Zum Inhalt springen Zur Navigation springen
Social Enterprise Networks und Datenschutz

Social Enterprise Networks und Datenschutz

Soziale Netzwerke sind aus der externen Kommunikation von Unternehmen nicht mehr wegzudenken. Unter dem Begriff Social Business oder Enterprise 2.0 werden solche Plattformen seit einiger Zeit verstärkt auch in Form von Social Enterprise Networks (SEN) zur internen Kommunikation verwendet.

Was sind Social Enterprise Networks?

SEN bieten gerade in größeren und internationalen Konzernen sehr umfangreiche Kommunikationsmöglichkeiten und werden u.a. zu folgenden Zwecken eingesetzt:

  • Förderung der unternehmens- oder konzerninternen Zusammenarbeit der Mitarbeiter
  • Förderung des fachlichen Austauschs zwischen Mitarbeitern
  • Teilen und Bearbeiten von Dokumenten
  • Erleichterung der unternehmensinternen Kommunikation

Der Einsatz von Social Enterprise Networks hat das Potential, den Austausch von Informationen innerhalb eines Unternehmens oder Konzerns erheblich zu beschleunigen und soll Studien zufolge dazu beitragen können, die Produktivität und die Effizienz im Unternehmen zu erhöhen.

Rechtsgrundlage der Datenverarbeitung

Bei Nutzung eines Social Enterprise Networks werden – wie bei allen sozialen Netzwerken – zwangsweise jedoch auch umfangreich personenbezogene Daten der Mitarbeiter erhoben und verarbeitet. Daher sind die einschlägigen datenschutzrechtlichen Vorschriften zu beachten.

Nach dem Verbot mit Erlaubnisvorbehalt bedarf es einer Rechtsgrundlage für den Einsatz von SEN und der damit verbundenen Datenverarbeitung. Es sind vier Rechtsgrundlagen denkbar:

1. § 32 BDSG

Üblicherweise wird im Rahmen von Beschäftigungsverhältnissen zunächst die Spezialvorschrift des § 32 BDSG als Rechtsgrundlage herangezogen. Im Fall von Social Enterprise Networks kommt sie jedoch nicht in Betracht, da der Einsatz eines unternehmensinternen Sozialen Netzwerks zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses nicht erforderlich im Sinne des Gesetzes ist.

2. § 28 Abs. 1 Satz 1 Nr. 2 BDSG

Nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist eine Verwendung von Beschäftigtendaten zulässig, wenn sie zur Wahrung von berechtigten Interessen des Arbeitgebers erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verwendung überwiegen.

Die eingangs erwähnten Zwecke stellen zwar in der Regel berechtigte Unternehmensinteressen dar. Allerdings lässt sich diese Frage mit Sicherheit nur im Einzelfall beantworten. Dies ist bei einem SEN ob der üblicherweise sehr umfangreichen Funktionen nicht ohne weiteres möglich.

Es müssten in jedem Einzelfall die schutzwürdigen Interessen der Mitarbeiter berücksichtigt und abgewogen werden. Eine datenschutzrechtliche Rechtfertigung über § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist deshalb im Ergebnis zwar möglich, aber nicht pauschal zu bejahen.

3. Betriebsvereinbarung

Nach § 4 Abs. 1 BDSG kommt auch eine Betriebsvereinbarung im Sinne einer anderen Rechtsvorschrift als Rechtsgrundlage für die Datenverwendung in Betracht, sofern ein Betriebsrat vorhanden ist.

Allerdings ist auch eine Betriebsvereinbarung allein in der Praxis nicht unbedingt gut geeignet, im Falle von Social Enterprise Networks die datenschutzrechtliche Zulässigkeit herzustellen.

  • Eine Betriebsvereinbarung gilt nicht automatisch für sämtliche Mitarbeiter eines Konzerns, soweit kein Konzernbetriebsrat besteht.
  • Nicht alle Mitarbeiter werden erfasst. Führungskräfte z.B. sind vom Geltungsbereich ausgeschlossen.
  • An Betriebsvereinbarungen als belastbare Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG sind inhaltlich hohe Anforderungen zu stellen

4. Einwilligung der Mitarbeiter

Als Rechtsgrundlage für einen datenschutzrechtlich zulässigen Einsatz von sozialen Unternehmensnetzwerken kommt jedoch eine Einwilligung der Mitarbeiter in Betracht, wenn folgende Voraussetzungen erfüllt sind:

  • Die Einwilligung muss bewusst und eindeutig erteilt werden.
  • Die Einwilligung und damit auch die Teilnahme am SEN muss freiwillig erteilt werden.
  • Die Einwilligung muss mit Wirkung für die Zukunft jederzeit widerrufbar sein, wobei die besonderen Umstände des Arbeitsverhältnisses zu beachten sind.

Eine Einwilligung kann im Falle von Social Enterprise Networks auch elektronisch eingeholt werden, etwa bei der ersten Registrierung oder Anmeldung des Mitarbeiters.

Datensparsamkeit und Co.

Im Rahmen datenschutzkonformen Nutzung von SEN sollten auch die weiteren Grundgedanken des Datenschutzrechts, wie die Datensparsamkeit berücksichtigt werden. Die notwendigen Profilangaben der Mitarbeiter z.B. sollten auf das unbedingt Erforderliche begrenzt und darüber hinaus freiwillig sein.

Auftragsdatenverarbeitung durch externe Anbieter

Sollte es sich bei der Plattform des Social Enterprise Networks um eine Lösung eines externen Anbieters, wie etwa Yammer, Chatter oder Asana, handeln, dürfte zwischen dem Unternehmen und dem Anbieter ein Vertrag über die Auftragsdatenverarbeitung erforderlich sein.

Wenn dieser Anbieter sich außerhalb der EU befindet, sind zudem die besonderen Anforderungen an Datenübermittlungen in Drittstaaten zu beachten. Gleiches gilt unter Umständen bei weltweit operierenden Konzernen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • @ Dr. Datenschutz

    Mit Verlaub – Ihre Ausführungen sind doch weltfremd. Ein Arbeitgeber wird seinen Mitarbeiter die Nutzung eines SEN vorgeben und keine Wahlmöglichkeit geben. Selbst wenn zur rechlichen Absicherung des Arbeitgebers(!) eine Einwilligungserklärung vom Mitarbeiter verlangt wird, kann diese niemals freiwillig sein in einem für die eine Vertragsseite existenziellen Abhängigkeitsverhältnis. Wer nicht mitmacht, wird mindestens gemobbt und früher oder später gekündigt – ein Grund findet sich immer. So sieht die rauhe Welt aus!

    Beim E-Mail-System gibt es ja auch keine Wahl für die Mitarbeiter. Jeder hat E-Mail zu nutzen. Punkt.

    Insgesamt möchte ich Ihren guten Willen bei Ihren Blogbeiträgen zum Arbeitnehmerdatenschutz lobend anerkennen. Allerdings verkennen Sie die herrschenden Verhältnisse in der Arbeitswelt völlig. Das eklatante Machungleichgewicht zwischen Arbeitgeber und Arbeitnehmer führt immer zur Einschüchterung des Arbeitnehmers. Selbst wer sich gegen seinen Arbeitgeber rechtlich wehrt, ist die längste Zeit Mitarbeiter gewesen. Was nützt ein gewonnenes Gerichtsverfahren, wenn man am Ende seinen Job los ist?

    • Der Vergleich mit dem Email-System hinkt m.E. etwas. Dort kann sich der Arbeitgeber auf sein Weisungsrecht beziehen und die Verwendung ist iRd. § 32 BDSG als (zwingend) erforderlich für die Durchführung des Arbeitsverhältnisses anzusehen.
      Beim Social Enterprise Network muss m.E. unterschieden werden: Soll es ein Ort sein, an dem kollaborativ zusammengearbeitet wird, kann nach meiner Auffassung schon an § 32 gedacht werden. Wenn es um die Abgabe von Meinungsäußerungen (Gefällt mir/Bewertung nach Sternen) geht, kommt man aber um die Einwilligung nicht hinaus, da eine Erforderlichkeit selten gegeben sein wird. Dazu kommt z.B. bei Konzernen die Frage der internen Datenübermittlungen (#KeinKonzernprivileg).
      Dass die Arbeitswelt ist, wie beschrieben, mag sein. Die Freiwilligkeit im Arbeitsverhältnis ist eine spannende und viel diskutierte Frage.

  • Guter Beitrag, ein Hinweis sei aber gestattet: Nach der Rechtsprechung des BAG Urteil vom 11.12.2014, 8 AZR 1010/13 ist davon auszugehen, dass im Arbeitsverhältnis die Schriftform entsprechend § 4a BDSG gilt und kein Fall vorliegt, der diese ausnahmsweise entbehrlich macht. Dies selbst wenn es wie hier zu einem Medienbruch führt.

    • Vielen Dank für die Kritik und den Hinweis. Das zitierte Urteil bezieht sich in der Argumentation auf den Wertungswiderspruch zwischen § 20 KUG, der gar keine Formerfordernisse für eine Einwilligung vorsieht und § 4a BDSG. In diesem Zusammenhang ist es richtig, eine schriftliche Einwilligung zu fordern.

      Trotz des Wortlautes der Entscheidung – „Wegen der Bedeutung des Rechts der Arbeitnehmer, auch im Arbeitsverhältnis ihr Grundrecht auf informationelle Selbstbestimmung ausüben zu dürfen, führt eine solche Abwägung im Ergebnis dazu, dass auch und gerade im Arbeitsverhältnis die Einwilligung der Arbeitnehmer der Schriftform bedarf.“ – halte ich es jedoch für nicht sachgerecht und auch nicht praktikabel, im Arbeitsverhältnis stets eine schriftliche Einwilligung zu fordern.

      Wie Sie richtig feststellen, würde eine schriftliche Einwilligung hier zu einem Medienbruch führen. Außerdem könnten, da wir uns im Bereich des TMG bewegen, die dortigen Voraussetzungen an eine elektronische Einwilligung herangezogen werden. Im Gegensatz zum KUG enthält das TMG ja gerade Anforderungen an eine Einwilligung, so dass ein Wertungswiderspruch, wie in dem Urteil des BAG, hier ausgeschlossen werden kann. Es sprechen daher gute Gründe dafür, dass eine schriftliche Einwilligung hier entbehrlich ist.

  • Wie sehen sie die Entwicklung im Rahmen der DSGVO, insbesondere hinsichtlich der Rechtsgrundlage? Facebook und Google+ werden mittlerweile ja oftmals auch in Unternehmen benutzt, wobei der Nutzerkreis auf das jeweilige Unternehmen begrenzt ist.

    • Als Rechtsgrundlage nach Art. 6 DSGVO könnten entweder Art. 6 (1) lit.f „berechtigten Interesse“ oder Art. 6 (1) lit.a „Einwilligung“ in Frage kommen. Bei der Abwägung des berechtigten Interesses des Unternehmens, gegen die Interessen oder Grundrechte der betroffenen Person, ist es wichtig, die berechtigten Interessen des Verantwortlichen, sauber zu dokumentieren. In jedem Fall sollte der Einzelfall genau analysiert werden, bevor ein möglicher Datentransfer stattfindet.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.