Verwendung von Social Media im Schulbereich

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 5. Juni 2018 zum Betrieb von Facebook-Fanpages festgestellt, dass nicht nur der Meta-Konzern (vormals Facebook) selbst, sondern auch der jeweilige Betreiber einer Facebook-Seite datenschutzrechtlich verantwortlich ist. Öffentliche Stellen, die eine Facebook-Seite betreiben, sind daher als datenschutzrechtlich Verantwortliche zu sehen. Die Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen. Staatliche Stellen unterliegen einer verfassungsrechtlichen Bindung an Recht und Gesetz (Rechtsstaatsprinzip), stehen aufgrund ihrer gesellschaftlichen Vorbildfunktion in einer besonderen Verantwortung und müssen eine rechtskonforme Datenverarbeitung sicherstellen und nachweisen können.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierfür eine Liste mit häufig gestellten datenschutzrechtlichen Fragen und den dazugehörigen Antworten (FAQ) zu Facebook-Seiten verfasst. Hier wird erklärt, warum der Betrieb von Facebook-Seiten datenschutzrechtlich immer noch problematisch ist und warum Verantwortliche in der aktuellen Situation den datenschutzkonformen Betrieb nicht gewährleisten können. Ähnliche Maßstäbe lassen sich auch für andere soziale Netzwerke und Plattformen wie beispielsweise Instagram oder TikTok anlegen.

Die Schule als öffentliche Stelle muss nach dem derzeitigen Stand folgende Anforderungen erfüllen, wenn sie soziale Medien nutzen möchten:

• Durchführung einer datenschutzrechtlichen Folgenabschätzung und Dokumentation und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
• Vorliegen einer Rechtsgrundlage, die den Grundsätzen der Erforderlichkeit, Zweckbindung und Verhältnismäßigkeit entspricht.
• Transparente und umfassende Information an die betroffenen Personen und ihre Möglichkeit, der Datenverarbeitung zu widersprechen oder ihre Einwilligung zu widerrufen.
• Technische und organisatorische Maßnahmen, die die Datenverarbeitung minimieren, pseudonymisieren oder anonymisieren und die Sicherheit der Daten gewährleisten.
• Abschluss von Standardvertragsklauseln oder Zertifizierung der amerikanischen sozialen Medien nach dem EU-US Data Privacy Framework.
•  Angebot von alternativen Kommunikationsmöglichkeiten außerhalb der amerikanischen sozialen Medien, um den Dialog mit den betroffenen Personen zu ermöglichen. Im Einzelnen siehe dazu die Hinweise des LfDI unter Quellen und Links.

Die Schule aus dem Einstiegsfall wäre im Falle des Betreibens einer Seite auf einem der beabsichtigten US-amerikanischen Dienste somit die verantwortliche Stelle und verhielte sich als solche nicht rechtskonform.

Die meisten Schulen in Rheinland-Pfalz sind im Internet mit einer eigenen Website präsent. Viele haben auf ihren Internetseiten kleine Symbole insbesondere von Facebook, X oder Instagram als sogenannte „Social Plugins“ integriert. Durch die Einbindung des Like-Buttons erhält der Social Media-Anbieter Kenntnis darüber, dass eine Nutzerin oder ein Nutzer (repräsentiert durch die IP-Adresse) diese Seite aufgerufen hat. Diese Plugins können jedoch personenbezogene Daten an die Netzwerke übermitteln, ohne dass diese dem zugestimmt haben oder darüber informiert sind, was einen Verstoß das Gesetz über die digitalen Dienste (GdD) und die Datenschutz-Grundverordnung (DS-GVO) darstellt. Daher werden passive oder deaktivierte Plugins empfohlen, die erst durch einen Klick der Nutzenden aktiviert werden können (Zwei-Klick-Lösung oder Shariff-Button). Außerdem sollte eine wirksame Einwilligung vor der Übermittlung von Daten an die Netzwerke eingeholt werden. Schulen benötigen darüber hinaus eine transparente und umfassende Datenschutzerklärung, die die Art, den Umfang und den Zweck der Datenverarbeitung durch die Plugins erläutert. Nähere Informationen dazu finden Sie im Baustein 3.1 - Die Schulwebsite sowie unter Quellen und Links.

Selbstverständlich ist es Lehrkräften unbenommen, sich im Rahmen ihrer privaten Lebensgestaltung so zu verhalten, wie es ihnen beliebt. Dies schließt die Mitgliedschaft in Sozialen Netzwerken mit ein. Aber auch bei privaten Aktivitäten von öffentlich Bediensteten sind mitunter dienstliche Regeln zu beachten. So besagt die außerdienstliche Wohlverhaltenspflicht, dass das Verhalten einer Beamtin oder eines Beamten auch außerhalb des Dienstes der Achtung und dem Vertrauen gerecht werden muss, die ihr Beruf erfordert (§ 34 Satz 3 Gesetz zur Regelung des Statusrechts der Beamtinnen und Beamten in den Ländern (Beamtenstatusgesetz - BeamtStG). Verstöße gegen die außerdienstliche Wohlverhaltenspflicht stellen Dienstvergehen dar, welche disziplinarisch geahndet werden können.

Gerade bei der Ausübung des Lehrerberufs kommt der außerdienstlichen Wohlverhaltenspflicht eine besondere Bedeutung zu. Lehrkräfte sind nach dem umfassenden Bildungsauftrag der Schule nicht nur zur Vermittlung von Wissen, sondern auch zur Erziehung der Schülerinnen und Schüler verpflichtet. Sie müssen insbesondere die geistige und sittliche Entwicklung der ihnen anvertrauten Kinder und Jugendlichen fördern und schützen (Urteil vom 19. August 2012: BVerwG, Az: 2 C 5/10). Sie haben insoweit eine Vorbildfunktion, der sie auch im Rahmen ihrer privaten Lebensführung gerecht werden müssen. Von Lehrerinnen und Lehrern wird daher erwartet, dass sie sich aufgrund ihres Erziehungsauftrags gegenüber den Schülerinnen und Schülern innerhalb und außerhalb des Dienstes regelgerecht verhalten.

Beim Messenger-Dienst WhatsApp besteht die Besonderheit, dass der Dienst regelmäßig mehrmals täglich die Telefonnummern im Mobiltelefonadressbuch der Nutzerinnen und Nutzer ausliest. Betroffen davon sind nicht nur deren Telefonnummern, sondern auch Personen, die mit WhatsApp in keinerlei Verbindung stehen. WhatsApp verlagert die Verantwortung hierfür auf die Nutzerinnen und Nutzer, indem diese mit der Anerkennung der Nutzungsbedingungen bestätigen, zur Weitergabe der Daten autorisiert zu sein.

Die dabei unterstellte Absprache mit den im jeweiligen Adressbuch genannten Personen über deren Einverständnis zur Weitergabe ihrer Daten an WhatsApp bzw. die Löschung der Kontakte, die ihre Einwilligung hierzu nicht erteilen, erfolgt jedoch in der Praxis nicht. Damit werden in den allermeisten Fällen Daten ohne Kenntnis und Zustimmung Betroffener an WhatsApp übermittelt.

Eine Nutzung für persönliche oder familiäre Zwecke, wie sie für eine WhatsApp-Nutzung von Privatpersonen wohl überwiegend anzunehmen ist, unterfällt nicht der DS-GVO (Art. 2 Abs. 2 lit c DSGVO). Dies bedeutet, dass die Datenschutzaufsichtsbehörden bei der privaten WhatsApp-Nutzung nicht tätig werden können. Betroffene, die mit der Übermittlung ihrer Daten an WhatsApp nicht einverstanden sind, können aber zivilrechtliche Ansprüche (z. B. in Form von Unterlassungs- oder Schadensersatzansprüchen) geltend machen. Näheres hierzu finden Sie im familiengerichtlichen Beschluss des Amtsgerichts Bad Hersfeld vom 15. Mai 2017 unter Quellen und Links.

Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter mit Sitz innerhalb des Geltungsbereichs der DS-GVO, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (siehe z. B. "Messenger Matrix" unter Quellen und Links).
Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen aber u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung, siehe Quellen und Links​​​​​​​​​​​​​​. Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.

Digitale-Dienste-Gesetz (DDG)

Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

§§ 1 Abs. 5, 25 Abs. 3 SchulG - Distanzgebot

§ 67 SchulG - Verarbeitung von personenbezogenen Daten im Schulbereich

§ 34 Satz 3 BeamtStG - Außerdienstliche Wohlverhaltenspflicht

Themenbereich "Social Media Dienste" auf der Internetseite des LFDI
Abrufbar unter https://www.datenschutz.rlp.de/themen/social-media

"Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen", LFDI, Stand 06. März 2020
Abrufbar unter https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Handlungsrahmen_Soziale_Medien_20200306.pdf    

Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023
Abrufbar unter: https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf

Beschlüsse der Datenschutzkonferenz
Abrufbar unter https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html

Messenger Matrix, Überblick über die verschiedenen (technischen) Merkmale diverser Messenger, präsentiert von Kuketz-Blog
Abrufbar unter https://www.messenger-matrix.de/

Familiengerichtlicher Beschluss (Sorgerecht / Auflagen) bzgl. Aufsichtspflicht, Medien-Nutzung durch Minderjährige, Suchtgefahr des Amtsgerichts Bad Hersfeld vom 15. Mai 2017 Abrufbar unter https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030

Landeseigene IT-Dienstleistungen für Schulen
Abrufbar unter https://bildung.rlp.de/pl/leistungen/it-dienste.html