Social Media und Recht
Wo IT-Chefs bei Social Media der Schuh drückt
Monitoring der Mitarbeiter
Frage von Bernhard Thomas: Inwiefern darf ein Unternehmen seine Mitarbeiter (Dialoge und Content) auf einer internen sozialen Plattform "monitoren"?
Ulbricht: Datenschutzrechtlich ist die Zulässigkeit von Internet-Recherchen nach Personen umstritten. Die daraus resultierenden Unsicherheiten für Arbeitgeber hat auch der Gesetzgeber erkannt und wollte mit der Neuregelung zum Beschäftigten-Datenschutz Klärung schaffen. Doch das Vorhaben wurde wieder von der Tagesordnung genommen und liegt vorerst auf Eis.
Nichtsdestoweniger ist zu fragen, was in datenschutzrechtlicher Hinsicht bei der Recherche über Bewerber und Beschäftigte im Internet zulässig ist. Denn bei einem Verstoß drohen neben aufsichtsrechtlichen Sanktionen auch Schadensersatzansprüche der Betroffenen und Schaden für die Unternehmensreputation. Im Hinblick auf die ComplianceCompliance des Unternehemens empfiehlt unsere Kanzlei mittleren und größeren Betrieben, die Personalabteilung zu sensibilisieren und ihnen verständliche Richtlinien an die Hand zu geben, um rechtskonform nach Bewerbern und Mitarbeitern zu "suchen". Alles zu Compliance auf CIO.de
Informieren und sensibilisieren
Dass eine Internet-Recherche über Bewerber und Mitarbeiter nur eingeschränkt zulässig ist, ist vielen Mitarbeitern der Personalabteilungen überhaupt noch nicht bekannt. Paragraf 32 Absatz 1 BDSG erlaubt eine Datenverarbeitung, wenn sie für die Entscheidung über Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich und insgesamt verhältnismäßig ist. Paragraf 28 Absatz 1 Nr. 3 BDSG hingegen ermächtigt die Unternehmen (unabhängig vom Bestehen eines Arbeitsverhältnisses) ausdrücklich dazu, "allgemein zugängliche" Daten zu erheben, falls nicht die "überwiegenden Interessen" des Betroffenen gegen diese Maßnahme sprechen.
Nur zulässige Medien nutzen
Wo im Internet recherchiert werden darf, richtet sich danach, was unter dem Begriff "allgemein zugängliche Daten" zu verstehen ist. Anerkanntermaßen sind hiervon auf jeden Fall solche Informationen erfasst, die über Suchmaschinen zugänglich sind.
Schwieriger gestaltet sich hingegen die Frage, ob eigentlich alle Daten in sozialen Netzwerken "allgemein zugänglich" sind. Wahr ist das sicher für Informationen, die auch ohne Anmeldung abrufbar sind.
Umstritten ist hingegen, ob darunter auch solche Daten fallen, die erst nach Anmeldung verfügbar sind. In dieser Frage wird zum Teil zwischen berufs- und freizeitorientierten Netzwerken unterschieden. Dass die Recherche in berufsorientierten Netzwerken wie Linkedin und Xing zulässig sein soll, leuchtet ein, hat hier der Arbeitnehmer die Informationen doch gerade für mögliche künftige Arbeitgeber bereitgestellt.
Was die Recherche in freizeitorientierten sozialen Netzwerken betrifft, besteht Einigkeit nur insoweit, als Daten, die gezielt für einen eingeschränkten Kreis von "Freunden" bereitgestellt wurden, nicht allgemein zugänglich sind. Sind sie aber innerhalb eines Netzwerks ohne Weiteres einsehbar, wird es sich kaum um einen geschützten Bereich handeln. Die Anmeldung ist ja problemlos für jeden möglich. Einige bestreiten das allerdings und betonen, dass sämtliche Daten in einem freizeitorientierten sozialen Netzwerk nur für private Zwecke zur Verfügung stünden. Da eine klarstellende Regelung durch den Gesetzgeber nicht absehbar ist, empfiehlt es sich, die Recherche über Bewerber und Beschäftigte auf das unproblematisch Zulässige zu beschränken.
- Vor dem Start
Bevor CIOs in sozialen Netzwerken aktiv werden, sollten sie sich informieren, wie das Thema bei ihrem Arbeitgeber gehandhabt wird. Mittlerweile gibt es in vielen Unternehmen Social Media Guidelines mit Verhaltensregeln, wie Beschäftigte sich in sozialen Netzwerken bewegen sollten, wenn sie als Mitarbeiter des Unternehmens nach außen auftreten. - Eine klare Strategie überlegen
Idealerweise überlegt man sich vor den ersten Aktivitäten, warum man in sozialen Netzwerken aktiv sein möchte. Möchte man sich als Experte zu einem Thema positionieren, über die Produkte des Arbeitgebers schreiben oder neue Mitarbeiter finden? - Zielgruppe festlegen
Steht die Strategie, fällt es dem CIO leichter, die Zielgruppe für seine Social Media-Aktivitäten zu definieren. - Aktivitäten auswählen
Kennt man seine Strategie und seine Zielgruppe, trifft man die Entscheidung für konkrete Plattformen. Das können Xing, Linkedin und je nach Branche auch Facebook sein. Vielleicht ist auch ein Blog der richtige Kommunikationskanal für Strategie und Zielgruppe. - Auf den Umgang mit persönlichen Informationen achten
Wer als CIO in sozialen Netzwerken aktiv ist, sollte auch seine persönlichen Informationen pflegen. Das bedeutet nicht, dass man viel über sich preisgeben muss. Man sollte jedoch darauf achten, dass die Profile keine veralteten Daten enthalten und man Privates und Berufliches nicht vermischt. Wer auch berufliche Kontakte auf Facebook bestätigt, sollte sie so kategorisieren, dass sie private Fotos und Postings nicht sehen können. - Das richtige Profilbild
Wer in sozialen Netzwerken aktiv ist, sollte - auch als CIO - mit einem aktuellen Profilbild vertreten sein. Besonders professionell ist der Auftritt, wenn man das gleiche Porträtbild für alle Plattformen nutzt, auf denen man aktiv ist. Damit es auch in den Suchmaschinen korrekt angezeigt wird, sollte die Datei den Namen des CIOs tragen. - Auf Regelmäßigkeit achten
CIOs müssen im Web 2.0 keine Beiträge wie am Fließband produzieren. Allerdings wäre es von Vorteil, wenn man auf eine gewisse Kontinuität achtet. - Vor Identitätsdiebstahl schützen
Als Manager stehen CIOs in der Öffentlichkeit und sollten Vorsichtsmaßnahmen vor Identitätsdiebstahl ergreifen. Dazu gehört es zwingend, besonders sichere Passwörter zu wählen. - Fotos ohne Geodaten
Wer nicht möchte, dass andere auslesen können, wo ein Schnappschuss entstanden ist, sollte sicherstellen, dass im Internet veröffentlichte Fotos keine geokodierten Metadaten enthalten. Im Zweifel empfiehlt es sich, vorsichtigere Privatsphäreeinstellungen zu wählen.
Nutzungsbedingungen beachten
In den Allgemeinen Geschäftsbedingungen mancher sozialer NetzwerkeNetzwerke findet sich ein Verbot, die gespeicherten Informationen für die Personaldatenerhebung durch Arbeitgeber zu verwerten (zum Beispiel in den AGB von StudiVZ). In diesem Fall ist auch eine gezielte Recherche über Bewerber und Mitarbeiter unzulässig. Alles zu Netzwerke auf CIO.de
Transparenz schaffen
Es empfiehlt sich, auf geplante Recherchen und die diesbezügliche Praxis im Unternehmen hinzuweisen (zum Beispiel in der Stellenausschreibung, der Eingangsbestätigung oder dem Bewerbungsgespräch). Über entsprechende Abläufe an geeigneter Stelle kann auch eine Einwilligung zur Recherche bei Xing, Facebook & Co. eingeholt werden. Diese Vorgehensweise erzeugt Transparenz und ermöglicht es, Missverständnisse und Fehlurteile zu verhindern.
Das Privatleben außen vor lassen
Der Arbeitgeber ist grundsätzlich nicht berechtigt, die privaten Aktivitäten seiner Arbeitnehmer im Internet zu überwachen. Er hat jedoch ein berechtigtes Interesse daran, sicherzustellen, dass weder unsachgemäße Kritik über den Arbeitgeber noch Firmengeheimnisse verbreitet werden.
Als zulässig wird deshalb die Suche nach Informationen über das eigene Unternehmen erachtet. Stößt der Arbeitgeber dabei auf Schmähkritik, Whistleblowing oder den Verrat von Geschäftsgeheimnissen durch einen Arbeitnehmer, darf er diese Informationen auch speichern und weiterverarbeiten. Denn sie sind für das Arbeitsverhältnis von Belang. Aber bei einer umfassenden und gezielten Recherche über das Privatleben eines Arbeitnehmers werden vielfach dessen private Interessen im Vordergrund stehen. Deshalb ist ein solches Vorgehen im Allgemeinen datenschutzwidrig.
Notwendige Rücksichten nehmen
Persönliche Daten, beispielsweise solche über das Intimleben, die finanzielle Situation, Religion oder Rasse dürfen grundsätzlich nicht erhoben werden. Schon gar nicht dürfen solche Informationen in die Entscheidung über die Begründung eines Arbeitsverhältnisses einfließen. Gerade was Äußerungen in sozialen Netzwerken betrifft, gilt es, Privatsphäre und Meinungsfreiheit zu berücksichtigen. Eine Erhebung ist hier wegen überwiegender Interessen der Arbeitnehmer unzulässig.
Keine unlauteren Abwerbungen
Neben dem Datenschutz- ist auch das Wettbewerbsrecht zu beachten. Das Abwerben fremder Mitarbeiter ist grundsätzlich auch im Internet zulässig. Allerdings kann der Versuch, einen Mitarbeiter abzuwerben, wettbewerbswidrig sein, wenn damit ein verwerflicher Zweck verfolgt beziehungsweise verwerfliche Mittel oder Methoden eingesetzt werden.
Frage von Bernhard Thomas: Welchen Anspruch hat ein Mitarbeiter eigentlich auf Anonymisierung seiner - internen - Social-Media-Beiträge?
Ulbricht: Jede Erhebung, Speicherung oder Verarbeitung von personenbezogenen Daten muss rechtskonform sein. Entweder der Mitarbeiter hat zugestimmt, oder die Datenverarbeitung kann über Paragraf 32 BDSG legitimiert werden. Erscheint tatsächlich eine anonymisierte Verarbeitung als ausreichend, wird der Mitarbeiter auch eine Anonymisierung verlangen können. In anderen Fällen hat er jedoch keinen Anspruch auf Anonymisierung.