Seitdem die Corona-Pandemie einen Großteil der Beschäftigten (vorübergehend) ins sogenannte Homeoffice zwang und die Videokonferenzen mit Zoom, Teams und Co. immer mehr überhandnahmen, sind die Wohnzimmer der KollegInnen und auch KundInnen längst bekannt. Die Katze im Hintergrund, der Ausblick in den Garten oder das stolz aufgehängte Foto vom Kind aus der Kita sind der Alltag. Skurrile „Unfälle”, wenn die Kamera oder das Mikrofon nicht deaktiviert wurden, sind kaum noch erwähnenswert.

Die Gesellschaft befindet sich im Wandel: Auf den Karriereportalen wie LinkedIn oder XING zeigen sich in diesen Tagen nicht nur Freelancer oder Vertriebler der Arbeitswelt, sondern Beschäftigte aller Bereiche und Führungsebenen üben sich regelmäßig in der professionellen Selbstdarstellung. Dabei geht es längst nicht mehr nur um den Eintrag des aktuellen Jobs und vorheriger Abschlüsse bzw. Ausbildungsstationen im eigenen Profil. Auch Zertifikate, das Ehrenamt oder sonstige relevante Ereignisse des Werdegangs können vorgestellt bzw. im Profil hinterlegt werden. Darüber hinaus werden aber auch Nachrichten oder Fotos hochgeladen und mit anderen Personen geteilt, um die Aktivität im Netzwerk und damit die eigene Bekanntheit zu steigern. Die Firmen freuen sich bisweilen über diese „Testimonials“ und Repräsentativen und nehmen häufig diese kostenlose Werbung positiv zur Kenntnis.

Mittlerweile zeigen sich auch DAX-Vorstände und bekannte Persönlichkeiten mehr oder weniger aktiv auf diesen Seiten und publizieren privat anmutenden Inhalte, wie das Foto vom Arbeitsplatz im Garten oder ein Selfie im Meeting – man möchte nahbar sein und sympathisch wirken. Selbst die neue Geschäftsführerin oder der neue Vorstand zeigen sich scheinbar aufgeregt am ersten Arbeitstag. Und neueste Errungenschaften wie den Abschluss eines Studiengangs werden mit dem Foto der Urkunde belegt oder dem Brief des Amts  mit vollständigen Daten des Empfängers wie auch Absenders.

Das Datenschutzrecht

Dies ist alles nachvollziehbar und bisweilen auch erfolgsversprechend, berührt aber natürlich auch das Datenschutzrecht. Denn einerseits können dabei private Details und Daten (private Wohnanschrift, Geburtsdatum, Kontaktdaten) veröffentlicht werden, zum anderen entstehen sogar erhebliche Gefahren, wenn beispielsweise persönliche Unterschriften durch einen Scan einer Datei in Originalgröße heruntergeladen und somit durch Angreifer nachgeahmt bzw. in böswilliger Absicht missbraucht werden können. Und auch das Geburtsdatum nebst -Ort oder ein Bild mit Familienangehörigen betrifft derartige personenbezogene Daten, die nicht zwingend für diesen Dienst und ohnehin nicht für die Aktivität im Karriereportal erforderlich sein dürften. Zugegeben, dieses Argument gilt umso mehr für alle anderen sozialen Netzwerke (wie Facebook), aber das ist ein anderes Thema und wird da vielleicht weniger zielgerichtet von Angreifern beachtet.

Datenschutzrechtlich wird sich zumeist diese Datenverarbeitung einerseits auf die Registrierung und Nutzung des Portals und/oder ohnehin auf die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO bzw. § 26 Abs. 2 BDSG stützen lassen, denn all diese Inhalte werden von einem selbst, freiwillig und aktiv auf der bekannten Webseite bzw. App beigesteuert oder mittelbar durch eine offizielle Unternehmens-Fanpage des Arbeitgebers inklusive Darstellung der „Teams/MitarbeiterInnen“ angeregt. Lediglich die Fälle, in denen Inhalte anderer Personen, beispielsweise die Fotos der KollegInnen aus dem Meeting oder vom Firmenlauf, veröffentlicht werden, sind hierbei datenschutzrechtlich problematisch. Schließlich wird die Einwilligung der anderen betroffenen Personen nicht immer vorliegen und selten zu beweisen sein, weshalb die Datenverarbeitung häufig rechtswidrig sein dürfte. Zumal die Kenntnis (Vgl. Art. 12 DSGVO) und Widerrufbarkeit (gem. Art. 7 Abs. 3 DSGVO) dann nicht immer gegeben sein dürften, insbesondere wenn die anderen Personen gar nicht in diesem Netzwerk aktiv sind und folglich gar keine Steuerung der sie betreffenden Daten ausüben können.

Ob und inwiefern die auf der Webseite veröffentlichten Daten geschützt und auch irgendwann systemseitig gelöscht werden, um endlose Datenverarbeitung zu verhindern, wird kaum zu beantworten sein. Mutmaßlich bleiben diese Daten in der Datenbank bis zur Löschung des Kontos oder Einstellung der Plattform – und zwar selbst nach Ausscheiden aus dem Unternehmen oder dem Ende des Praktikums. Dies könnte datenschutzrechtlich sogar nicht einmal verwerflich sein, da eine rechtmäßige Datenverarbeitung auf Grundlage der Einwilligung theoretisch bis zum Widerruf derselben zulässig sein könnte.

Wozu und warum?

All dieses wirft Fragen auf: Wozu werden solche Daten freiwillig oder unfreiwillig auf den entsprechenden Portalen und Webseiten veröffentlicht? Werden diese Daten entweder nicht als schützenswert eingeschätzt oder aber fehlt es an einer Grundsensibilisierung für das Datenschutzrecht? Vielleicht aber ist eine Anonymisierung bzw. ein Schutz (beispielsweise durch einen „schwarzen Balken“) auch zu aufwendig, so dass diese Bilder und Dateien unverändert publiziert werden. Doch je nach Konfiguration können diese Inhalte auch der Allgemeinheit zugänglich sein und nicht nur dem Netzwerk oder den „Freunden“ im selbigen.

Es ist sicherlich kein Geheimnis, dass mit großer Ausdauer und Recherche eine Profilbildung möglich ist, weshalb selbst bei Profilen mit weniger Inhalt irgendwann einmal private Informationen herauszufinden sind und dann auch die Person identifiziert werden könnte.

Interne Regelungen

Zumindest im beruflichen Kontext und im Hinblick auf Personen, die unter dem eigenen Namen bzw. unter dem Namen des Arbeitgebers in den Netzwerken auftreten, könnte das Unternehmen im Rahmen vom Direktionsrecht und internen Richtlinien mittelbar auf die Beschäftigten diesbezüglich einwirken. Dies gilt zunächst für alle Personen, deren Tätigkeitsfeld nicht die Nutzung derartiger Plattformen und Dienste ist, wie es wohl bei Headhuntern/Personalern oder MitarbeiterInnen aus dem Vertrieb anzunehmen ist. Hier könnte diese Datenverarbeitung grundsätzlich für die Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 BDSG) erforderlich sein. Im Übrigen aber könnten interne Regelungen getroffen werden, dass keine personenbezogenen Daten unbefugt veröffentlicht werden, wie es bei einem Foto des Arbeitsplatzes mit klar erkennbaren Daten von Kunden und KollegInnen denkbar wäre. Mithin könnte geregelt werden, dass keine Kundendaten oder Daten von anderen Personen verarbeitet werden. Ein Selfie vom Arbeitsplatz mit Bewerbungsmappen auf dem Schreibtisch oder im Hintergrund auf dem Monitor könnte als eine Datenschutzverletzung bewertet und entsprechend sanktioniert werden.

Wenn hingegen die NutzerInnen eigenständig und ohne Kenntnis/Regelung des Arbeitgebers diese Daten auf den Businessportalen veröffentlichen bzw. verarbeiten, wäre die Datenverarbeitung auch kaum vom Arbeitgeber steuerbar und auch nicht von etwaigen Einwilligungserklärungen/Marketing-Formularen aus der HR-Abteilung erfasst, wie es hingegen bei offiziellen Fotoeinwilligung für die Firmen-Webseite anzuraten ist.

Nicht zuletzt ist auch die IT-Sicherheit berührt, wenn Passwörter bzw. Zugangsdaten oder sensible Systeme erkennbar sind oder auf sonstiger Weise verraten werden. Denkbar wäre auch ein „CEO Fraud“ oder gezielter Angriff, wenn sich jemand als ein neuer Mitarbeiter oder Bewerber ausgibt und durch den Chat immer mehr an sensible Daten der Person und des Unternehmens gelangt.

All dies ist nicht neu und hat schon vor vielen Jahren für Diskussionen gesorgt, gewinnt aber mit wachsender Beliebtheit und Aktivitäten auf den Business-Plattformen weiter an Bedeutung. Unternehmer und Angestellte zeigen sich immer persönlicher und wollen Einblick in den beruflichen Alltag geben; werden sogar zur Teilnahme und Mitwirkung bei der Verbesserung der Außendarstellung im derzeitigen Zeitalter des Fachkräftemangels angeheizt. Dies geht aber oftmals zu Lasten des Datenschutzes, zumindest dann, wenn Videos vom Firmen-Dinner, dem Kundentermin oder der Begrüßung der SchülerpraktikantInnen im Internet verbreitet werden. Hier ist ein gesunder Mittelweg wünschenswert.