Facebook und Instagram zur Außendarstellung

Lesezeit: 7 Minuten

Viele Schulen möchten gerne Social Media Kanäle zur Außendarstellung nutzen in Ergänzung zu ihrer Schulhomepage. Geht das und wenn ja, was ist zu beachten?

Grundsätzlich sollte man bei der Beschäftigung mit diesem datenschutzrechtlichen Thema zwei Dinge nie außer Acht lassen. Aussagen, die heute gelten, können morgen bereits nicht mehr zutreffen und …

Facebook kennt nur Benutzer und Besucher, keine Schüler
Im Gegensatz zu den speziell für den Bildungsbereich ausgelegten Angeboten von Microsoft, Google und Apple kennt Facebook eine derartige Unterscheidung nicht. Auf den Plattformen von Facebook wird jeder Besucher gleich behandelt. Jeder Besucher bzw. Benutzer wird mit allen Möglichkeiten, welche die Plattform bietet, datentechnisch erfasst und ausgewertet. Alle von Besuchern erhobenen Daten, die sämtlich personenbeziehbar sind, werden monetarisiert. Entsprechend werden Profile erstellt und wird der Stream, den die einzelne Person zu sehen bekommt, mit Werbeeinblendungen und Beiträgen gesteuert. Außerdem werden die Daten Dritten gegen Geld zur Verfügung gestellt. Dieses gilt tatsächlich für jedermann, auch für Menschen, die nicht bei Facebook oder einer seiner Plattformen als Benutzer angemeldet sind. Für diese Menschen werden sogenannte Schattenprofile erstellt. Durch Kombination mit personenbezogenen Daten aus anderen Quellen lassen sich auch die Schattenprofile sehr oft tatsächlichen Personen zuordnen.

Eine Plattform, viele Probleme

Aus datenschutzrechtlicher Sicht sind Probleme, welche sich für eine Schule mit der Nutzung von Facebook und Instagram zur Außendarstellung ergeben können, vielschichtig. Zwei Problemfelder stehen dabei im Vordergrund:

  • die Verantwortung als Betreiber einer Facebook Seite/ einer Instagram Präsenz gegenüber Besuchern bezüglich der Verarbeitung ihrer personenbezogenen Daten und
  • die Verantwortung der Schule bezüglich der Veröffentlichung von personenbezogenen Daten von Personen aus der Schule.

Beide Problemfelder sind quasi untrennbar miteinander verbunden. Trotzdem sollen sie hier zunächst getrennt voneinander betrachtet werden.

Schule als Verantwortlicher gegenüber Personen aus der Schule bei Veröffentlichungen auf Facebook und Instagram

In Bezug auf die Veröffentlichung von personenbezogenen Daten von Personen aus der Schule stellt eine Präsenz bei Facebook oder Instagram rechtlich gesehen zunächst nichts anderes dar als eine Schulhomepage.

NUR MIT EINWILLIGUNG

Da Veröffentlichungen von personenbezogenen Daten von Schülern und Lehrkräften durch die Schule in Online- oder Offlinemedien nicht durch das Schulgesetz NRW und die anhängigen Verordnungen zur Datenverarbeitung (VO-DV I & II) legitimiert werden, ist eine Verarbeitung in diesem Sinne nur mit einer rechtswirksamen Einwilligung der Betroffenen zulässig.1Siehe SchulG NRW §120 Abs. 2 Satz 2 und Abs. 5 Satz 3 Dabei ist es unerheblich, ob die Veröffentlichung in der Lokalpresse erfolgt oder auf einer Internetpräsenz, welche die Schule selbst betreibt, oder ob es sich bei den personenbezogenen Daten, welche veröffentlicht werden sollen, um Namen und Ergebnisse bei einem Sportwettbewerb handelt oder um Fotografien.

Informierte Einwilligung

Eine rechtswirksame Einwilligung setzt voraus, dass die Betroffenen nicht nur über die Zwecke der Verarbeitung informiert werden, eventuelle Löschfristen, geplante Übermittlungen, die Freiwilligkeit und über ihre Rechte als Betroffene, sondern auch bezüglich möglicher Risiken, welche sich durch die Verarbeitung ihrer personenbezogenen Daten für ihr Recht auf informationelle Selbstbestimmung ergeben können. An der Stelle wird es gerade bei Facebook kritisch, da die Risiken nur schwer kalkulierbar sind.

  • Facebook nutzt in seinen Plattformen Gesichtserkennungsalgorithmen, so dass auch Abbildungen von Personen auch ohne Angaben von Namen echten Personen zugeordnet werden können. 2Wie gering die Auflösung eines Fotos sein muss, dass dieses nicht mehr möglich ist, kann nur schwierig abgeschätzt werden. KI und steigende Rechnenleistung senkt auch hier die Schwelle immer mehr. Auch aus Profilen können heute bereits Personen erkannt werden.
  • Profilbildung ist eines der Geschäftsmodelle von Facebook. Wer irgendwie mit Facebook in Berührung kommt, von dem erstellt der Anbieter ein Profil, basierend auf gesammelten Informationen und Schlussfolgerungen. Profile sind in der Regel nicht neutral, sondern bewerten nach vordefinierten Kategorien.
  • Facebook handelt mit personenbezogenen Daten zur gezielten Schaltung von Werbung und zur Auswertung durch Dritte. Werbung kann so im Auftrag von Dritten passgenau auf Menschen zugeschnitten werden, welche die Plattform besuchen.3Im Prinzip geht es um nichts anderes als Manipulation. Facebook kennt Vorlieben und Abneigungen, religiöse Überzeugungen, politische Anschauungen und kann sogar aktuelle Stimmungen aus dem Verhalten ableiten. All dieses lässt sich zur gezielten Beeinflussung von Verhalten nutzen. Ein Beispiel wie Cambridge Analytica zeigt, in welche Richtung derartige Beeinflussung, hier im Zusammenhang mit Wahlen, gehen kann.
  • Durch den Verkauf von personenbezogenen Daten von Nutzern, wie auch den Zukauf von Daten aus anderen Plattformen oder den Erwerb kompletter Plattformen samt der Daten der Nutzer dieser Plattformen, werden die umfangreich bei Facebook und Instagram erhobenen Daten mit weiteren Daten zur Profilbildung kombiniert. Eine Transparenz bezüglich dieser Vorgänge fehlt.
  • Vorkommnisse, bei denen Facebook das Recht der Betroffenen auf informationelle Selbstbestimmung missachtete, sind leider keine Einzelfälle.
  • Auch Datenschutzvorfälle, bei denen Dritte Zugriff auf große Mengen von personenbezogenen Daten von Nutzern erhielten, sind mehrfach dokumentiert.
  • Da Facebook von Zeit zu Zeit die Nutzungsbedingungen ändert, besteht auch keine Verlässlichkeit, dass eingestellte personenbezogene Daten entsprechend der von Nutzern getroffenen Sicherheitseinstellungen in ihrer Sichtbarkeit dauerhaft privat oder auf einen Freundeskreis beschränkt bleiben.

Über alle diese Risiken müsste eine Schule Schüler und Lehrkräfte vor einer Einwilligung in eine Veröffentlichung von personenbezogenen Daten auf Facebook oder Instagram nach Art. 13 DS-GVO informieren, damit die Einwilligung rechtswirksam ist.

Schule als Verantwortlicher gegenüber Besuchern einer Präsenz auf Facebook und Instagram

Wie auch bei der Schulhomepage hat Schule eine datenschutzrechtliche Verantwortung gegenüber den Besuchern einer Präsenz bei Facebook und Instagram. Öffnet ein Besucher die Facebook Seite oder Instagram Präsenz im Browser oder über ein App, so werden automatisch personenbezogene Daten durch die Plattformen erhoben. Dabei ist es vollkommen unerheblich, ob der Besucher ein registrierter Benutzer der Plattform ist oder nicht. Bei registrierten Benutzern werden die im Zusammenhang mit dem Besuch der schulischen Präsenz in Facebook oder Instagram erhobenen personenbezogenen Daten zum bestehenden Profil hinzugefügt. Auch die Daten von nicht registrierten Benutzern werden erhoben und verarbeitet. Bei vielen Menschen, die oft im Internet unterwegs sind und kein eigenes Facebook oder Instagram Profil besitzen, existiert bereits ein sogenanntes Schattenprofil4Siehe dazu Ob Nutzer oder nicht: Facebook legt Schattenprofile über alle an auf Netzpolitik.de . Mit diesem Schattenprofil verdient Facebook genauso Geld, wie oben bei der Auflistung der möglichen Risiken beschrieben. Damit eine Schule ihrer datenschutzrechtlichen Verantwortung nachkommen kann, müssen auch Besucher der Präsenz auf Facebook und Instagram in einer Datenschutzerklärung über mögliche Risiken aufgeklärt werden.

Gemeinsame Verantwortlichkeit

Auftragsverarbeitung

Bei der eigenen Schulhomepage ist die Schule als Betreiberin dieser Website für die Verarbeitung der personenbezogenen Daten auf dieser Seite verantwortliche Stelle. Dabei ist es unerheblich, ob es sich um personenbezogene Daten handelt, welche die Schule selbst dort verarbeitet, etwa indem sie Informationen veröffentlicht oder Nutzungsstatistiken auswertet, oder ob es sich um personenbezogene Daten von Besuchern handelt, die bei einem Besuch durch die technische Bereitstellung des Angebotes automatisiert erhoben und verarbeitet werden, wie beispielsweise die IP Adresse der Endgeräte, Cookies, und Kommentare. Entsprechend wird mit dem Anbieter des Webspace ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abgeschlossen. Damit ist geregelt, dass der Hoster, welcher die Infrastruktur und grundlegende Software zum Betrieb einer Website bereitstellt, sämtliche Verarbeitung von personenbezogenen Daten nur entsprechend dieses Vertrages und auf Weisung des Verantwortlichen vornimmt. Da Facebook, wie oben beschrieben, personenbezogene Daten, egal welcher Herkunft, zu eigenen Zwecken erhebt und verarbeitet, besteht keine Grundlage für einen Vertrag zur Auftragsverarbeitung.

Gemeinsame Verantwortlichkeit

Die Schule ist damit jedoch nicht aus der Verantwortung entlassen. Vielmehr entschied der Europäische Gerichtshof im Juni 2018, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich sind.5EuGH Urteil (C-20/16) Um eine gemeinsame Verantwortlichkeit nachzuweisen, ist nach Art. 26 DS-GVO ein Vertrag zwischen beiden Seiten erforderlich, in welchem festgelegt ist, wer welche Verpflichtungen nach der DS-GVO erfüllt. Ohne diese Vereinbarung ist nach einem Beschluss der Datenschutz Konferenz6Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 der Betrieb einer Fanpage rechtswidrig. Facebook reagierte recht schnell auf diese Vorgabe und stellt seit dem 11. September als Seiten-Insights-Ergänzung7Seiten Insights meint ein Tool, welches Facebook Betreibern von Fanpages zur Verfügung stellt, um deren Nutzung durch Besucher – gestützt auf die von Facebook erhobenen personenbezogenen Daten – auswerten zu können. das sogenannte Page Controller Addendum zur Verfügung. Anstelle des Vertrags zur Auftragsbearbeitung tritt hier also im Rahmen der gemeinsamen Verantwortung das Page Controller Addendum. In diesem übernimmt Facebook beispielsweise die Verantwortung, wenn es um das Recht der Betroffenen auf Einsicht und Löschung geht. Das macht Sinn, da der Betreiber einer Fanpage selbst, wie vom EUGH bemängelt, hier keine technischen Möglichkeiten zur Umsetzung dieser Betroffenenrechte hat. Als Verantwortlicher ist die Schule dadurch in der Pflicht. Sie muss die Rechtmäßigkeit der gemeinsam mit Facebook zu verantwortenden Datenverarbeitung gewährleisten und entsprechend Art. 5 Abs. 2 DS-GVO nachweisen. Dieses kann erfolgen, indem für Besucher der Fanpage bzw. der Instagram Präsenz Angaben zur datenschutzrechtlichen Verantwortung gemacht werden und von dort aus auf die Datenschutzerklärung auf der Schulhomepage verlinkt wird. In der Datenschutzerklärung der Schulhomepage werden dann entsprechende Angaben zur gemeinsamen Verantwortung bezüglich Facebook und Instagram gemacht und auf das Page Controller Addendum verlinkt. Wie dieses funktioniert, erklärt der Jurist Dr. Schwenke unter Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“

Page Controller Addendum – und alles gut?

Wie Dr. Schwenke schon im September 2018 selbst klar stellt, bleiben immer noch offene Fragen und kleine Unsicherheiten. Seine Ausführungen beziehen sich primär auf Unternehmen. Kann man das auf Schulen übertragen? Könnte man ein berechtigtes Interesse an Außendarstellung und Nutzung von Kanälen geltend machen, welche Schüler und Eltern nutzen? Das ist schwer zu sagen, zumal eine Anwendung von DS-GVO Art. 6 lit. f in Schule in dem Bereich ihrer eigentlichen Aufgaben rechtlich nicht möglich ist.8Siehe hierzu Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Um Facebook oder auch Instagram auf der Grundlage von berechtigten Interessen nutzen zu können als Schule, müsste man argumentieren können, dass die Außendarstellung nicht Teil der Verarbeitungen ist, welche eine Schule in Erfüllung ihrer Aufgaben vornimmt. Das berechtigte Interesse könnte dann aber auch nur die mit den Besuchern der Präsenzen verbundene Verarbeitung von personenbezogenen Daten rechtlich abdecken, nicht die Veröffentlichungen, welche die Schule selbst dort vornimmt.

Der Berliner Fragenkatalog

Rein formal erfüllt Facebook mit dem Page Controller Addendum vermutlich die Forderungen des Europäischen Gerichtshofes. Die Berliner Beauftragte für  Datenschutz und Informationsfreiheit stellt jedoch in Frage, ob damit auch dem Beschluss der DSK Genüge getan ist. In einem Schreiben an Unternehmen heißt es deshalb im November 2018: “Die DSK machte deutlich, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen (Art. 5 Abs. 2 DS-GVO) können müssen.9Siehe dazu den Brief als PDF: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/informationen/2018-BlnBDI-Fragenkatalog_Fanpages.pdf. Die DSK (Datenschutz Konferenz) ist ein Gremium der Aufsichtsbehörden aller Bundesländer, in welchem zu datenschutzrechtlichen Fragen gemeinsame Positionen erarbeitet werden.

Auch öffentliche Stellen müssen „die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und […] nachweisen“ können. Damit sind auch Schulen als öffentliche Stellen in der Pflicht. Ein dafür erstellter Fragenkatalog zielt genau auf dieses Nachweisbarkeit der Rechtmäßigkeit der gemeinsam mit Facebook verantworteten Datenverarbeitung ab. Mit etwas Aufwand wird eine Schule viele Fragen beantworten können bzw. geleitet von den Fragen, entsprechende Anpassungen in der Datenschutzerklärung vornehmen können. Schwierig zu beantworten sein wird beispielsweise Frage 10 – „Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?„, da aus Sicht der Schule für den Großteil der durch Facebook verarbeiteten personenbezogenen Daten kein erforderlicher Verarbeitungszweck vorliegt. Entsprechend wird eine Schule auch die in ähnliche Richtung zielende Frage Nr. 14 nicht beantworten können.

Was bedeutet dieses nun für Schulen?

Wie aus den Ausführungen hoffentlich deutlich geworden ist, bewegt sich eine Schule, die eine Facebook Fanpage betreibt oder eine Instagram Präsenz, um sich öffentlich dort zu präsentieren, auf einem datenschutzrechtlichen Minenfeld.

Rein formal genügt das Page Controller Addendum, welches auch für Instagram gilt, vermutlich den Vorgaben, welche der Europäische Gerichtshof im Juni 2018 gesetzt hat. Facebook hat darüber hinaus schon lange das as EU-US Privacy Shield gezeichnet wie auch die EU Standard Vertragsklauseln. In der Praxis reicht der Abschluss einer Schule mit Facebook zum Page Controller Addendum dann jedoch alleine nicht aus, da wie der Fragenkatalog der Berliner Datenschutzbeauftragten mehr als deutlich zeigt, in der Umsetzung große Unklarheiten bestehen.

Hinzu kommt für mich noch eine ethisch-moralische Komponente, wenn man als Schule auf diese Plattformen setzt. Eine Schule macht sich, wenn sie eine Facebook oder Instagram Präsenz betreibt, quasi zum Handlanger des Facebook Konzerns, indem sie für Internetnutzer einen Anreiz schafft, die Angebote Facebooks für sich zu nutzen.

Da sich durch neue Klagen und Gerichtsurteile, Änderungen in den Geschäfts- und Nutzungsbedingungen sowie den Datenschutzeinstellungen bei Facebook wie auch den in Folge verabschiedeten Beschlüssen der Datenschutzkonferenz oder Aktionen einzelner Aufsichtsbehörden die Gesamtlage permanent in Bewegung befindet, muss eine Schule als verantwortliche Stelle die datenschutzrechtliche Gesamtlage fortwährend im Blick haben, um entsprechend reagieren zu können. Was heute noch geht, kann morgen zur Unmöglichkeit werden.

Wenn eine Schule trotzdem eine Präsenz auf Facebook/ Instagram betreiten möchte …

Die Verantwortung liegt für die Einhaltung datenschutzrechtlicher Vorgaben bei der Schulleitung einer jeden Schule. Sie entscheidet und trägt das Risiko. Was kann einer Schule passieren, wenn sie eine Facebook Fanpage betreibt, das Addendum angenommen hat, entsprechend der Anleitung die Datenschutzerklärung angepasst und die erforderlichen Angaben bei Facebook bzw. Instagram integriert hat?

Mit einem Bußgeld von Seiten der Aufsichtsbehörde wird eine Schule nicht rechnen müssen, wenn sie gegenüber der LDI NRW Stellung beziehen muss, warum sie diese Seite betreibt und wie sie ihre gemeinsame Verantwortung mit Facebook nachweisen kann und hierzu nicht in der Lage ist. Sie wird jedoch um eine Abschaltung der Präsenz nicht umhinkommen.

Rechtliche Folgen könnten jedoch drohen, wenn Betroffene von ihren Rechten entsprechend der DS-GVO Gebrauch machen und die Schule diesen nicht nachkommen kann, weder durch eigenes Handeln noch durch „Zusammenarbeit“ mit Facebook, wie im Addendum vereinbart.

Was unbedingt bei der Nutzung von Facebook und Instagram als Social Media Plattform, die eine Schule repräsentieren soll, zu beachten ist
* In beiden Plattformen sollten sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchern durch die Plattformen auf das absolute Minimum zu beschränken.

* Auf die Einbindung von Facebook Like Buttons oder entsprechende Buttons für Sharing/Teilen nach Instagram oder Facebook in die Schulhomepage sollte verzichtet werden, (außer man ist in der Lage, die Einbindung technisch so zu gestalten, dass Benutzer die Buttons erst aktivieren müssen, bevor sie sie zum Teilen oder Liken nutzen können).

* Alle Veröffentlichungen durch die Schule sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich alle Inhalte, welche auf Facebook und Instagram gepostet werden, alternativ auch auf der Schulhomepage wieder, so dass kein Benutzer gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Stand: Dezember 2018