IITR Datenschutz Blog

Datenschutz: Herausgabe der XING-Daten an den Arbeitgeber?

10.08.2010

Geschäftskontakte werden heutzutage nicht mehr im klassischen Adressbuch sondern über Internetplattformen wie XING und LinkedIn verwaltet. Was passiert nun mit jenen Kontaktdaten, die über diese Internetplattformen im Rahmen eines Beschäftigungsverhältnisses gesammelt wurden, wenn das Beschäftigungsverhältnis endet? Muss der Beschäftigte beispielsweise seine XING-Daten an den Arbeitgeber herausgeben? Was das deutsche Datenschutzrecht hierzu sagt, lesen Sie im folgenden Beitrag.

Hintergrund: ein Urteil aus England

Bereits im Jahr 2008 wurde ein ähnlich gelagerter Fall in England entschieden: ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich im Online-Netzwerk LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk LinkedIn. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweisungen auf LinkedIn vor. Ein Gericht in England verurteilte den Beschäftigten schließlich zur Herausgabe seines LinkedIn-Accounts an den Arbeitgeber.

Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?

Unterstellt man nun, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Herausgabeverlangen auch datenschutzrechtlich zulässig wäre.

Das Bundesdatenschutzgesetz („BDSG“) ist grundsätzlich anwendbar

Das BDSG wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Diese Ausnahme greift aus unserer Sicht für den Beschäftigten nicht. Bei der Nutzung einer Plattform wie XING oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Das BDSG ist mithin anwendbar.

Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG

Nach dem System des Datenschutzrechtes wäre eine Übermittlung des XING-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn „[das BDSG] oder eine andere Rechtsvorschrift [hat] dies erlaubt oder (…) [angeordnet] oder der Betroffene [hat] eingewilligt“ (§ 4 Abs. 1 BDSG). Zunächst einige Ausführungen zum Thema „Einwilligung“.

Das Problem der Einwilligung: an wen richtet sie sich?

Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei XING oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat (auch wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt).

 

Einwilligungserklärung muss genau betrachtet werden

XING formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen: „Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“. Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides. Insgesamt weist vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen.

Damit liegt per se keine Einwilligung der Betroffenen (sprich der XING- bzw. LinkedIn-Kontakte) vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.

Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?

Als Rechtsgrundlage für eine Übermittlung könnte im Grundsatz auch § 11 BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf XING oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.

Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?

Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne von § 11 BDSG zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf XING bzw. LinkedIn hat. Auch wenn die Unternehmenskunden im privaten XING- bzw. LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine so genannte „Mischdatenverarbeitung“ und damit kein Fall des § 11 BDSG vor.

Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?

Auch § 28 Abs. 1 S. 1 Nr. 1/2 BDSG scheidet nach unserer Auffassung als datenschutzrechtliche Erlaubnisnorm für eine Übermittlung der Daten aus: weder ist die Herausgabe der Kontaktdaten „erforderlich“ im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG, noch fällt die Interessenabwägung in § 28 Abs. 1 S. 1 Nr. 2 BDSG zu Gunsten der Übermittlung aus, da anzunehmen ist, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt. Mit den gleichen Argumenten würde im Übrigen auch eine Übermittlung auf Grundlage von § 28 Abs. 2 BDSG ausscheiden.

Fazit

Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Herausgabeanspruch unserer Ansicht nach das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für die Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.

 

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-1891 7360
E-Mail: email@iitr.de

 

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

 

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

3 Kommentare zu diesem Beitrag:

Florian Heigl

Hallo,

habe ich das nun Recht verstanden, dass im Originalfall in England dem Arbeitgeber alle der LinkedIn Kontakte vom Mitarbeiter uebergeben worden waren, als Links zu LinkedIn?
d.h. der Arbeitgeber war nur zu unfaehig, einen eigenen Account zu erstellen und den Kontakt zu den Kunden zu erneuern?

Oder war es technisch nicht moeglich?

Hannes

Schoener Blog, gefaellt mir super. Auch gute Themen.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif