AA+W - stock.adobe.com

EU-DSGVO und die Beschäftigtendaten aus sozialen Netzwerken

Soziale Netzwerke enthalten viele Informationen über Bewerber und Beschäftigte. Aufsichtsbehörden raten aber den Arbeitgebern davon ab, diese zu sammeln und auszuwerten.

Dürfen Drittanbieter automatisiert öffentlich zugängliche Daten aus Profilen sozialer Netzwerke wie LinkedIn sammeln, auswerten und ihren Kunden zur Verfügung stellen? Ein entsprechender Fall („hiQ Labs, Inc. v. LinkedIn Corp.”) hat in den USA für Schlagzeilen gesorgt und wird es wohl weiterhin tun. Dabei geht es nicht nur darum, ob Drittanbieter die Daten, die bei einem sozialen Netzwerk eingestellt wurden, nutzen dürfen oder nicht, es geht auch um Fragen des Datenschutzes.

Konkret bietet hiQ Labs zwei Lösungen an, die auf Basis öffentlich zugänglicher Profildaten Berichte über Beschäftigte eines Unternehmens erzeugen können, zum einen über Beschäftigte, die eine hohe Wahrscheinlichkeit aufweisen, von anderen Unternehmen abgeworben zu werden (die Lösung Keeper), zum anderen über Beschäftigte und deren Fähigkeiten (die Lösung Skill Mapper).

In den USA wurde nun erst einmal so entschieden, dass LinkedIn solche Lösungen von Drittanbietern nicht davon aussperren darf, die öffentlich zugänglichen Daten zu nutzen. Da stellt sich die Frage, ob der Datenschutz in Deutschland und in der EU und damit auch die Datenschutz-Grundverordnung (DSGVO/GDPR) zu ähnlichen Urteilen führen würden.

Datenschutz bei sozialen Netzwerken: Sorgenkind der Datenschützer

Für den Datenschutz in Deutschland ist die Frage nach der Nutzung von Daten aus sozialen Netzwerken nicht neu. Die Aufsichtsbehörden haben sich dazu bereits in einer Entschließung der 85. Konferenz am 13./14. März 2013 (Soziale Netzwerke brauchen Leitplanken) geäußert: „Angesichts der zunehmenden Bedeutung sozialer Netzwerke erinnert die Datenschutzkonferenz deren Betreiber an ihre Verpflichtung, die Einhaltung datenschutzrechtlicher Anforderungen sicherzustellen. Auch Unternehmen und öffentliche Stellen, die soziale Netzwerke nutzen, müssen diesen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Betreibern sozialer Netzwerke nicht immer hinreichend beachtet wird.“

Wie die Datenschützer damals bereits ausführten, sollte beachtet werden:

  • Bei Netzwerken, die im beruflichen Kontext genutzt werden, ist es in der dortigen Zielgruppe zwar eher unüblich, anonym beziehungsweise unter Pseudonym aufzutreten. Trotzdem gilt die Verpflichtung aus § 13 Abs. 6 TMG zur Eröffnung einer optionalen Möglichkeit, in dem Netzwerk unter Pseudonym zu handeln, auch für solche Netzwerke. Bei entsprechenden Vorgaben zur Gestaltung der Pseudonyme muss die Qualität des Netzwerkes nicht leiden, so dass eine Unzumutbarkeit für den Anbieter nicht anzunehmen ist. Die Folge liegt auf der Hand: Profile mit Pseudonym könnten nicht mehr ohne weiteres einem Beschäftigten zugeordnet werden.
  • Eine weitere Position zum Beschäftigtendatenschutz in der Vergangenheit war: Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten (also keine Nutzung der Daten durch den Arbeitgeber); dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind (wie LinkedIn).
  • Doch auch bei beruflichen sozialen Netzwerken gilt die Position: Nur öffentlich zugängliche Profildaten dürfen von den Arbeitgebern genutzt werden, um sich über einen Bewerber zu informieren. Zudem dürfen passende Kandidaten nur dann kontaktiert werden, wenn diese daran ein offensichtliches Interesse haben. Eine Kontakt-/Freundschaftsanfrage bei Bewerbern mit dem Ziel, auch an nichtöffentliche Daten aus dem Profil zu kommen, ist nicht zulässig.

Das besagen Datenschutz-Grundverordnung und neues BDSG

Die DSGVO hat mit Artikel 88 (Datenverarbeitung im Beschäftigungskontext) grundlegende Vorgaben zum Beschäftigtendatenschutz sowie eine Öffnungsklausel, die die nationalen Gesetzgeber zur weiteren Ausgestaltung nutzen können. So sollen die nationalen Vorgaben insbesondere regeln: angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

Das neue Bundesdatenschutzgesetz (BDSG-neu) besagt unter § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) insbesondere: Personenbezogene Daten von Beschäftigten (wozu im Datenschutzrecht auch Bewerber gezählt werden) dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Kann man nun daraus ableiten, dass es in Deutschland beziehungsweise in der EU erlaubt ist, öffentlich zugängliche Daten aus beruflichen sozialen Netzwerken zu nutzen, um zum Beispiel geeignete Bewerber zu finden oder mehr über die Beschäftigten zu erfahren?

Dazu sagen die Aufsichtsbehörden: „Wir empfehlen, auf die Durchführung von Pre-Employment-Screenings zu verzichten. Dem Arbeitgeber stehen genügend Möglichkeiten (beispielsweise Vorstellungsgespräch, Nachweis von Unterlagen im Original, Assessment-Center) zur Verfügung, um die richtige Personalentscheidung zu treffen.

Was aber ist mit den Beschäftigten im arbeitsrechtlichen Sinne? Bei Beschäftigten könnte die Auswertung sozialer Netzwerke je nach Art und Umfang so verstanden werden, dass die Auswertungen als Leistungs- und Verhaltenskontrolle dienen. Eine Prüfung, ob jemand das Unternehmen verlassen will beziehungsweise welche versteckten Talente jemand hat oder eben nicht, könnte entsprechend eingestuft werden. Hierzu sagen die Aufsichtsbehörden: „Wenn betriebliche Abläufe es dem Arbeitgeber grundsätzlich erlauben, Systeme einzusetzen, durch die eine dauernde Verhaltens- und Leistungskontrolle möglich ist, ist der Arbeitgeber gehalten, eine solche Kontrolle durch Betriebsvereinbarungen oder einseitige verbindliche Regelungen  auszuschließen.“ Analysen sozialer Netzwerke zu solchen Zwecken sind deshalb aus Sicht des deutschen Datenschutzes mehr als problematisch.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identitätsdiebstahl und Datensicherheitsverletzungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close