Nachdem der geschätzte Kollege Stadler sich letzte Woche mit dem Problem auseinandergesetzt hat, inwieweit die Polizei in Sozialen Netzwerken ermitteln darf, möchte ich mich nachfolgend mit der Frage beschäftigen, ob bzw. unter welchen Voraussetzungen Unternehmen im Rahmen des Bewerbungsprozesses weitere Informationen zu den Bewerbern in Sozialen Netzwerken recherchieren dürfen. Weitergehend soll der nachfolgende Beitrag auch aufzeigen, inwieweit Unternehmen die eigenen Mitarbeiter in und über die Sozialen Netzwerke „überwachen“ dürfen.
Das Internet wird für die Gewinnung neuer Mitarbeiter immer wichtiger. Dabei setzen viele Unternehmen auch auf die verschiedenen Social Networks, in denen sich auch die Arbeitnehmer von morgen tummeln. Insofern liegt es nahe und wird auch von Untersuchungen bestätigt, dass weitergehende Informationen über etwaige Bewerber in den Sozialen Netzwerken beschafft oder interessante Kandidaten dort sogar gesucht werden, obwohl dies von höchster Stelle als Tabu bezeichnet wird. Dieses pauschale „Tabu“ widerspricht ein Stück weit dem Trend, dass sich auch Mitarbeiter im Sinne des „Personal Branding“ teilweise selbst gezielt mit ihren Qualitäten für potentielle Arbeitgeber im Internet und auch auf Social Networks darstellen. Insoweit klaffen hier die unterschiedlichen Auffassungen offensichtlich erheblich auseinander…
Und auch im Rahmen eines bestehenden Arbeitsverhältnisses können Soziale Netzwerke natürlich eine Informationsquelle sein, um für das Arbeitsverhältnis mehr oder weniger Relevantes zu erfahren oder einfach zu ermitteln, was der Mitarbeiter den ganzen Tag so „treibt“.
Der Gesetzgeber hat kürzlich den überarbeiteten Referentenentwurf des „Gesetzes zur Regelung des Beschäftigtendatenschutzes“ vorgestellt. Auch wenn dieser Entwurf nun noch den Bundesrat passieren muss, dürfte sich die Neuregelung des Arbeitnehmerdatenschutzes – auch wenn der Bundesrat möglicherweise noch Änderungen einbringen möchte – damit auf der Zielgeraden befinden.
Neben der aktuell geltenden Rechtslage zur Recherche in Social Networks, die einige Fragen offen lässt, sollen nachfolgend auch die Regelungen dieses neuen Arbeitnehmerdatenschutzrechts, welches wohl 2011 kommen wird, vorgestellt werden.
I. Aktuelle Rechtslage für die Recherche in Sozialen Netzwerken
1. Datenschutz bei Bewerbern
Das insoweit einschlägige Bundesdatenschutzgesetz (BDSG) schützt personenbezogene Daten. Das sind alle Informationen über die persönlichen oder sachlichen Verhältnisse der betroffenen natürlichen Person. Gemäß § 3 Abs.11 Nr.7 BDSG gehören auch Bewerber ausdrücklich zu dem insoweit geschützten Personenkreis. Solche Informationen dürfen demnach nur erhoben, verarbeitet oder genutzt werden, wenn das Bundesdatenschutzgesetz dies ausdrücklich erlaubt.
So ist die Recherche nach dem – wohl auch gegenüber Bewerbern geltenden – § 28 Abs.1 S.1 Nr.3 BDSG zulässig, wenn die Informationen aus allgemein zugänglichen Quellen erlangt werden können und keine schutzwürdigen Interessen des Betroffenen entgegen stehen.
Solche frei zugänglichen Informationen, die zulässigerweise veröffentlicht worden sind, können im Internet (z.B. über Google & Co) also ohne weiteres recherchiert werden.
Was die Informationen bei Facebook & Co anbetrifft, ist schon höchst fraglich, ob man überhaupt von öffentlich zugänglichen Daten sprechen kann, wenn und soweit diese nur für die angemeldeten Nutzer des jeweiligen Netzwerkes einsehbar sind. Im übrigen aber wird auf Grundlage der aktuellen Rechtslage davon auszugehen sein, dass – jedenfalls bei auch privat genutzten Netzwerken – die Schutzinteressen der Betroffenen entgegenstehen. Etwas anderes gilt natürlich dann, wenn etwa der Bewerber in seinen Unterlagen auf ein entsprechendes Netzwerkprofil hingewiesen hat oder sonstwie sein ausdrückliches Einverständnis erklärt hat.
2. Datenschutz bei Angestellten
Im bestehenden Dienstverhältnis gilt derzeit § 32 BDSG. Danach dürfen personenbezogene Informationen des Arbeitnehmers erhoben werden, soweit dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der insoweit zentrale Begriff der Erforderlichkeit ist nur wenig konkret und insofern auslegungsbedürftig.
Als erforderlich wird die Erhebung der Informationen angesehen, die der Arbeitgeber zur Erfüllung seiner Pflichten aber auch zur Wahrnehmung seiner Rechte gegenüber dem Arbeitnehmer vernünftigerweise benötigt. Gestattet sind damit auch Maßnahmen zur Kontrolle, ob der Arbeitnehmer den arbeitsvertraglichen Pflichten nachkommt.
Unter Berücksichtigung dieser Grundsätze dürfte eine Recherche in Sozialen Netzwerken der Mitarbeiter nur in seltensten Fällen zulässig sein. Es sind kaum Konstellationen ersichtlich, in denen eine Sichtung der Aktivitäten des Mitarbeiters in Social Networks im Hinblick auf die Durchführung oder Beendigung des Arbeitsverhältnisses wirklich erforderlich ist. Denkbar wäre, wenn jedwede Nutzung von Facebook & Co während der Arbeitszeit verboten ist, um ebendieses zu kontrollieren. Unzulässig bleibt wohl auch dann das „Mitlesen“ konkreter Kommunikation mit anderen (vgl. BVerfG, NJW 1992, 815; BAG, RDV 1998, 69).
Zulässig wäre die Recherche allerdings auch dann, wenn der Arbeitnehmer eingewilligt hat. Dabei darf aber natürlich kein Druck ausgeübt werden und auch keine (negativen) Folgen an die Verweigerung der Zustimmung geknüpft werden. Klar ist aber natürlich, dass ein möglicherweise faktisch ausgeübter Druck nur bedingt nachzuweisen und damit schwer in eine etwaige Beurteilung einzubeziehen ist.
Im Zusammenhang mit der Einführung von Social Media Guidelines erscheint es oft als sinnvoller Kompromiss, den Mitarbeitern die Nutzung der Sozialen Medien zu erlauben und gleichzeitig deren Zustimmung einzuholen, die Nutzung ebendieser Medien bei einem konkreten Mißbrauchsverdacht (z.B. ständiges „Farmville“ spielen) stichprobenartig das Nutzungsverhalten (nicht die konkrete Kommunikation) kontrollieren zu dürfen.
II. Zukünftige Rechtslage für die Recherche in Sozialen Netzwerken
Wahrscheinlich werden im Laufe des Jahres 2012 weitergehende Regelungen durch den Entwurf des Gesetzes zur Regelung des Beschäftigtendatenschutzes (nachfolgend BDSG-E) eingeführt werden und damit die bisher sehr rudimentäre gesetzliche Grundlage zum Arbeitnehmerdatenschutz ergänzen.
Nachfolgend werden auf Grundlage des aktuellen Referentenentwurfs die zukünftigen rechtlichen Regelungen und deren Auswirkungen auf die Recherche von Bewerber- und Arbeitnehmerdaten in Sozialen Netzwerken vorgestellt.
1. Datenschutz bei Bewerbern
In §§ 32 bis 32 b BDSG-E werden die Datenerhebung und Verarbeitung vor Begründung des Beschäftigungsverhältnisses (also in der Bewerbersituation) geregelt werden.
Danach dürfen vom potentiellen Arbeitgeber Informationen grundsätzlich dann erhoben werden, soweit die Kenntnis dieser Daten erforderlich ist, um die Eignung des Beschäftigten (persönliche und fachliche Fähigkeiten, Ausbildung und Werdegang etc.) für die vorgesehenen Tätigkeiten festzustellen. Als Datenerhebung gilt jede gezielte Recherche nach einer Person (also auch das gezielte „Hineinschauen“ in ein Social Media Profil) und nicht erst die Speicherung oder andere Dokumentation.
In § 32 Abs.6 S.3 BDSG-E wird eine bereits viel diskutierte und kritisierte Differenzierung zwischen „freizeitorientierten Netzwerken“ (wie Facebook, Youtube & Co) und „berufsorientierten Netzwerken“ (wie XING oder Linkedin) vorgenommen. Während Arbeitgeber bei XING etwa gezielt recherchieren dürften, soll eine Datenerhebung bei oder über Facebook verboten sein.
Tatsächlich erscheint die Differenzierung zwischen berufs- und freizeitorientierten Netzwerken konstruiert. Gerade im Hinblick auf die in Sozialen Netzwerken immer schwieriger werdende Differenzierung zwischen Privat- und Berufsleben ist vorgesehene Klausel nur wenig praxisnah.
2. Datenschutz bei Angestellten
§§ 32 c und 32 d BDSG-E stellen die Grundregelungen für die Erhebung von Beschäftigtendaten bzw. deren Verarbeitung und Nutzung während des Arbeitsverhältnisses auf.
Danach dürfen Beschäftigtendaten erhoben werden, wenn dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich ist (vgl. § 32c Abs. 1 BDSG-E). Hier kommt es insoweit weiter auf den Grundsatz der Erforderlichkeit an, womit der Blick in Soziale Netzwerk wohl unzulässig sein dürfte, wenn die jeweiligen Daten auch anderweitig erhoben werden können. Zulässig könnte es aber zum Beispiel sein, wenn der Arbeitnehmer direkt auf Facebook & Co gegen seine arbeitsvertraglichen Pflichten verstoßen hat. Die Datenerhebung muss überdies verhältnismäßig sein (Abs. 4).
Zulässig ist auch immer eine entsprechende Datenerhebung zur Verfolgung schwerer Straftaten oder schwerwiegende Pflichtverletzung (§ 32e BDSG-E), wobei zunächst wohl ein durch konkrete Hinweise begründeter Verdacht bestehen muss.
Bei Unternehmen, bei denen die private Nutzung des Internet und damit wohl auch der Sozialen Netzwerke während der Arbeit verboten ist, soll §32 i BDSG-E zukünftig zudem eine stichprobenartige Kontrolle erlauben, z.B. um festzustellen, ob verbotswidrig Facebook & Co aufgerufen worden sind.
III. Zusammenfassung
Mit weiter rasant fortschreitender Entwicklung der technischen Möglichkeiten, wird auch das Thema (Arbeitnehmer-)datenschutz zunehmend an Bedeutung gewinnen. Als großer Anhänger der Möglichkeiten des Social Web und der Optionen, die die Intergration solcher Werkzeuge in den Unternehmen (auch als Enterprise 2.0 bezeichnet) bietet, kann ich an die Arbeitgeber nur appellieren, einige Fehler von Facebook & Co nicht „nachzumachen“ und nachvollziehbare Datenschutzinteressen besser in die Planung und Umsetzung miteinzubeziehen. Transparenz und Einbeziehung der Arbeitnehmer sind wichtige Voraussetzungen, um auch die notwendige Partizipation der Mitarbeiter zu erreichen.
Leider versteht der Gesetzgeber es (auch in dem neuen Gesetzesentwurf) nur bedingt, praxisnahe und praktikable Lösungen vorzusehen. So erscheint die Differenzierung zwischen „privaten“ und berufsorientierten Netzwerken und auch die Fortführung des auslegungsbedürftigen Grundsatzes der Erforderlichkeit wenig hilfreich.
Dennoch werden sich die Unternehmen mit diesen Vorgaben auseinandersetzen und gangbare Wege suchen müssen. Auf einem meiner Vorträge wurde kürzlich eingeworfen, dass man die Recherche in Social Networks in der Regel ja ohnehin nicht nachweisen könne und man daher ruhig weiter „hineinschauen“ werde. So einfach ist es aber leider nicht. Zum einen sollte die Geschäftsleitung schon unter Compliance Gesichtspunkten darauf bedacht sein, dass auch im Personalbereich Daten etwaiger Bewerber und Arbeitnehmer nur im Rahmen des rechtlich Zulässigen erhoben werden. Auch die Nutzung etwaiger Daten ist natürlich nur erlaubt, wenn diese rechtmäßig erhoben worden sind. Erwähnt ein Unternehmensvertreter (z.B. bei der Kündigung) unzulässigerweise in Sozialen Netzwerken erhobene Daten oder solche werden in der Personalakte verzeichnet, droht einiges Ungemach.
Neben möglichen Unterlassungs- und Schadenersatzansprüchen des betroffenen Arbeitnehmers können strafrechtliche Sanktionen, sowie Bußgelder nach § 43 BDSG oder § 149 TKG drohen. Teilweise wird sogar vertreten, dass entsprechend datenschutzwidrig erhobene Informationen (zumindest bei einer erheblichen Rechtsverletzung) ein Beweisverwertungsverbot begründen würden und somit in einem etwaigen Kündigungsprozess nicht berücksichtigt werden dürften. Hinzu kommt, dass die immer häufigere Aufdeckung von „Datenschutzskandalen“ regelmäßig zur sehr schlechter Presse führt. Eine hinreichende Sensibilität für diesen Themenkomplex ist demnach durchaus angebracht.
In der Praxis zeigt sich, dass doch einige Sachverhalte auch über eine entsprechende Zustimmung der Bewerber oder Arbeitnehmer zulässigerweise dargestellt werden können. Notwendig ist stets eine vorherige umfassende und transparente Aufklärung über die Datennutzung. So könnte es in Zukunft durchaus ein gangbarer Weg sein, in einer Stellenausschreibung anzukündigen, dass das Unternehmen auf eine Bewerbung auch in das jeweilige Netzwerkprofil (z.B. bei XING) Einsicht nimmt. Es könnte dann argumentiert werden, dass der Bewerber mit seiner Bewerbung dann auch seine Einwilligung zu der konkreten Datenerhebung (§ 4 BDSG) erklärt hat.
FOLGEN SIE MIR AUF TWITTER 
Neugierig schiele ich aus Österreich auf die deutsche Diskaussion zum BDGS. Anfänglich begeistert von den entstehenden Möglichkeiten, macht sich jetzt eher Enttäuschung breit – die Daten von ArbeitnehmerInnen und die Mitsprache der Interessensvertretung werden da nicht besonders geschützt.
Auch wenn die BDSG-Novelle ein bisschen zur Privatsphäre am Arbeitsplatz sagt – von einer konkreten Regelung für die Verwendung von Social Webs am Arbeitsplatz ist sie weiter entfernt denn je.
Also wird es weiter darum gehen, auf Betriebsebene bessere Bedingungen auszuhandeln – schade, dann können wir in Österreich nicht mehr auf den vorbildlichen „großen Bruder“ zeigen ;-).
In meinem Datenschutzblog gibt’s – unter anderem – für die Praxis im Arbeitsalltag Infos zum facebooken
(http://blog.gpa-djp.at/arbeitundtechnik/2010/08/03/den-teufel-an-die-facebook-pin-wand-malen/)
und zum bloggen in der Arbeitswelt
(http://blog.gpa-djp.at/arbeitundtechnik/2010/07/08/recht-aktiv-im-betriebsrats-blog/)