Beschäftigtendatenschutz: Social Media und E-Mail-Nutzung

Zusammenfassung

Überblick

Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen.

Die beiden hier behandelten Themen zum Einsatz von Social Media im Unternehmen und der Umgang mit dem E-Mail-Account des Mitarbeiters werden weder durch die DSGVO, noch durch das BDSG 2018 direkt geregelt. Vielmehr sind hier die allgemeinen Grundsätze der beiden Vorschriften zu beachten. Präsentiert sich ein Unternehmen heute im Internet und in sozialen Netzwerken, so gilt es eine Fülle von gesetzlichen Regelungen zu beachten – aber wie unterweise ich meine Mitarbeiter korrekt im Umgang mit den Medien und wie sichert man das Unternehmen haftungsrechtlich ab?

Der nachfolgende Artikel gibt einen Überblick über den Umgang mit "Social Media" im Unternehmen und die Nutzung des betrieblichen E-Mail-Accounts. Der Artikel soll dem Leser eine Handreichung zum konkreten Umgang im Alltag damit sein. Gerade zum Thema Nutzung des betrieblichen E-Mail-Accounts sind zentrale rechtliche Fragen bis heute nicht geklärt. Zudem wird unter anderem hierzu ein Überblick über den aktuellen Stand der Rechtsprechung und die Ansicht der deutschen Datenschutzaufsichtsbehörden dargestellt.

1 Social Media und Datenschutz

Die Nutzung von sozialen Netzwerken inklusive des Knüpfens und Pflegens von (Geschäfts-)Kontakten ist für Millionen Deutsche und Milliarden Menschen weltweit zum Alltag geworden. Für viele sind solche Netzwerke ein wichtiger Bestandteil des sozialen Miteinanders in ihrem Leben. So verwundert es nicht, dass sich berufliche, private und auch geschäftliche Interessen hier berühren und auch miteinander kollidieren können.

Einerseits steht die private Nutzung solcher Netzwerke während der Arbeitszeit im Widerspruch zum Interesse des Arbeitgebers, dass die Arbeitszeit nicht für private Vergnügungen genutzt werden darf. Andererseits sehen viele Arbeitgeber mittlerweile die privaten Netzwerke ihrer Mitarbeiter als Quelle an, um diese auch für geschäftliche Zwecke zu nutzen. Um Spannungen zwischen der privaten und der betrieblichen Nutzung möglichst gar nicht entstehen zu lassen, sind die Arbeitgeber gefordert, entsprechende Regelungen im Unternehmen einzuführen und die Einhaltung der Regelungen auch zu überwachen.

1.1 Social Media im Recruiting

Nach § 26 Abs. 8 Satz 2 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als "Beschäftigte". Folglich finden auch auf die Verarbeitung von personenbezogenen Daten von Bewerbern die Regelungen zum Beschäftigtendatenschutz Anwendung. Eine Verarbeitung von personenbezogenen Daten von Bewerbern ist nach § 26 Abs. 1 BDSG^[1] dann zulässig, wenn diese für die Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich ist. Bei der Klärung der Frage, ob eine Verarbeitung erforderlich ist, sind die Interessen des Unternehmens und der Beschäftigten möglichst weitgehend zu berücksichtigen.^[2]

[1] Ob nach dem Urteil des EuGH (C-34/21) § 26 Abs. 1 BDSG anwendbar ist, ist derzeit noch unklar. Allerdings könnte im Fall der Unanwendbarkeit Art. 6 Abs. 1b DSGVO als Rechtsgrundlage dienen, für den dieselben Voraussetzungen gelten.

[2] BT-Drucksache 18/11325, S. 97.

1.1.1 Aktive Bewerbersuche in Sozialen Medien

Begibt sich ein Unternehmen auf die aktive Bewerbersuche in beruflich orientierten sozialen Netzwerken wie LinkedIn und Xing, so haben die Inhaber der abgefragten Profile logischerweise hiervon keine Kenntnis. Auch wenn die Bewerber teilweise einsehen können, welche Unternehmen bzw. Mitarbeiter das Profil eingesehen haben, wissen die potenziellen Kandidaten nicht, dass das Unternehmen auf aktiver Suche nach geeignetem Personal ist. Daher wird im Regelfall das Interesse der Kandidaten an der Nicht-Verarbeitung der Daten durch das Unternehmen überwiegen, sodass eine Verarbeitung dieser Daten nur mit Einwilligung der anzusprechenden Person zulässig ist.

Sofern sich Kandidaten in einem solchen Netzwerk jedoch durch entsprechende Einstellung für neue Möglichkeiten offen zeigen, z. B. indem diese ihr Profil mit "#OpenToWork" oder "#OffenfürJobangebote" kennzeichnen, dürften die Interessen des Unternehmens an der Verarbeitung dieser Daten regelmäßig überwiegen, sodass hier eine Verarbeitung zulässig sein dürfte. Gleichwohl sind die Kandidaten nach Art. 14 DSGVO über die Verarbeitung zu informieren, insbesondere, dass Daten aus dem Netzwerk erhoben wurden.

Eine aktive Bewerbersuche und die daran anschließende Verarbeitung ist folglich dann datenschutzrechtlich zulässig, wenn die Kandidaten ihre Profile entsprechend gekennzeichnet haben, oder wenn diese ihre Einwilligung in die Verarbeitung erklärt haben.

Bei der aktiven Ansprache sind aber darüber hinaus die Regelungen des Wettbewerbsrechts zu beachten und einzuhalten.

1.1.2 Durchführen einer Social Media-Recherche bei eingehenden Bewerbungen

Haben sich die Kandidaten beim Unternehmen selbst beworben, stellt sich vielen Unternehmen die Frage, ob die geeigneten Kandidaten einem "Social Media Check", also einer Recher...