LinkedIn als Datenplattform: Mehr als nur ein soziales Netzwerk
LinkedIn ist mehr als nur ein „Online-Lebenslauf“. Als soziales Netzwerk für berufliche Kontakte speichert und verarbeitet es umfangreiche personenbezogene Daten. Diese gehen über die selbst angegebenen Daten (Name, Geburtsdatum, beruflicher Werdegang, Arbeitgeber) hinaus und reichen bis zu Verhaltensdaten, Interaktionen, Standortdaten und oftmals auch Daten aus Drittquellen, wie Tracking-Cookies. Laut LinkedIn werden diese Daten unter anderem für personalisierte Werbung verwendet, sofern Mitglieder dies zulassen oder nicht widersprechen. Die Nutzung öffentlich zugänglicher LinkedIn-Profildaten zur Personalgewinnung und geschäftlichen Kommunikation kann hingegen oft auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DS-GVO gestützt werden. Voraussetzung ist, dass die Verarbeitung zweckgebunden erfolgt und eine Interessenabwägung zugunsten des Verantwortlichen ausfällt.
Gerade die Nutzung dieser Daten, für Marketing, Insights und Recruiting wirft Fragen nach der Rechtsgrundlage, dem Zweck der Verarbeitung und der Transparenz gegenüber Betroffenen auf. Denn personenbezogene Daten unterliegen nach der DS-GVO strengen Vorgaben: Sie dürfen nur für klar bestimmte Zwecke, auf einer gesetzlichen Grundlage und mit angemessenen Schutzmaßnahmen verarbeitet werden.
Mit LinkedIn als Bewerberplattform haben wir uns im folgenden Blogbeitrag vertiefend beschäftigt: Bewerbungsverfahren über LinkedIn – Was muss aus datenschutzrechtlicher Sicht beachtet werden?
Wer ist für die Datenverarbeitung verantwortlich?
Viele soziale Netzwerke sind darauf angewiesen möglichst detaillierte Nutzerprofile anzulegen, um im Gegenzug Werbung möglichst gezielt auszuspielen. Dadurch verfolgen sie eigene Interessen an der Verarbeitung personenbezogener Daten und werden diese auf ihren Plattformen auch für eigene Zwecke verwenden. Die Datenverarbeitung erfolgt jedoch nicht allein durch den Plattformbetreiber, sondern auch durch die Unternehmen und Organisationen, die die jeweiligen Plattformfunktionen aktiv nutzen.
Vor diesem Hintergrund stellt sich eine zentrale datenschutzrechtliche Frage: In welcher Rolle agieren die Beteiligten der Datenverarbeitung?
Insbesondere ist zu klären, ob das auf der Plattform aktive Unternehmen als Verantwortlicher auftritt und LinkedIn als Auftragsverarbeiter handelt oder ob eine gemeinsame Verantwortlichkeit im Sinne der DS-GVO vorliegt. Die Beantwortung der Frage ist entscheidend für die rechtliche Einordnung der Datenverarbeitung, die Erfüllung von Informationspflichten und die Vermeidung datenschutzrechtlicher Risiken.
Ist eine Einordnung für LinkedIn als Auftragsverarbeiter nach Art. 28 DS-GVO möglich?
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die im Auftrag und nach Weisungen eines „Verantwortlichen“ personenbezogene Daten verarbeitet, wie z. B. Cloud-Anbieter. Er handelt nicht eigenständig, sondern führt die Datenverarbeitung für einen anderen durch, wobei er technische und organisatorische Maßnahmen zum Datenschutz sicherstellen muss und durch einen Auftragsverarbeitungsvertrag gebunden ist.
Eine Einordnung von LinkedIn als Auftragsverarbeiter nach Art. 28 DS-GVO scheidet aus, da LinkedIn nicht weisungsgebunden handelt und maßgeblich über Zwecke und Mittel der Datenverarbeitung entscheidet. Vor diesem Hintergrund ist festzuhalten, dass LinkedIn eigene Zwecke mit den Daten verfolgt, womit eine Verarbeitung mittels gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO erfolgen könnte.
Warum könnte bei LinkedIn eine Datenverarbeitung als gemeinsame Verantwortliche gem. Art. 26 DS-GVO vorliegen?
Eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
- Der EuGH hat mit seinem wegweisenden Urteil zu einer Facebook-Fanpage (Urteil vom 05. Juni 2018, Az. C-210/16) klargestellt, dass der Dienstleister, welcher eigene Zwecke mit den Daten verfolgt, als gemeinsamer Verantwortlicher für die Verarbeitung personenbezogener Daten verantwortlich ist. Dies gilt nicht nur für Facebook, sondern auch für Unternehmen, bei denen die Datenverarbeitung datenschutzkonform erfolgt, selbst wenn die technische Umsetzung durch den Plattformbetreiber gesteuert ist.
- Die Ausführungen des EuGH lassen sich auch auf andere Social Media Plattformen wie LinkedIn übertragen. Durch das Urteil vom EuGH bezüglich „Social Plugins“ (Urteil vom 29. Juli 2019, Az. C-40/17) wurde die Entscheidung zur Facebook-Fanpage spezifiziert. Es wird klargestellt, dass eine gemeinsame Verantwortlichkeit auch nur für jeweils eine Phase der Datenverarbeitung existieren kann und bezüglich anderer Vorgänge eine andere Verantwortlichkeit vorliegt.
Eine gemeinsame Verantwortlichkeit zeigt sich bei der Nutzung von Analysewerkzeugen und Insights. Dies sind Funktionen und Daten, mit denen die Leistung der Aktivitäten auf LinkedIn gemessen und verbessert werden kann.
- Analysewerkzeuge: Damit werden Daten erhoben und ausgewertet (z. B. LinkedIn Analytics – direkt in LinkedIn verfügbar, zeigt unter anderem: Profilaufrufe, Beitragsreichweite und Interaktionen, Follower- Entwicklung)
- Insights: Erkenntnisse, die aus den zuvor gewonnen Analysedaten abgeleitet werden (z. B. Aus welchen Branchen kommen meine Profilbesucher? oder Welche Formate funktionieren am besten?)
LinkedIn und das Unternehmen stehen häufig gemeinsam in der Pflicht, die Datenverarbeitung gem. Art 4 Nr. 7, Art. 26 DS-GVO zu regeln. Hier können beide als gemeinsam Verantwortliche über die Zwecke und Mittel der Verarbeitung mitentscheiden.
Jede Organisation, die das von LinkedIn zur Verfügung gestellte Analysetool über ihr Profil einsetzt, muss zuvor die Einwilligung der Nutzer einholen.
LinkedIn liefert statistische Auswertungen, etwa über Seitenbesucher und Interaktionen. Diese enthalten personenbezogene Daten und müssen in der Datenschutzerklärung des Unternehmens transparent gemacht werden. Ohne vertragliche Vereinbarung zur gemeinsamen Verantwortlichkeit kann dies ein erhebliches Risiko darstellen und Bußgelder nach Art. 83 DS-GVO nach sich ziehen.
Handlungsempfehlungen – Was sollten Unternehmen tun?
Aus datenschutzrechtlicher Perspektive ergeben sich für Unternehmen und Datenschutzbeauftragte klare Pflichten:
- Gemeinsame Verantwortlichkeit klären: Unternehmen sollten prüfen, ob sie mit der Plattform als gemeinsamer Verantwortlicher betrachtet werden und folglich eine entsprechende Vereinbarung mit LinkedIn abschließen müssen.
- Analyse der eigenen Nutzung von LinkedIn: Welche Daten werden verarbeitet, woher kommen sie und auf welcher Rechtsgrundlage basiert dies?
- Bereitstellen und Anpassung der Datenschutzerklärung: Unternehmensdatenschutzinformationen müssen Aktivitäten auf LinkedIn abdecken, inklusive Insights und Tracking. Die Nutzer müssen über die Datenverarbeitung informiert werden, dies geht z. B. durch die Hinterlegung eines Links zur Datenschutzerklärung im Social Media Auftritt.
- Schulung von HR und Marketing: Sensibilisierung für eine datenschutzkonforme Ansprache von Kandidaten, Umgang mit Bewerberdaten und der Auswahl von Tools.
- Dokumentation und Aufbewahrung: Sorgfältige Pflege von Verarbeitungsverzeichnissen, Löschfristen und Betroffenenanfragen.
Die Maßnahmen helfen nicht nur, rechtliche Risiken zu reduzieren, sondern stärken auch das Vertrauen der Nutzer.
Wir stehen gerne für individuelle Beratungsanfragen im Zusammenhang mit der LinkedIn Nutzung im Unternehmen zur Verfügung. Kontaktformular: https://www.audatis.de/kontakt
Fazit
LinkedIn bietet Unternehmen vielfältige Möglichkeiten, mit unterschiedlichen Nutzergruppen zu interagieren. Gleichzeitig ist die Nutzung mit zahlreichen datenschutzrechtlichen Herausforderungen verbunden, die teilweise komplex ausgestaltet sind. Insbesondere im Zusammenspiel von Plattformmechanismen, unternehmensinternen Aktivitäten und Recruiting-Funktionen ist eine klare rechtliche Einordnung sowie eine sorgfältige technische Umsetzung erforderlich.
Die DS-GVO verlangt dabei nicht nur formale Datenschutzhinweise, sondern auch eine datenschutzkonforme Ausgestaltung sämtlicher Prozesse. Unternehmen, die LinkedIn einsetzen, sollten ihre Nutzung daher regelmäßig aus datenschutzrechtlicher Perspektive überprüfen.
