LinkedIn: Auftragsverarbeitung oder gemeinsame Verantwortung?

LinkedIn ist weit verbreitet und hat sich in der Unternehmenswelt zu einer festen Größe für die Präsentation von Unternehmen und Mitarbeitern sowie für den Austausch über berufliche Themen entwickelt. In diesem Bereich hat es Facebook den Rang abgelaufen. Es stellt sich die Frage, was aus Unternehmenssicht bei der Nutzung von LinkedIn datenschutzrechtlich zu beachten ist als auch, ob das Urteil des EuGH zu Facebook Fanpages anwendbar ist und der Betreiber der Unternehmenspräsenz damit gemeinsam mit LinkedIn verantwortlich ist.

Was ist bei der Nutzung von LinkedIn zu beachten?

Bei der Erstellung und Nutzung einer Unternehmenspräsenz auf LinkedIn sind einige rechtliche Punkte zu beachten. Die Informationspflichten nach Art. 13 DSGVO sind zu erfüllen, ein Impressum ist erforderlich und die erforderlichen datenschutzrechtlichen Verträge sind abzuschließen. Da auch der Betrieb einer LinkedIn-Unternehmenspräsenz als Verarbeitungstätigkeit gilt, muss diese in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO aufgenommen werden.

Die Informationspflichten nach Art. 13 DSGVO werden durch eine entsprechende Datenschutzerklärung erfüllt. Dabei sind folgende Punkte zu beschreiben:

• Name und Kontaktdaten des Verantwortlichen (sowie ggf. die Unterrichtung über die gemeinsame Verantwortlichkeit nach 26 DSGVO)
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke für die Datenverarbeitung und die zugehörige Rechtsgrundlage
• Bei der Verarbeitung auf Grundlage von 6 Abs. 1 lit. f) DSGVO sind zusätzlich die vom Verantwortlichen verfolgten berechtigten Interessen zu nennen
• Ein Hinweis und der Link zu den Seiten-Insights Informationen von LinkedIn
• Unterrichtung über die Betroffenenrechte

Aus dem Urteil des Landgerichts Aschaffenburg (19.08.2011, Az. 2 HK o 54/11) geht hervor, dass auch für einen geschäftlichen Facebook-Auftritt ein Impressum erforderlich ist. Dies lässt sich auch auf einen Auftritt bei LinkedIn übertragen. Nach § 5 Abs. 1 TMG sind folgende Angaben erforderlich:

• Informationen und Kontaktdaten des Betreibers: Name, ladungsfähige Anschrift, E-Mail-Adresse und Telefonnummer
• Rechtsform des Unternehmens
• Vertretungsberechtigter
• Registereintrag und Registernummer
• Umsatzsteuer-Identifikationsnummer
• Handelsregister und Registernummer
• Besondere Angaben für bestimmte Berufsgruppen, z.B. § 5 Abs. 1 Nr. 3 und 5 TMG

Darüber hinaus sind alle erforderlichen datenschutzrechtlichen Verträge abzuschließen. Hier stellt sich die Frage, ob LinkedIn als Auftragsverarbeiter oder als gemeinsam Verantwortlicher einzustufen ist. Dies wirft auch die Frage auf, ob das EuGH-Urteil zu Facebook Fanpages auch auf LinkedIn anzuwenden ist.

Das Fanpage-Urteil des EuGH

Der Streit, der mit dem bekannten EuGH-Urteil zu Facebook-Fanpages endete, begann bereits 2011, als das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mehrere öffentliche und private Stellen aufforderte, ihre Facebook-Fanpages zu deaktivieren, da die Datenverarbeitung durch Facebook nicht mit dem deutschen Datenschutzrecht vereinbar sei. Die Betreiber der Fanpages wurden für diese Verstöße mitverantwortlich gemacht.

Der Fall landete schließlich vor dem EuGH, der bestätigte, dass der Betreiber einer Facebook-Fanpage neben Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Der Betreiber ist an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage beteiligt, da er Daten abfragen kann, die es ihm ermöglichen, sein Informationsangebot zielgerichtet zu gestalten.

Das Urteil des EuGH vom 05.06.2018 – C-210/16 bezieht sich auf die Rechtslage nach der Datenschutzrichtlinie (DSRL), dem Vorgänger der DSGVO. Es ist jedoch nach wie vor aktuell, da sich die Definition der gemeinsamen Verantwortlichkeit mit der DSGVO nicht geändert hat.

Datenschutzrechtliche Verantwortlichkeit

Wenn mehrere Akteure bei der Verarbeitung personenbezogener Daten zusammenarbeiten, gibt es drei Möglichkeiten, die datenschutzrechtliche Verantwortung zuzuordnen. Es kann eine Auftragsverarbeitung, eine gemeinsame Verantwortung oder eine getrennte Verantwortung vorliegen.

Bei der Auftragsverarbeitung beauftragt ein Auftraggeber einen Auftragnehmer mit der Verarbeitung personenbezogener Daten zu einem bestimmten Zweck. Der Auftraggeber ist allein verantwortlich, der Auftragnehmer handelt weisungsgebunden. Der Auftragnehmer ist nicht an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt.

Bei der gemeinsamen Verantwortung sind mehrere Stellen gemeinsam verantwortlich. In diesem Fall legen die gemeinsam Verantwortlichen die Ziele und Mittel gemeinsam fest. Es ist nicht erforderlich, dass dies auf gleicher Augenhöhe geschieht. Es ist also möglich, dass eine Partei mehr Einfluss hat als die andere. In diesem Fall muss auch in einem Vertrag geregelt werden, wer welche in der DSGVO geregelten Pflichten zu erfüllen hat.

Getrennte Verantwortlichkeit liegt vor, wenn mehrere Beteiligte personenbezogene Daten verarbeiten, aber gerade keine gemeinsame Festlegung der Zwecke und Mittel erfolgt. Die Abgrenzung kann im Einzelfall schwierig sein, da zwar regelmäßig ein gemeinsames wirtschaftliches Interesse vorliegt, für die Beurteilung aber nur auf die konkrete Verarbeitung personenbezogener Daten abzustellen ist.

Was bedeutet das für LinkedIn?

Der EuGH begründet die Verantwortlichkeit des Betreibers einer Facebook-Fanpage für die Erstellung von Nutzerstatistiken damit, dass Facebook dem Betreiber Filter- bzw. Einstellungsmöglichkeiten zur Verfügung stellt. Diese ermöglichen es dem Betreiber, Kriterien für die Erstellung von Statistiken festzulegen. So kann er beispielsweise Statistiken über Alter, Geschlecht, berufliche Situation, Interessen etc. der Nutzer erstellen lassen. Diese detaillierte Begründung der gemeinsamen Verantwortung zeigt, dass nicht automatisch für jede Datenverarbeitung innerhalb eines sozialen Netzwerks eine gemeinsame Verantwortung zwischen dem Anbieter und dem Betreiber einer Fanpage besteht.

LinkedIn verarbeitet personenbezogene Daten, um dem Betreiber der Unternehmenspräsenz sog. „Page Insights“ bereitzustellen. Insbesondere verarbeitet LinkedIn die vom Mitglied an LinkedIn übermittelten Daten wie berufliche Funktion, Land, Branche, Dienstalter, Unternehmensgröße und Daten zum Beschäftigungsstatus aus dem Profil des Mitglieds.

LinkedIn stellt dem Betreiber also auch Statistiken über personenbezogene Daten mit Filter- bzw. Einstellungsmöglichkeiten zur Verfügung. Damit dürfte eine gemeinsame Verantwortlichkeit für die Insights anzunehmen sein. Hier sollte im Zweifel ein solcher Vertrag geschlossen werden, da nur der Nichtabschluss eines Vertrags über die Verantwortlichkeit gem. Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10.000.000 Euro oder bis zu 2 % des Konzernumsatzes geahndet werden kann.

LinkedIn stellt im Mitgliederbereich zwar einen solchen Vertrag zur Verfügung (Page Insights Joint Controller Addendum (the “Addendum”), ob dieser jedoch der Prüfung durch eine Aufsichtsbehörde standhält, steht auf einem anderen Blatt.

Webinar zum Thema Auftragsverarbeitung

Haben Sie noch Fragen zum Thema Auftragsverarbeitung? Dann ist unser Webinar “Auftragsverarbeitung in der Praxis” genau das Richtige für Sie! In diesem Webinar werden wir alle offenen Fragen zum Thema Auftragsverarbeitung klären. Unsere Experten werden Ihnen praxisnahe Beispiele und Lösungen präsentieren, die Ihnen helfen, die Anforderungen der Auftragsverarbeitung in Ihrem Unternehmen effektiv umzusetzen.

Dienstag, den 14. November 2023
von 9:30 bis 12:00 Uhr

Donnerstag, den 07. März 2024
von 9:30 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.