Viele Schulen möchten gerne Social Media Kanäle zur Außendarstellung nutzen in Ergänzung zu ihrer Schulhomepage. Geht das und wenn ja, was ist zu beachten?
Grundsätzlich sollte man bei der Beschäftigung mit diesem datenschutzrechtlichen Thema zwei Dinge nie außer Acht lassen. Aussagen, die heute gelten, können morgen bereits nicht mehr zutreffen und …
Eine Plattform, viele Probleme
Aus datenschutzrechtlicher Sicht sind Probleme, welche sich für eine Schule mit der Nutzung von Facebook und Instagram zur Außendarstellung ergeben können, vielschichtig. Zwei Problemfelder stehen dabei im Vordergrund:
- die Verantwortung als Betreiber einer Facebook Seite/ einer Instagram Präsenz gegenüber Besuchern bezüglich der Verarbeitung ihrer personenbezogenen Daten und
- die Verantwortung der Schule bezüglich der Veröffentlichung von personenbezogenen Daten von Personen aus der Schule.
Beide Problemfelder sind quasi untrennbar miteinander verbunden. Trotzdem sollen sie hier zunächst getrennt voneinander betrachtet werden.
Schule als Verantwortlicher gegenüber Personen aus der Schule bei Veröffentlichungen auf Facebook und Instagram
In Bezug auf die Veröffentlichung von personenbezogenen Daten von Personen aus der Schule stellt eine Präsenz bei Facebook oder Instagram rechtlich gesehen zunächst nichts anderes dar als eine Schulhomepage.
NUR MIT EINWILLIGUNG
Da Veröffentlichungen von personenbezogenen Daten von Schülern und Lehrkräften durch die Schule in Online- oder Offlinemedien nicht durch das Schulgesetz NRW und die anhängigen Verordnungen zur Datenverarbeitung (VO-DV I & II) legitimiert werden, ist eine Verarbeitung in diesem Sinne nur mit einer rechtswirksamen Einwilligung der Betroffenen zulässig.1Siehe SchulG NRW §120 Abs. 2 Satz 2 und Abs. 5 Satz 3 Dabei ist es unerheblich, ob die Veröffentlichung in der Lokalpresse erfolgt oder auf einer Internetpräsenz, welche die Schule selbst betreibt, oder ob es sich bei den personenbezogenen Daten, welche veröffentlicht werden sollen, um Namen und Ergebnisse bei einem Sportwettbewerb handelt oder um Fotografien.
Informierte Einwilligung
Eine rechtswirksame Einwilligung setzt voraus, dass die Betroffenen nicht nur über die Zwecke der Verarbeitung informiert werden, eventuelle Löschfristen, geplante Übermittlungen, die Freiwilligkeit und über ihre Rechte als Betroffene, sondern auch bezüglich möglicher Risiken, welche sich durch die Verarbeitung ihrer personenbezogenen Daten für ihr Recht auf informationelle Selbstbestimmung ergeben können. An der Stelle wird es gerade bei Facebook kritisch, da die Risiken nur schwer kalkulierbar sind.
- Facebook nutzt in seinen Plattformen Gesichtserkennungsalgorithmen, so dass auch Abbildungen von Personen auch ohne Angaben von Namen echten Personen zugeordnet werden können. 2Wie gering die Auflösung eines Fotos sein muss, dass dieses nicht mehr möglich ist, kann nur schwierig abgeschätzt werden. KI und steigende Rechnenleistung senkt auch hier die Schwelle immer mehr. Auch aus Profilen können heute bereits Personen erkannt werden.
- Profilbildung ist eines der Geschäftsmodelle von Facebook. Wer irgendwie mit Facebook in Berührung kommt, von dem erstellt der Anbieter ein Profil, basierend auf gesammelten Informationen und Schlussfolgerungen. Profile sind in der Regel nicht neutral, sondern bewerten nach vordefinierten Kategorien.
- Facebook handelt mit personenbezogenen Daten zur gezielten Schaltung von Werbung und zur Auswertung durch Dritte. Werbung kann so im Auftrag von Dritten passgenau auf Menschen zugeschnitten werden, welche die Plattform besuchen.3Im Prinzip geht es um nichts anderes als Manipulation. Facebook kennt Vorlieben und Abneigungen, religiöse Überzeugungen, politische Anschauungen und kann sogar aktuelle Stimmungen aus dem Verhalten ableiten. All dieses lässt sich zur gezielten Beeinflussung von Verhalten nutzen. Ein Beispiel wie Cambridge Analytica zeigt, in welche Richtung derartige Beeinflussung, hier im Zusammenhang mit Wahlen, gehen kann.
- Durch den Verkauf von personenbezogenen Daten von Nutzern, wie auch den Zukauf von Daten aus anderen Plattformen oder den Erwerb kompletter Plattformen samt der Daten der Nutzer dieser Plattformen, werden die umfangreich bei Facebook und Instagram erhobenen Daten mit weiteren Daten zur Profilbildung kombiniert. Eine Transparenz bezüglich dieser Vorgänge fehlt.
- Vorkommnisse, bei denen Facebook das Recht der Betroffenen auf informationelle Selbstbestimmung missachtete, sind leider keine Einzelfälle.
- Auch Datenschutzvorfälle, bei denen Dritte Zugriff auf große Mengen von personenbezogenen Daten von Nutzern erhielten, sind mehrfach dokumentiert.
- Da Facebook von Zeit zu Zeit die Nutzungsbedingungen ändert, besteht auch keine Verlässlichkeit, dass eingestellte personenbezogene Daten entsprechend der von Nutzern getroffenen Sicherheitseinstellungen in ihrer Sichtbarkeit dauerhaft privat oder auf einen Freundeskreis beschränkt bleiben.
Über alle diese Risiken müsste eine Schule Schüler und Lehrkräfte vor einer Einwilligung in eine Veröffentlichung von personenbezogenen Daten auf Facebook oder Instagram nach Art. 13 DS-GVO informieren, damit die Einwilligung rechtswirksam ist.
Schule als Verantwortlicher gegenüber Besuchern einer Präsenz auf Facebook und Instagram
Wie auch bei der Schulhomepage hat Schule eine datenschutzrechtliche Verantwortung gegenüber den Besuchern einer Präsenz bei Facebook und Instagram. Öffnet ein Besucher die Facebook Seite oder Instagram Präsenz im Browser oder über ein App, so werden automatisch personenbezogene Daten durch die Plattformen erhoben. Dabei ist es vollkommen unerheblich, ob der Besucher ein registrierter Benutzer der Plattform ist oder nicht. Bei registrierten Benutzern werden die im Zusammenhang mit dem Besuch der schulischen Präsenz in Facebook oder Instagram erhobenen personenbezogenen Daten zum bestehenden Profil hinzugefügt. Auch die Daten von nicht registrierten Benutzern werden erhoben und verarbeitet. Bei vielen Menschen, die oft im Internet unterwegs sind und kein eigenes Facebook oder Instagram Profil besitzen, existiert bereits ein sogenanntes Schattenprofil4Siehe dazu Ob Nutzer oder nicht: Facebook legt Schattenprofile über alle an auf Netzpolitik.de . Mit diesem Schattenprofil verdient Facebook genauso Geld, wie oben bei der Auflistung der möglichen Risiken beschrieben. Damit eine Schule ihrer datenschutzrechtlichen Verantwortung nachkommen kann, müssen auch Besucher der Präsenz auf Facebook und Instagram in einer Datenschutzerklärung über mögliche Risiken aufgeklärt werden.
Gemeinsame Verantwortlichkeit
Auftragsverarbeitung
Bei der eigenen Schulhomepage ist die Schule als Betreiberin dieser Website für die Verarbeitung der personenbezogenen Daten auf dieser Seite verantwortliche Stelle. Dabei ist es unerheblich, ob es sich um personenbezogene Daten handelt, welche die Schule selbst dort verarbeitet, etwa indem sie Informationen veröffentlicht oder Nutzungsstatistiken auswertet, oder ob es sich um personenbezogene Daten von Besuchern handelt, die bei einem Besuch durch die technische Bereitstellung des Angebotes automatisiert erhoben und verarbeitet werden, wie beispielsweise die IP Adresse der Endgeräte, Cookies, und Kommentare. Entsprechend wird mit dem Anbieter des Webspace ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen. Damit ist geregelt, dass der Hoster, welcher die Infrastruktur und grundlegende Software zum Betrieb einer Website bereitstellt, sämtliche Verarbeitung von personenbezogenen Daten nur entsprechend dieses Vertrages und auf Weisung des Verantwortlichen vornimmt. Da Facebook, wie oben beschrieben, personenbezogene Daten, egal welcher Herkunft, zu eigenen Zwecken erhebt und verarbeitet, besteht keine Grundlage für einen Vertrag zur Auftragsverarbeitung.
Gemeinsame Verantwortlichkeit
Die Schule ist damit jedoch nicht aus der Verantwortung entlassen. Vielmehr entschied der Europäische Gerichtshof im Juni 2018, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich sind.5EuGH Urteil (C-20/16) Um eine gemeinsame Verantwortlichkeit nachzuweisen, ist nach Art. 26 DS-GVO ein Vertrag zwischen beiden Seiten erforderlich, in welchem festgelegt ist, wer welche Verpflichtungen nach der DS-GVO erfüllt. Ohne diese Vereinbarung ist nach einem Beschluss der Datenschutz Konferenz6Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 der Betrieb einer Fanpage rechtswidrig. Facebook reagierte recht schnell auf diese Vorgabe und stellt seit dem 11. September als Seiten-Insights-Ergänzung7Seiten Insights meint ein Tool, welches Facebook Betreibern von Fanpages zur Verfügung stellt, um deren Nutzung durch Besucher – gestützt auf die von Facebook erhobenen personenbezogenen Daten – auswerten zu können. das sogenannte Page Controller Addendum zur Verfügung. Anstelle des Vertrags zur Auftragsbearbeitung tritt hier also im Rahmen der gemeinsamen Verantwortung das Page Controller Addendum. In diesem übernimmt Facebook beispielsweise die Verantwortung, wenn es um das Recht der Betroffenen auf Einsicht und Löschung geht. Das macht Sinn, da der Betreiber einer Fanpage selbst, wie vom EUGH bemängelt, hier keine technischen Möglichkeiten zur Umsetzung dieser Betroffenenrechte hat. Als Verantwortlicher ist die Schule dadurch in der Pflicht. Sie muss die Rechtmäßigkeit der gemeinsam mit Facebook zu verantwortenden Datenverarbeitung gewährleisten und entsprechend Art. 5 Abs. 2 DS-GVO nachweisen. Dieses kann erfolgen, indem für Besucher der Fanpage bzw. der Instagram Präsenz Angaben zur datenschutzrechtlichen Verantwortung gemacht werden und von dort aus auf die Datenschutzerklärung auf der Schulhomepage verlinkt wird. In der Datenschutzerklärung der Schulhomepage werden dann entsprechende Angaben zur gemeinsamen Verantwortung bezüglich Facebook und Instagram gemacht und auf das Page Controller Addendum verlinkt. Wie dieses funktioniert, erklärt der Jurist Dr. Schwenke unter Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“
Im November 2019 hat Facebook das Page Controller Addendum überarbeitet und übernimmt damit mehr Verantwortung für die bei Insights stattfindende Verarbeitung von personenbezogenen Daten. Deutlicher als bisher wird dabei herausgestellt, dass es bei Facebook Insights um eine gemeinsame Verantwortlichkeit geht 8“Du und Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Facebook Ireland“, „wir“ oder „uns“; zusammen die „Parteien“) erkennen an und stimmen zu, gemeinsam Verantwortliche gemäß Artikel 26 DSGVO für die Verarbeitung dieser personenbezogenen Daten in Events für Seiten-Insights („Insights-Daten“) zu sein.” . An der grundlegenden datenschutzrechtlichen Problematik einer Nutzung von Facebook durch Schulen dürfte dieses jedoch wenig ändern.
Page Controller Addendum – und alles gut?
Wie Dr. Schwenke schon im September 2018 selbst klar stellt, bleiben immer noch offene Fragen und kleine Unsicherheiten. Seine Ausführungen beziehen sich primär auf Unternehmen. Kann man das auf Schulen übertragen? Könnte man ein berechtigtes Interesse an Außendarstellung und Nutzung von Kanälen geltend machen, welche Schüler und Eltern nutzen? Das ist schwer zu sagen, zumal eine Anwendung von DS-GVO Art. 6 lit. f in Schule in dem Bereich ihrer eigentlichen Aufgaben rechtlich nicht möglich ist.9Siehe hierzu Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen? „Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Um Facebook oder auch Instagram auf der Grundlage von berechtigten Interessen nutzen zu können als Schule, müsste man argumentieren können, dass die Außendarstellung nicht Teil der Verarbeitungen ist, welche eine Schule in Erfüllung ihrer Aufgaben vornimmt. Das berechtigte Interesse könnte dann aber auch nur die mit den Besuchern der Präsenzen verbundene Verarbeitung von personenbezogenen Daten rechtlich abdecken, nicht die Veröffentlichungen, welche die Schule selbst dort vornimmt.
Der Berliner Fragenkatalog
Rein formal erfüllt Facebook mit dem Page Controller Addendum vermutlich die Forderungen des Europäischen Gerichtshofes. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellt jedoch in Frage, ob damit auch dem Beschluss der DSK Genüge getan ist. In einem Schreiben an Unternehmen heißt es deshalb im November 2018: “Die DSK machte deutlich, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen (Art. 5 Abs. 2 DS-GVO) können müssen.“10Siehe dazu den Brief als PDF: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/informationen/2018-BlnBDI-Fragenkatalog_Fanpages.pdf. Die DSK (Datenschutz Konferenz) ist ein Gremium der Aufsichtsbehörden aller Bundesländer, in welchem zu datenschutzrechtlichen Fragen gemeinsame Positionen erarbeitet werden.
Auch öffentliche Stellen müssen “die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und […] nachweisen” können. Damit sind auch Schulen als öffentliche Stellen in der Pflicht. Ein dafür erstellter Fragenkatalog zielt genau auf dieses Nachweisbarkeit der Rechtmäßigkeit der gemeinsam mit Facebook verantworteten Datenverarbeitung ab. Mit etwas Aufwand wird eine Schule viele Fragen beantworten können bzw. geleitet von den Fragen, entsprechende Anpassungen in der Datenschutzerklärung vornehmen können. Schwierig zu beantworten sein wird beispielsweise Frage 10 – “Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?“, da aus Sicht der Schule für den Großteil der durch Facebook verarbeiteten personenbezogenen Daten kein erforderlicher Verarbeitungszweck vorliegt. Entsprechend wird eine Schule auch die in ähnliche Richtung zielende Frage Nr. 14 nicht beantworten können.
Was bedeutet dieses nun für Schulen?
Wie aus den Ausführungen hoffentlich deutlich geworden ist, bewegt sich eine Schule, die eine Facebook Fanpage betreibt oder eine Instagram Präsenz, um sich öffentlich dort zu präsentieren, auf einem datenschutzrechtlichen Minenfeld.
Rein formal genügt das Page Controller Addendum, welches auch für Instagram gilt, vermutlich den Vorgaben, welche der Europäische Gerichtshof im Juni 2018 gesetzt hat. Facebook hat darüber hinaus schon lange das EU-US Privacy Shield gezeichnet11Auch wenn das Abkommen durch das Schrems 2 Urteil im Juli 2020 durch den EUGH für unwirksam erklärt wurde, signalisiert Facebook dadurch, dass es die Zertifizierung beibehalten hat, seine Bereitschaft, die dort beschriebenen Vorgaben einzuhalten. wie auch die EU Standard Vertragsklauseln. In der Praxis reicht der Abschluss des Page Controller Addendum zwischen einer Schule und Facebook dann jedoch alleine nicht aus, da wie der Fragenkatalog der Berliner Datenschutzbeauftragten mehr als deutlich zeigt, in der Umsetzung große Unklarheiten bestehen.
Hinzu kommt für mich noch eine ethisch-moralische Komponente, wenn man als Schule auf diese Plattformen setzt. Eine Schule macht sich, wenn sie eine Facebook oder Instagram Präsenz betreibt, quasi zum Handlanger des Facebook Konzerns, indem sie für Internetnutzer einen Anreiz schafft, die Angebote Facebooks für sich zu nutzen.
Da sich durch neue Klagen und Gerichtsurteile, Änderungen in den Geschäfts- und Nutzungsbedingungen sowie den Datenschutzeinstellungen bei Facebook wie auch den in Folge verabschiedeten Beschlüssen der Datenschutzkonferenz oder Aktionen einzelner Aufsichtsbehörden die Gesamtlage permanent in Bewegung befindet, muss eine Schule als verantwortliche Stelle die datenschutzrechtliche Gesamtlage fortwährend im Blick haben, um entsprechend reagieren zu können. Was heute noch geht, kann morgen zur Unmöglichkeit werden.
Wenn eine Schule trotzdem eine Präsenz auf Facebook/ Instagram betreiten möchte …
Die Verantwortung liegt für die Einhaltung datenschutzrechtlicher Vorgaben bei der Schulleitung einer jeden Schule. Sie entscheidet und trägt das Risiko. Was kann einer Schule passieren, wenn sie eine Facebook Fanpage betreibt, das Addendum angenommen hat, entsprechend der Anleitung die Datenschutzerklärung angepasst und die erforderlichen Angaben bei Facebook bzw. Instagram integriert hat?
Mit einem Bußgeld von Seiten der Aufsichtsbehörde wird eine Schule nicht rechnen müssen, wenn sie gegenüber der LDI NRW Stellung beziehen muss, warum sie diese Seite betreibt und wie sie ihre gemeinsame Verantwortung mit Facebook nachweisen kann und hierzu nicht in der Lage ist. Sie wird jedoch um eine Abschaltung der Präsenz nicht umhinkommen.
Rechtliche Folgen könnten jedoch drohen, wenn Betroffene von ihren Rechten entsprechend der DS-GVO Gebrauch machen und die Schule diesen nicht nachkommen kann, weder durch eigenes Handeln noch durch “Zusammenarbeit” mit Facebook, wie im Addendum vereinbart.
* Auf die Einbindung von Facebook Like Buttons oder entsprechende Buttons für Sharing/Teilen nach Instagram oder Facebook in die Schulhomepage sollte verzichtet werden, (außer man ist in der Lage, die Einbindung technisch so zu gestalten, dass Benutzer die Buttons erst aktivieren müssen, bevor sie sie zum Teilen oder Liken nutzen können).
* Alle Veröffentlichungen durch die Schule sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich alle Inhalte, welche auf Facebook und Instagram gepostet werden, alternativ auch auf der Schulhomepage wieder, so dass kein Benutzer gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.
Das Medienpädagogik Praxis-Blog hat einen Instagram Leitfaden für pädagogische Fachkräfte, der sehr ähnlich wie hier beschreibt, worauf zu achten ist, wenn man Instagram offiziell nutzt.
Zum Thema gemeinsame Verantwortlichkeit und den Änderungen ab 11/2019 beschreibt der Beitrag Facebook Fanpages: Änderungen bei Facebook Insights auf ISiCO, was diese Änderungen bedeuten und welche Pflichten sich für Betreiber von Fanpages ergeben.
Bitte beachten Sie auch die aktuellen Entwicklungen zum Thema. Mit dem angekündigten Rückzug der Aufsichtsbehörde Baden Württemberg für Ende Januar 2020 ergeben sich neue Aspekte, die zu berücksichtigen sind, wenn eine Schule einen Social Media Auftritt pflegen möchte – siehe dazu Schule Social Media Auftritt – Stand Januar 2020.
Sehr nützlich sind die Hinweise bzw. Anforderungen an öffentliche Stellen bei der Nutzung “Sozialer Netzwerke” von Februar 2020. Dort gibt es ein PDF, in welchem vier Anforderungen beschrieben werden. Für Schulen sollten diese ohne Probleme umzusetzen sein.
Stand: Februar 2020