Gehören Xing-Daten Arbeitnehmer oder Arbeitgeber?

Geschäftskontakte werden heute zunehmend nicht mehr im klassischen Adressbuch, sondern über Internetplattformen wie Xing oder LinkedIn gesammelt und verwaltet. Das ist praktisch, wirft aber ganz neue Probleme auf: Während es bisher klar war, dass die Visitenkartensammlung oder die Kontaktdaten im Adressbuch des Mail-Programms der Firma gehören, ist es bei den in den Plattformen gespeicherten Daten schwieriger – schließlich handelt es sich um persönliche, möglicherweise sogar private Accounts. Andererseits wurden sie – zumindest auch – durch die berufliche Tätigkeit befüllt.

Bereits im Jahr 2008 wurde in Großbritannien ein ähnlich gelagerter Fall verhandelt: ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich bei LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweise vor. Es kam zur gerichtlichen Auseinandersetzung die damit endete, dass der Beschäftigten seinen LinkedIn-Account an den Arbeitgeber herausgeben musste.

Unterstellt man, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des Xing- oder LinkedIn-Accounts eines Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Verlangen auch datenschutzrechtlich zulässig wäre.


Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und Mitautor dieses ZDNet-Gastbeitrags (Bild: IITR).

Zunächst einmal ist zu klären, ob das Bundesdatenschutzgesetz (BDSG) grundsätzlich anwendbar ist. Es wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt. Diese Ausnahme greift aus Sicht des IITR für den Beschäftigten jedoch nicht. Bei der Nutzung einer Plattform wie Xing oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Mithin ist das BDSG anwendbar.

Herausgabe wäre „Übermittlung“ im Sinne des BDSG

Nach dem System des Datenschutzrechtes wäre eine Übermittlung des Xing-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn das BDSG oder eine andere Rechtsvorschrift würde dies erlauben oder anordnen oder der Betroffene willigt ein.

Das klingt einfach und schlüssig, ist es aber nicht unbedingt. Denn bereits der Begriff Einwilligung stellt ein Problem dar: An wen richtet sie sich eigentlich? Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei Xing oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat. Zudem wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt.

Xing formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen: „Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“. Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides.

Insgesamt weist aber vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen. Damit liegt per se keine Einwilligung der Betroffenen – sprich der Xing- beziehungsweise LinkedIn-Kontakte – vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.

Paragraf 11 des BDSG als Rechtsgrundlage?

Als Rechtsgrundlage für eine Übermittlung könnte grundsätzlich auch Paragraf 11 des BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf Xing oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.

Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne des Paragrafen zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf Xing beziehungsweise LinkedIn hat. Auch wenn die Unternehmenskunden im privaten Xing- oder LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine sogenannte „Mischdatenverarbeitung“ vor – und damit kein Fall des Paragraf 11 des BDSG.

Auch auf Paragraf 28 BDSG kann sich unserer Auffassung nach der Arbeitgeber nicht berufen, um die Übermittlung der Daten zu erzwingen. Die Herausgabe der Kontaktdaten ist weder im Sinne des Paragrafen „erforderlich“, noch fällt die dort verlangte Interessenabwägung zu Gunsten der Übermittlung aus. Schließlich ist anzunehmen, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt.

Fazit

Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des Xing oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Anspruch nach Ansicht des IITR das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden, sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.

AUTOR

Die Autoren

Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter, Alma Lena Fritz Rechtsassessorin im IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissendschaftlichen Beirat unterstützt.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago