Bereits im August 2025 veröffentlichte die Bundesbeauftragte für Datenschutz und Informationsfreiheit eine Handreichung zur Nutzung sozialer Netzwerke durch öffentliche Stellen des Bundes. Man erinnere sich, dass der damalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, hatte 2023 versucht, dem Bundespresseamt, die Nutzung von Facebook zur Öffentlichkeitsarbeit zu untersagen. Die Handreichung der aktuellen BfDI, Frau Prof. Dr. Louisa Specht-Riemenschneider, adressiert die anhaltende Rechtsunsicherheit nach einem Gerichtsurteil im Juli 2025, in welchem das Verwaltungsgericht Köln (Az. 13 K 1419/23) zugunsten des Bundespresseamts (BPA) entschieden hatte und „erläutert ausschließlich die Verpflichtungen, die sich aus der eigenen Verantwortlichkeit an der öffentlichen Stelle als Fanpage-Betreiber ergeben.“ Im nächsten Satz wird klargestellt, dass die Verpflichtungen aus Artikel 26 DS-GVO neben die in der Handreichung erläuterten Pflichten treten können, wenn richtlich eine gemeinsame Verantwortlichkeit festgestellt werden sollte.
Die BfDI akzeptiert das Urteil des Verwaltungsgerichtes hinsichtlich seiner Entscheidung, dass der Anbieter für die Bereitstellung von Cookies alleine verantwortlich ist und es sich nicht um eine gemeinsame Verantwortlichkeit von öffentlicher Stelle und Anbieter handelt. Die öffentlichen Stellen des Bundes bleiben aber weiterhin datenschutzrechtliche Verantwortung für die auf Ihrer Fanpage eingestellten Inhalte. Sie müssen dabei einige Vorgaben beachten, die im Folgenden aufgeführt werden:
- Rechtsgrundlage der Verarbeitung personenbezogenen Daten von Besuchern des Social Media Auftritts:
- Die BFDI kommt hier zum Schluss, dass alleine „die Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DS-GVO oder eine Aufgabenwahrnehmung im öffentlichen Interesse gemäß Art. 6 Abs. 1 lit. e DS-GVO jeweils in Verbindung mit dem jeweiligen Informationsauftrag gegenüber der Öffentlichkeit in Betracht“ kommt.
- Transparenz über die Verarbeitung von personenbezogenen Daten:
- Öffentliche Stellen müssen Besucher ihres Social Media Auftritts in einer für die Besucher nachvollziehbaren Weise über die Verarbeitung gemäß Art. 13 DS-GVO zum Zeitpunkt der Erhebung ihrer Daten umfassend informieren.
- Datenschutz-Folgenabschätzung bei Vorliegen der Voraussetzungen von Art. 35 DS-GVO:
- Sollte die öffentliche Stelle zu dem Schluss kommen, dass sie zu einer Datenschutz-Folgenabschätzung verpflichtet ist, muss sie sich mit der gesamten Verarbeitung auseinandersetzen, vor allem aber nicht ausschließlich mit Blick auf sensible Daten und eine Datenübermittlung in Drittstaaten. Kommt sie zu dem Schluss, dass es um ein hohes Risiko geht, muss die Aufsichtsbehörde mit eingebunden werden.
- Privacy-by-default im Social Media Auftritt:
- Durch geeignete Voreinstellungen soll eine möglichst minimale Datenverarbeitung durch den Betreiber der Social Media Plattform sichergestellt werden. Dazu gehört eine Abschaltung der Statistikfunktion, eine Deaktivierung sensibler Datenverarbeitung, wie zum Beispiel von Standortdaten, eine Deaktivierung des KI-Trainings mit Nutzerdaten und eine Vereinfachung der betroffenen Rechte für die Nutzer.
- Keine exklusiven Inhalte im Social Media Auftritt:
- Alle im Social Media Auftritt veröffentlichten Inhalte müssen sich auch über die normale Website der öffentlichen Stelle abrufen lassen, sodass Nutzer nicht gezwungen sind, den Social Media Auftritt zu nutzen, um an Informationen zu gelangen.
- Nutzungsleitfaden für die Betreuer des Social Media Auftritts:
- Mit dem Nutzungsleitfaden soll sichergestellt werden, dass die oben beschriebenen Anforderungen entsprechend eingehalten werden. Verwiesen wird dabei auf ein von der Aufsichtsbehörde Baden Württemberg bereitgestelltes Nutzungskonzept für die Social Media Plattform Mastodon: LfDI – Nutzungskonzept „Mastodon“.pdf
Bewertung
Wie die Entscheidung des Verwaltungsgerichtes Köln eine Bundesbehörde traf, so ist die Handreichung der Bundesbeauftragten für Datenschutz und Informationsfreiheit ebenfalls an öffentliche Stellen des Bundes gerichtet. Warum sind die Empfehlungen in dieser Handreichung trotzdem auch für Schulen zumindest ein Stück weit relevant? Sie haben auch für Schulen Bedeutung, weil diese, wenn sie einen Social Media Auftritt betreiben, letztlich vor denselben datenschutzrechtlichen Problemen stehen, wie alle öffentlichen Stellen. Entsprechend sollten sie sich auch ein Stück weit daran orientieren, um mögliche Schwierigkeiten zu vermeiden, vor allem dann, wenn es zu Beschwerden bei einer Aufsichtsbehörde kommt, bzw. um solchen direkt vorzubeugen.
Bei Schulen geht es aktuell vor allem um einen Auftritt bei Instagram – ebenfalls dem Meta Konzern zugehörig und mit vergleichbaren datenschutzrechtlichen Problemen behaftet, da man damit sehr viel leichter die Schulöffentlichkeit, sprich Schüler, Eltern und Familienangehörige erreichen kann, als direkt über die Schulhomepage. Schulen sollten auf jeden Fall, in der Plattform
- die datenschutzfreundlichsten Einstellungen wählen,
- einer Verwendung der Daten von Besuchern des Instagram Profils zum Training des KI-Modells widersprechen,
- alle wichtigen Informationen immer auch einfach erreichbar auf der Schulhomepage bereitstellen und
- im Instagram Profil einen Link zur Datenschutzerklärung auf der Schulhomepage einfügen1Die Datenschutzerklärung der Schulhomepage sollte einen Passus zu Instagram enthalten.
Selbstredend sollten Schulen von allen Personen, welche im Instagram Feed abgebildet werden oder deren Namen dort erscheinen, eine Einwilligung eingeholt haben. Diese Einwilligung kann im Rahmen einer Einwilligung in die Verarbeitung von personenbezogenen Daten zur Öffentlichkeitsarbeit eingeholt werden. Dabei ist jedoch wichtig, dass Betroffene die Option haben, einer Veröffentlichung auf Instagram zu widersprechen, ohne gleich einer Nutzung ihrer Daten in sämtlichen anderen Veröffentlichtungsmedien widersprechen zu müssen.