Unternehmensprofile auf sozialen Netzwerken wie LinkedIn sind für kleine und mittelständische Unternehmen sowie für Freiberufler ein zentraler Bestandteil der digitalen Außendarstellung, des Marketings und der Personalgewinnung. Gleichzeitig wirft die Nutzung einer LinkedIn-Unternehmensseite erhebliche Fragen zum LinkedIn Datenschutz und zur datenschutzrechtlichen Verantwortlichkeit nach der Datenschutz-Grundverordnung (DSGVO) auf. Im Kern geht es um die Frage, wer bei einem LinkedIn-Unternehmensprofil als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen ist und welche Pflichten sich daraus für Unternehmen ergeben können. Die datenschutzrechtliche Einordnung eines LinkedIn-Unternehmensprofils ist insbesondere im Bereich des IT-Rechts und des Datenschutzrechts von erheblicher praktischer Bedeutung.
Was passiert bei LinkedIn mit personenbezogenen Daten
Wenn Nutzerinnen und Nutzer ein LinkedIn-Unternehmensprofil aufrufen oder damit interagieren, verarbeitet LinkedIn personenbezogene Daten. Dazu können etwa IP-Adressen, Standortinformationen, Nutzungsdaten und Interaktionen gehören, die über Cookies und Tracking-Technologien erfasst werden. Diese Verarbeitung erfolgt nach der Datenschutzerklärung von LinkedIn; für Menschen mit Sitz in der EU gilt dabei in der Regel die LinkedIn Ireland Unlimited Company als Verantwortlicher.
Für Unternehmen ist es wichtig zu verstehen, dass nicht alle Datenverarbeitungen zwangsläufig allein LinkedIn zuzurechnen sind. Vielmehr kann sich aus der konkreten Nutzung des Profils eine eigene oder gemeinsame Verantwortlichkeit nach DSGVO ergeben. Dies betrifft insbesondere Konstellationen, in denen Unternehmen aktiv Einfluss auf Zwecke der Datenverarbeitung nehmen oder aus der Datenverarbeitung wirtschaftlichen Nutzen ziehen.
LinkedIn stellt Betreibern von Unternehmensseiten sogenannte Page Insights zur Verfügung. Diese Analytics-Funktion basiert auf der Auswertung personenbezogener Daten der LinkedIn-Nutzer und dient der Reichweitenanalyse sowie der Optimierung von Marketingmaßnahmen. Auch wenn die Statistiken in aggregierter Form bereitgestellt werden, beruht ihre Erstellung auf einer Verarbeitung personenbezogener Daten, die im Zusammenhang mit der jeweiligen LinkedIn-Unternehmensseite steht.
Verantwortlichkeit nach DSGVO – eigenständig, gemeinsam oder allein?
Nach der DSGVO ist Verantwortlicher die Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Für die datenschutzrechtliche Einordnung eines LinkedIn-Unternehmensprofils kommt es daher darauf an, wer tatsächlich Einfluss auf die konkrete Datenverarbeitung nimmt.
LinkedIn entscheidet grundsätzlich selbst darüber, welche personenbezogenen Daten seiner Mitglieder erhoben, gespeichert, analysiert oder weitergegeben werden. Insofern handelt LinkedIn gegenüber seinen Nutzern in eigener Verantwortung. Soweit LinkedIn Daten unabhängig von einer konkreten LinkedIn-Unternehmensseite verarbeitet, etwa zur allgemeinen Plattformoptimierung oder zur Verbesserung eigener Dienste, bleibt LinkedIn allein verantwortlich. Die Verantwortlichkeit des Unternehmens entsteht erst dort, wo es selbst über Zwecke oder Mittel der Verarbeitung mitentscheidet oder eine bestimmte Datenverarbeitung veranlasst.
Eine datenschutzrechtliche Verantwortlichkeit des Unternehmens kann insbesondere dann vorliegen, wenn es im Rahmen seines LinkedIn-Unternehmensprofils aktiv personenbezogene Daten verarbeitet. Dies ist etwa der Fall, wenn über LinkedIn Direktnachrichten beantwortet, Bewerbungen entgegengenommen oder Interaktionen systematisch ausgewertet werden. In solchen Konstellationen verarbeitet das Unternehmen selbst personenbezogene Daten und unterliegt damit unmittelbar den Pflichten der DSGVO, insbesondere den Informationspflichten.
Gemeinsame Verantwortlichkeit bei LinkedIn Page Insights
Besondere praktische Relevanz hat die Frage der gemeinsamen Verantwortlichkeit bei der Nutzung von LinkedIn Page Insights. Nach überwiegender Auffassung in Literatur und Praxis kann die Nutzung dieser Analysefunktion eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO begründen. Hintergrund ist, dass die Erstellung der Statistiken auf einer Verarbeitung personenbezogener Daten der LinkedIn-Nutzer beruht, die im Zusammenhang mit der jeweiligen LinkedIn-Unternehmensseite steht.
LinkedIn verarbeitet für die Bereitstellung der Page Insights unter anderem Angaben zur beruflichen Funktion, Branche, Unternehmensgröße, Standort sowie Interaktionen mit der Unternehmensseite. Auch wenn das Unternehmen selbst nur aggregierte Daten erhält und keinen Zugriff auf einzelne Datensätze hat, trägt es durch die Einrichtung und den Betrieb der LinkedIn-Unternehmensseite sowie durch die bewusste Entscheidung zur Nutzung der Analysefunktion dazu bei, dass diese Datenverarbeitung erfolgt.
Damit entscheidet das Unternehmen jedenfalls mit über den Zweck der Datenverarbeitung, nämlich die Analyse der Reichweite, der Zielgruppenstruktur und der Interaktionen zur Optimierung der eigenen Außendarstellung und Marketingstrategie. Nach der sogenannten Fanpage-Entscheidung des Europäischen Gerichtshofs genügt eine solche Mitentscheidung über Zwecke der Verarbeitung, um eine gemeinsame Verantwortlichkeit zu begründen. Ein vollständiger Einfluss auf sämtliche technischen Mittel der Datenverarbeitung ist hierfür nicht erforderlich. Maßgeblich ist vielmehr, dass das Unternehmen die Datenverarbeitung mitveranlasst und aus ihr Nutzen zieht.
Teilweise wird vertreten, dass Unternehmen mangels Einflusses auf die konkrete technische Ausgestaltung der Datenverarbeitung nicht als gemeinsam Verantwortliche einzustufen seien. Diese Auffassung überzeugt jedoch nicht, da der Europäische Gerichtshof ausdrücklich darauf abstellt, ob eine Mitentscheidung über Zwecke vorliegt. Genau dies ist bei der Nutzung von LinkedIn Page Insights regelmäßig der Fall.
Maßnahmen bei Bestehen eines Unternehmensprofils
Besteht eine gemeinsame Verantwortlichkeit mit LinkedIn nach Art. 26 DSGVO, sind Unternehmen verpflichtet, den entsprechenden datenschutzrechtlichen Vorgaben nachzukommen. LinkedIn stellt hierfür ein sogenanntes „Page Insights Joint Controller Addendum“ bereit, das die gemeinsame Verantwortlichkeit zwischen LinkedIn und dem Betreiber der LinkedIn-Unternehmensseite regeln soll. Unternehmen sollten prüfen, ob diese Vereinbarung akzeptiert wurde, und ihre interne Datenschutzdokumentation entsprechend anpassen.
Darüber hinaus ist es erforderlich, die eigene Datenschutzerklärung um einen Abschnitt zum LinkedIn-Unternehmensprofil zu ergänzen. Darin sollte transparent erläutert werden, in welchem Umfang eine gemeinsame Verantwortlichkeit mit LinkedIn besteht, welche Datenverarbeitungsvorgänge dem Unternehmen zuzurechnen sind und wie Betroffene ihre Rechte nach der DSGVO geltend machen können. Verarbeitungsvorgänge, über die LinkedIn allein entscheidet und bei denen das Unternehmen keinen Einfluss auf Zwecke oder Mittel hat, müssen hingegen nicht als eigene Verarbeitung dargestellt werden.
Fazit
Ein LinkedIn-Unternehmensprofil ist für Unternehmen ein wichtiges Instrument der Kommunikation und des Marketings, wirft jedoch komplexe Fragen zum zur Verantwortlichkeit nach DSGVO auf. Unternehmen sind nicht automatisch allein verantwortlich, aber auch nicht vollständig von datenschutzrechtlichen Pflichten befreit. Insbesondere bei der Nutzung von LinkedIn Page Insights kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehen.
Gerade für kleine und mittelständische Unternehmen sowie Freiberufler empfiehlt sich daher eine sorgfältige Prüfung der datenschutzrechtlichen Einordnung ihres LinkedIn-Unternehmensprofils, eine Anpassung der Datenschutzerklärung und eine klare Dokumentation der gemeinsamen Verantwortlichkeit mit LinkedIn, um rechtliche Risiken bei der Social Media Nutzung zu vermeiden.
