Nach eigener Auskunft zählte das Business Network XING im März 2010 weltweit 9,2 Millionen Mitglieder (davon 708.000 zahlende Premium-Mitglieder). Auf LinkedIn sollen eigenen Angaben zufolge weltweit sogar mehr als 75 Millionen Fach- und Führungskräfte aktiv sein.

Urteil aus England

Bereits im Jahr 2008 sah sich ein Gericht in England mit folgendem Fall konfrontiert: Ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich im Online-Netzwerk LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk LinkedIn. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweisungen auf LinkedIn vor. Das Gericht verurteilte den Beschäftigten schließlich zur Herausgabe seines LinkedIn-Accounts an den Arbeitgeber.
Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?

Unterstellt man nun, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Herausgabeverlangen auch datenschutzrechtlich zulässig wäre.

Das Bundesdatenschutzgesetz (BDSG) ist grundsätzlich anwendbar

Das BDSG wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Diese Ausnahme greift aus unserer Sicht für den Beschäftigten nicht. Bei der Nutzung einer Plattform wie XING oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Das BDSG ist mithin anwendbar.

Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG

Nach dem System des Datenschutzrechtes wäre eine Übermittlung des XING-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn „[das BDSG] oder eine andere Rechtsvorschrift [hat] dies erlaubt oder (…) [angeordnet] oder der Betroffene [hat] eingewilligt“ (§ 4 Abs. 1 BDSG). Zunächst einige Ausführungen zum Thema „Einwilligung“.

Das Problem der Einwilligung: an wen richtet sie sich?

Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei XING oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat (auch wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt).

Einwilligungserklärung muss genau betrachtet werden

XING formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen: „Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“. Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides. Insgesamt weist vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen.
Damit liegt per se keine Einwilligung der Betroffenen (sprich der XING- bzw. LinkedIn-Kontakte) vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.

Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?

Als Rechtsgrundlage für eine Übermittlung könnte im Grundsatz auch § 11 BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf XING oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.

Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?

Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne von § 11 BDSG zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf XING bzw. LinkedIn hat. Auch wenn die Unternehmenskunden im privaten XING- bzw. LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine so genannte „Mischdatenverarbeitung“ und damit kein Fall des § 11 BDSG vor.

Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?

Auch § 28 Abs. 1 S. 1 Nr. 1/2 BDSG scheidet nach unserer Auffassung als datenschutzrechtliche Erlaubnisnorm für eine Übermittlung der Daten aus: weder ist die Herausgabe der Kontaktdaten „erforderlich“ im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG, noch fällt die Interessenabwägung in § 28 Abs. 1 S. 1 Nr. 2 BDSG zu Gunsten der Übermittlung aus, da anzunehmen ist, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt. Mit den gleichen Argumenten würde im Übrigen auch eine Übermittlung auf Grundlage von 28 Abs. 2 BDSG ausscheiden.

Fazit

Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Herausgabeanspruch unserer Ansicht nach das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für die Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.