage. Geht das und wenn ja, was ist zu beachten?

Grundsätzlich sollte man bei der Beschäftigung mit diesem datenschutzrechtlichen Thema zwei Dinge nie außer Acht lassen. Aussagen, die heute gelten, können morgen bereits nicht mehr zutreffen und …

Facebook kennt nur Benutzer und Besucher, keine Schüler
Im Gegensatz zu den speziell für den Bildungsbereich ausgelegten Angeboten von Microsoft, Google und Apple kennt Facebook eine derartige Unterscheidung nicht. Auf den Plattformen von Facebook wird jeder Besucher gleich behandelt. Jeder Besucher bzw. Benutzer wird mit allen Möglichkeiten, welche die Plattform bietet, datentechnisch erfasst und ausgewertet. Alle von Besuchern erhobenen Daten, die sämtlich personenbeziehbar sind, werden monetarisiert. Entsprechend werden Profile erstellt und wird der Stream, den die einzelne Person zu sehen bekommt, mit Werbeeinblendungen und Beiträgen gesteuert. Außerdem werden die Daten Dritten gegen Geld zur Verfügung gestellt. Dieses gilt tatsächlich für jedermann, auch für Menschen, die nicht bei Facebook oder einer seiner Plattformen als Benutzer angemeldet sind. Für diese Menschen werden sogenannte Schattenprofile erstellt. Durch Kombination mit personenbezogenen Daten aus anderen Quellen lassen sich auch die Schattenprofile sehr oft tatsächlichen Personen zuordnen.

Eine Plattform, viele Probleme

Aus datenschutzrechtlicher Sicht sind Probleme, welche sich für eine Schule mit der Nutzung von Facebook und Instagram zur Außendarstellung ergeben können, vielschichtig. Zwei Problemfelder stehen dabei im Vordergrund:

  • die Verantwortung als Betreiber einer Facebook Seite/ einer Instagram Präsenz gegenüber Besuchern bezüglich der Verarbeitung ihrer personenbezogenen Daten und
  • die Verantwortung der Schule bezüglich der Veröffentlichung von personenbezogenen Daten von Personen aus der Schule.

Beide Problemfelder sind quasi untrennbar miteinander verbunden. Trotzdem sollen sie hier zunächst getrennt voneinander betrachtet werden.

Schule als Verantwortlicher gegenüber Personen aus der Schule bei Veröffentlichungen auf Facebook und Instagram

In Bezug auf die Veröffentlichung von personenbezogenen Daten von Personen aus der Schule stellt eine Präsenz bei Facebook oder Instagram rechtlich gesehen zunächst nichts anderes dar als eine Schulhomepage.

NUR MIT EINWILLIGUNG

Da Veröffentlichungen von personenbezogenen Daten von Schülern und Lehrkräften durch die Schule in Online- oder Offlinemedien nicht durch das Schulgesetz NRW und die anhängigen Verordnungen zur Datenverarbeitung (VO-DV I & II) legitimiert werden, ist eine Verarbeitung in diesem Sinne nur mit einer rechtswirksamen Einwilligung der Betroffenen zulässig.13Siehe SchulG NRW §120 Abs. 2 Satz 2 und Abs. 5 Satz 3 Dabei ist es unerheblich, ob die Veröffentlichung in der Lokalpresse erfolgt oder auf einer Internetpräsenz, welche die Schule selbst betreibt, oder ob es sich bei den personenbezogenen Daten, welche veröffentlicht werden sollen, um Namen und Ergebnisse bei einem Sportwettbewerb handelt oder um Fotografien.

Informierte Einwilligung

Eine rechtswirksame Einwilligung setzt voraus, dass die Betroffenen nicht nur über die Zwecke der Verarbeitung informiert werden, eventuelle Löschfristen, geplante Übermittlungen, die Freiwilligkeit und über ihre Rechte als Betroffene, sondern auch bezüglich möglicher Risiken, welche sich durch die Verarbeitung ihrer personenbezogenen Daten für ihr Recht auf informationelle Selbstbestimmung ergeben können. An der Stelle wird es gerade bei Facebook kritisch, da die Risiken nur schwer kalkulierbar sind.

  • Facebook nutzt in seinen Plattformen Gesichtserkennungsalgorithmen, so dass auch Abbildungen von Personen auch ohne Angaben von Namen echten Personen zugeordnet werden können. 14Wie gering die Auflösung eines Fotos sein muss, dass dieses nicht mehr möglich ist, kann nur schwierig abgeschätzt werden. KI und steigende Rechnenleistung senkt auch hier die Schwelle immer mehr. Auch aus Profilen können heute bereits Personen erkannt werden.
  • Profilbildung ist eines der Geschäftsmodelle von Facebook. Wer irgendwie mit Facebook in Berührung kommt, von dem erstellt der Anbieter ein Profil, basierend auf gesammelten Informationen und Schlussfolgerungen. Profile sind in der Regel nicht neutral, sondern bewerten nach vordefinierten Kategorien.
  • Facebook handelt mit personenbezogenen Daten zur gezielten Schaltung von Werbung und zur Auswertung durch Dritte. Werbung kann so im Auftrag von Dritten passgenau auf Menschen zugeschnitten werden, welche die Plattform besuchen.15Im Prinzip geht es um nichts anderes als Manipulation. Facebook kennt Vorlieben und Abneigungen, religiöse Überzeugungen, politische Anschauungen und kann sogar aktuelle Stimmungen aus dem Verhalten ableiten. All dieses lässt sich zur gezielten Beeinflussung von Verhalten nutzen. Ein Beispiel wie Cambridge Analytica zeigt, in welche Richtung derartige Beeinflussung, hier im Zusammenhang mit Wahlen, gehen kann.
  • Durch den Verkauf von personenbezogenen Daten von Nutzern, wie auch den Zukauf von Daten aus anderen Plattformen oder den Erwerb kompletter Plattformen samt der Daten der Nutzer dieser Plattformen, werden die umfangreich bei Facebook und Instagram erhobenen Daten mit weiteren Daten zur Profilbildung kombiniert. Eine Transparenz bezüglich dieser Vorgänge fehlt.
  • Vorkommnisse, bei denen Facebook das Recht der Betroffenen auf informationelle Selbstbestimmung missachtete, sind leider keine Einzelfälle.
  • Auch Datenschutzvorfälle, bei denen Dritte Zugriff auf große Mengen von personenbezogenen Daten von Nutzern erhielten, sind mehrfach dokumentiert.
  • Da Facebook von Zeit zu Zeit die Nutzungsbedingungen ändert, besteht auch keine Verlässlichkeit, dass eingestellte personenbezogene Daten entsprechend der von Nutzern getroffenen Sicherheitseinstellungen in ihrer Sichtbarkeit dauerhaft privat oder auf einen Freundeskreis beschränkt bleiben.

Über alle diese Risiken müsste eine Schule Schüler und Lehrkräfte vor einer Einwilligung in eine Veröffentlichung von personenbezogenen Daten auf Facebook oder Instagram nach Art. 13 DS-GVO informieren, damit die Einwilligung rechtswirksam ist.

Schule als Verantwortlicher gegenüber Besuchern einer Präsenz auf Facebook und Instagram

Wie auch bei der Schulhomepage hat Schule eine datenschutzrechtliche Verantwortung gegenüber den Besuchern einer Präsenz bei Facebook und Instagram. Öffnet ein Besucher die Facebook Seite oder Instagram Präsenz im Browser oder über ein App, so werden automatisch personenbezogene Daten durch die Plattformen erhoben. Dabei ist es vollkommen unerheblich, ob der Besucher ein registrierter Benutzer der Plattform ist oder nicht. Bei registrierten Benutzern werden die im Zusammenhang mit dem Besuch der schulischen Präsenz in Facebook oder Instagram erhobenen personenbezogenen Daten zum bestehenden Profil hinzugefügt. Auch die Daten von nicht registrierten Benutzern werden erhoben und verarbeitet. Bei vielen Menschen, die oft im Internet unterwegs sind und kein eigenes Facebook oder Instagram Profil besitzen, existiert bereits ein sogenanntes Schattenprofil16Siehe dazu Ob Nutzer oder nicht: Facebook legt Schattenprofile über alle an auf Netzpolitik.de . Mit diesem Schattenprofil verdient Facebook genauso Geld, wie oben bei der Auflistung der möglichen Risiken beschrieben. Damit eine Schule ihrer datenschutzrechtlichen Verantwortung nachkommen kann, müssen auch Besucher der Präsenz auf Facebook und Instagram in einer Datenschutzerklärung über mögliche Risiken aufgeklärt werden.

Gemeinsame Verantwortlichkeit

Auftragsverarbeitung

Bei der eigenen Schulhomepage ist die Schule als Betreiberin dieser Website für die Verarbeitung der personenbezogenen Daten auf dieser Seite verantwortliche Stelle. Dabei ist es unerheblich, ob es sich um personenbezogene Daten handelt, welche die Schule selbst dort verarbeitet, etwa indem sie Informationen veröffentlicht oder Nutzungsstatistiken auswertet, oder ob es sich um personenbezogene Daten von Besuchern handelt, die bei einem Besuch durch die technische Bereitstellung des Angebotes automatisiert erhoben und verarbeitet werden, wie beispielsweise die IP Adresse der Endgeräte, Cookies, und Kommentare. Entsprechend wird mit dem Anbieter des Webspace ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen. Damit ist geregelt, dass der Hoster, welcher die Infrastruktur und grundlegende Software zum Betrieb einer Website bereitstellt, sämtliche Verarbeitung von personenbezogenen Daten nur entsprechend dieses Vertrages und auf Weisung des Verantwortlichen vornimmt. Da Facebook, wie oben beschrieben, personenbezogene Daten, egal welcher Herkunft, zu eigenen Zwecken erhebt und verarbeitet, besteht keine Grundlage für einen Vertrag zur Auftragsverarbeitung.

Gemeinsame Verantwortlichkeit

Die Schule ist damit jedoch nicht aus der Verantwortung entlassen. Vielmehr entschied der Europäische Gerichtshof im Juni 2018, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich sind.17EuGH Urteil (C-20/16) Um eine gemeinsame Verantwortlichkeit nachzuweisen, ist nach Art. 26 DS-GVO ein Vertrag zwischen beiden Seiten erforderlich, in welchem festgelegt ist, wer welche Verpflichtungen nach der DS-GVO erfüllt. Ohne diese Vereinbarung ist nach einem Beschluss der Datenschutz Konferenz18Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 der Betrieb einer Fanpage rechtswidrig. Facebook reagierte recht schnell auf diese Vorgabe und stellt seit dem 11. September als Seiten-Insights-Ergänzung19Seiten Insights meint ein Tool, welches Facebook Betreibern von Fanpages zur Verfügung stellt, um deren Nutzung durch Besucher – gestützt auf die von Facebook erhobenen personenbezogenen Daten – auswerten zu können. das sogenannte Page Controller Addendum zur Verfügung. Anstelle des Vertrags zur Auftragsbearbeitung tritt hier also im Rahmen der gemeinsamen Verantwortung das Page Controller Addendum. In diesem übernimmt Facebook beispielsweise die Verantwortung, wenn es um das Recht der Betroffenen auf Einsicht und Löschung geht. Das macht Sinn, da der Betreiber einer Fanpage selbst, wie vom EUGH bemängelt, hier keine technischen Möglichkeiten zur Umsetzung dieser Betroffenenrechte hat. Als Verantwortlicher ist die Schule dadurch in der Pflicht. Sie muss die Rechtmäßigkeit der gemeinsam mit Facebook zu verantwortenden Datenverarbeitung gewährleisten und entsprechend Art. 5 Abs. 2 DS-GVO nachweisen. Dieses kann erfolgen, indem für Besucher der Fanpage bzw. der Instagram Präsenz Angaben zur datenschutzrechtlichen Verantwortung gemacht werden und von dort aus auf die Datenschutzerklärung auf der Schulhomepage verlinkt wird. In der Datenschutzerklärung der Schulhomepage werden dann entsprechende Angaben zur gemeinsamen Verantwortung bezüglich Facebook und Instagram gemacht und auf das Page Controller Addendum verlinkt. Wie dieses funktioniert, erklärt der Jurist Dr. Schwenke unter Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“

Page Controller Addendum – und alles gut?

Wie Dr. Schwenke schon im September 2018 selbst klar stellt, bleiben immer noch offene Fragen und kleine Unsicherheiten. Seine Ausführungen beziehen sich primär auf Unternehmen. Kann man das auf Schulen übertragen? Könnte man ein berechtigtes Interesse an Außendarstellung und Nutzung von Kanälen geltend machen, welche Schüler und Eltern nutzen? Das ist schwer zu sagen, zumal eine Anwendung von DS-GVO Art. 6 lit. f in Schule in dem Bereich ihrer eigentlichen Aufgaben rechtlich nicht möglich ist.20Siehe hierzu Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Um Facebook oder auch Instagram auf der Grundlage von berechtigten Interessen nutzen zu können als Schule, müsste man argumentieren können, dass die Außendarstellung nicht Teil der Verarbeitungen ist, welche eine Schule in Erfüllung ihrer Aufgaben vornimmt. Das berechtigte Interesse könnte dann aber auch nur die mit den Besuchern der Präsenzen verbundene Verarbeitung von personenbezogenen Daten rechtlich abdecken, nicht die Veröffentlichungen, welche die Schule selbst dort vornimmt.

Der Berliner Fragenkatalog

Rein formal erfüllt Facebook mit dem Page Controller Addendum vermutlich die Forderungen des Europäischen Gerichtshofes. Die Berliner Beauftragte für  Datenschutz und Informationsfreiheit stellt jedoch in Frage, ob damit auch dem Beschluss der DSK Genüge getan ist. In einem Schreiben an Unternehmen heißt es deshalb im November 2018: “Die DSK machte deutlich, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen (Art. 5 Abs. 2 DS-GVO) können müssen.21Siehe dazu den Brief als PDF: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/informationen/2018-BlnBDI-Fragenkatalog_Fanpages.pdf. Die DSK (Datenschutz Konferenz) ist ein Gremium der Aufsichtsbehörden aller Bundesländer, in welchem zu datenschutzrechtlichen Fragen gemeinsame Positionen erarbeitet werden.

Auch öffentliche Stellen müssen „die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und […] nachweisen“ können. Damit sind auch Schulen als öffentliche Stellen in der Pflicht. Ein dafür erstellter Fragenkatalog zielt genau auf dieses Nachweisbarkeit der Rechtmäßigkeit der gemeinsam mit Facebook verantworteten Datenverarbeitung ab. Mit etwas Aufwand wird eine Schule viele Fragen beantworten können bzw. geleitet von den Fragen, entsprechende Anpassungen in der Datenschutzerklärung vornehmen können. Schwierig zu beantworten sein wird beispielsweise Frage 10 – „Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?„, da aus Sicht der Schule für den Großteil der durch Facebook verarbeiteten personenbezogenen Daten kein erforderlicher Verarbeitungszweck vorliegt. Entsprechend wird eine Schule auch die in ähnliche Richtung zielende Frage Nr. 14 nicht beantworten können.

Was bedeutet dieses nun für Schulen?

Wie aus den Ausführungen hoffentlich deutlich geworden ist, bewegt sich eine Schule, die eine Facebook Fanpage betreibt oder eine Instagram Präsenz, um sich öffentlich dort zu präsentieren, auf einem datenschutzrechtlichen Minenfeld.

Rein formal genügt das Page Controller Addendum, welches auch für Instagram gilt, vermutlich den Vorgaben, welche der Europäische Gerichtshof im Juni 2018 gesetzt hat. Facebook hat darüber hinaus schon lange das as EU-US Privacy Shield gezeichnet wie auch die EU Standard Vertragsklauseln. In der Praxis reicht der Abschluss einer Schule mit Facebook zum Page Controller Addendum dann jedoch alleine nicht aus, da wie der Fragenkatalog der Berliner Datenschutzbeauftragten mehr als deutlich zeigt, in der Umsetzung große Unklarheiten bestehen.

Hinzu kommt für mich noch eine ethisch-moralische Komponente, wenn man als Schule auf diese Plattformen setzt. Eine Schule macht sich, wenn sie eine Facebook oder Instagram Präsenz betreibt, quasi zum Handlanger des Facebook Konzerns, indem sie für Internetnutzer einen Anreiz schafft, die Angebote Facebooks für sich zu nutzen.

Da sich durch neue Klagen und Gerichtsurteile, Änderungen in den Geschäfts- und Nutzungsbedingungen sowie den Datenschutzeinstellungen bei Facebook wie auch den in Folge verabschiedeten Beschlüssen der Datenschutzkonferenz oder Aktionen einzelner Aufsichtsbehörden die Gesamtlage permanent in Bewegung befindet, muss eine Schule als verantwortliche Stelle die datenschutzrechtliche Gesamtlage fortwährend im Blick haben, um entsprechend reagieren zu können. Was heute noch geht, kann morgen zur Unmöglichkeit werden.

Wenn eine Schule trotzdem eine Präsenz auf Facebook/ Instagram betreiten möchte …

Die Verantwortung liegt für die Einhaltung datenschutzrechtlicher Vorgaben bei der Schulleitung einer jeden Schule. Sie entscheidet und trägt das Risiko. Was kann einer Schule passieren, wenn sie eine Facebook Fanpage betreibt, das Addendum angenommen hat, entsprechend der Anleitung die Datenschutzerklärung angepasst und die erforderlichen Angaben bei Facebook bzw. Instagram integriert hat?

Mit einem Bußgeld von Seiten der Aufsichtsbehörde wird eine Schule nicht rechnen müssen, wenn sie gegenüber der LDI NRW Stellung beziehen muss, warum sie diese Seite betreibt und wie sie ihre gemeinsame Verantwortung mit Facebook nachweisen kann und hierzu nicht in der Lage ist. Sie wird jedoch um eine Abschaltung der Präsenz nicht umhinkommen.

Rechtliche Folgen könnten jedoch drohen, wenn Betroffene von ihren Rechten entsprechend der DS-GVO Gebrauch machen und die Schule diesen nicht nachkommen kann, weder durch eigenes Handeln noch durch „Zusammenarbeit“ mit Facebook, wie im Addendum vereinbart.

Was unbedingt bei der Nutzung von Facebook und Instagram als Social Media Plattform, die eine Schule repräsentieren soll, zu beachten ist
* In beiden Plattformen sollten sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchern durch die Plattformen auf das absolute Minimum zu beschränken.

* Auf die Einbindung von Facebook Like Buttons oder entsprechende Buttons für Sharing/Teilen nach Instagram oder Facebook in die Schulhomepage sollte verzichtet werden, (außer man ist in der Lage, die Einbindung technisch so zu gestalten, dass Benutzer die Buttons erst aktivieren müssen, bevor sie sie zum Teilen oder Liken nutzen können).

* Alle Veröffentlichungen durch die Schule sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich alle Inhalte, welche auf Facebook und Instagram gepostet werden, alternativ auch auf der Schulhomepage wieder, so dass kein Benutzer gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Das Medienpädagogik Praxis-Blog hat einen Instagram Leitfaden für pädagogische Fachkräfte, der sehr ähnlich wie hier beschreibt, worauf zu achten ist, wenn man Instagram offiziell nutzt.

Stand: März 2019