Datenschutz: Herausgabe der XING-Daten an den Arbeitgeber?
Geschäftskontakte werden heutzutage nicht mehr im klassischen Adressbuch sondern über Internetplattformen wie XING und LinkedIn verwaltet. Was passiert nun mit jenen Kontaktdaten, die über diese Internetplattformen im Rahmen eines Beschäftigungsverhältnisses gesammelt wurden, wenn das Beschäftigungsverhältnis endet? Muss der Beschäftigte beispielsweise seine XING-Daten an den Arbeitgeber herausgeben? Was das deutsche Datenschutzrecht hierzu sagt, lesen Sie im folgenden Beitrag.
Inhaltsverzeichnis
- Hintergrund: ein Urteil aus England
- Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?
- Das Bundesdatenschutzgesetz („BDSG“) ist grundsätzlich anwendbar
- Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG
- Das Problem der Einwilligung: an wen richtet sie sich?
- Einwilligungserklärung muss genau betrachtet werden
- Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?
- Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?
- Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?
- Fazit
Hintergrund: ein Urteil aus England
Bereits im Jahr 2008 wurde ein ähnlich gelagerter Fall in England entschieden: ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich im Online-Netzwerk LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk LinkedIn. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweisungen auf LinkedIn vor. Ein Gericht in England verurteilte den Beschäftigten schließlich zur Herausgabe seines LinkedIn-Accounts an den Arbeitgeber.
Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?
Unterstellt man nun, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Herausgabeverlangen auch datenschutzrechtlich zulässig wäre.
Das Bundesdatenschutzgesetz („BDSG“) ist grundsätzlich anwendbar
Das BDSG wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Diese Ausnahme greift aus unserer Sicht für den Beschäftigten nicht. Bei der Nutzung einer Plattform wie XING oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Das BDSG ist mithin anwendbar.
Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG
Nach dem System des Datenschutzrechtes wäre eine Übermittlung des XING-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn „[das BDSG] oder eine andere Rechtsvorschrift [hat] dies erlaubt oder (…) [angeordnet] oder der Betroffene [hat] eingewilligt“ (§ 4 Abs. 1 BDSG). Zunächst einige Ausführungen zum Thema „Einwilligung“.
Das Problem der Einwilligung: an wen richtet sie sich?
Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei XING oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat (auch wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt).
Einwilligungserklärung muss genau betrachtet werden
XING formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen:
„Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“.
Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides. Insgesamt weist vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen.
Damit liegt per se keine Einwilligung der Betroffenen (sprich der XING- bzw. LinkedIn-Kontakte) vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.
Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?
Als Rechtsgrundlage für eine Übermittlung könnte im Grundsatz auch § 11 BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf XING oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.
Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?
Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne von § 11 BDSG zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf XING bzw. LinkedIn hat. Auch wenn die Unternehmenskunden im privaten XING- bzw. LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine so genannte „Mischdatenverarbeitung“ und damit kein Fall des § 11 BDSG vor.
Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?
Auch § 28 Abs. 1 S. 1 Nr. 1/2 BDSG scheidet nach unserer Auffassung als datenschutzrechtliche Erlaubnisnorm für eine Übermittlung der Daten aus: weder ist die Herausgabe der Kontaktdaten „erforderlich“ im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG, noch fällt die Interessenabwägung in § 28 Abs. 1 S. 1 Nr. 2 BDSG zu Gunsten der Übermittlung aus, da anzunehmen ist, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt. Mit den gleichen Argumenten würde im Übrigen auch eine Übermittlung auf Grundlage von 28 Abs. 2 BDSG ausscheiden.
Fazit
Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Herausgabeanspruch unserer Ansicht nach das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für die Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© shoot4u - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare