Das weltgrößte soziale Netzwerk Facebook setzt zum Sprung an, mit seinem Dienst Workplace auch die Unternehmenskommunikation zu erobern. Wenn der Name Facebook fällt, steht hinter „Datenschutz“ immer ein großes Fragezeichen im Raum. So auch bei Workplace?
Rund zwei Milliarden Menschen nutzen weltweit Facebook, in Deutschland sollen es ca. 30 Millionen aktive Nutzer sein, rund 20 Millionen davon schauen angeblich täglich vorbei. Damit ist Facebook unbestritten das größte und reichweitenstärkste soziale Netzwerk der Welt.
Jetzt setzt der Social-Media-Gigant an, die Kommunikation in Unternehmen zu erobern. „Workplace by Facebook“ heißt die Lösung, die jedem Unternehmen ein eigenes internes Facebook bieten soll. Die Erfolgsaussichten dürften positiv sein, denn Facebook Workplace bietet einen riesigen Vorteil: Da es in seiner Bedienung und Funktionalität sehr stark dem bekannten sozialen Netzwerk ähnelt, dürfte sich eine große Zahl der Nutzer mit der Bedienung schnell anfreunden und der Einstieg ist mit einer sehr geringen Lernkurve verbunden. Zudem bietet es einen großen Funktionsumfang, der nahezu beliebig skalierbar ist. Auch lassen sich über entsprechende Schnittstellen viele andere Dienste integrieren.
Nun sind die Begriffe Facebook und Datenschutz traditionell so nah beieinander wie Teufel und Weihwasser. Datenschutzrechtlich schellen impulsiv alle Alarmglocken, insbesondere bei Unternehmensdaten. Was passiert mit diesen? Wie sicher sind sie? Wo werden sie gespeichert? Etc.
Unterschiedliche Geschäftsmodelle
Vor einer Bewertung des datenschutzrechtlichen Hintergrunds lohnt ein Blick auf die Geschäftsmodelle hinter Facebook und Facebook Workplace.
Das normale soziale Netzwerk Facebook ist für die Nutzer kostenfrei – zumindest fließt kein Geld vom Nutzer an Facebook. Die einzige Möglichkeit für Facebook, hier Geld zu erwirtschaften, ist die Monetarisierung der Nutzerdaten. Die Nutzer zahlen also mit der Offenlegung ihres Verhaltens und ihrer Interessen, wodurch sie besonders scharf beworben werden können.
Facebook Workplace wiederum ist werbefrei und kostenpflichtig. Das macht einen großen Unterschied. Ein wesentlicher Punkt, um mit Workplace also Kunden gewinnen und somit Geld verdienen zu können, ist das Vertrauen in Facebook, dass die Daten sicher sind. Denn bei der Nutzung durch Unternehmen stellt sich nicht nur die Frage, wer sich evtl. bei der letzten Betriebsfeier durch erhöhten Alkoholkonsum blamiert hat, sondern es geht auch um den Schutz von Unternehmensgeheimnissen.
Sollte Facebook den Datenschutz nicht beherzigen, wird es mit Workplace scheitern. Das zumindest wäre die logische Konsequenz. – Dafür, dass die Welt nicht immer logisch tickt, gibt es jedoch leider auch viele Belege.
Was können wir also über Facebook Workplace konkret sagen?
Wem gehören die Daten?
Facebook Workplace versichert, dass das Eigentum der Daten beim Unternehmen liegt und dieses die Verfügungsmacht darüber hat. Das Unternehmen ist demzufolge „Herr der Daten“ und bestimmt, was mit den Daten passieren soll. Das Unternehmen kann seine Daten jederzeit verändern, löschen oder exportieren. Bei der Beendigung des Vertrags zwischen dem Unternehmen und Facebook Workplace sollen sämtliche Datenbestände auf den Servern der Facebook Inc. gelöscht werden.
Es bestehen allerdings rechtliche Unsicherheiten, z. B. was bei einer fristlosen Vertragskündigung durch die Facebook Inc., etwa bei Vertragsverletzungen durch das Unternehmen, mit den Daten passiert. Hier fehlt es an Transparenz, ob dadurch das Unternehmen möglicherweise die Hoheit über seine Daten verliert und keinen Zugriff mehr darauf hat oder die Daten seitens der Facebook Inc. unwiderruflich gelöscht werden. Daher ist es von Unternehmensseite her unbedingt ratsam, sich gegenüber der Facebook Inc. vertraglich abzusichern, um in jedem Fall vollständiger Inhaber der Daten zu bleiben.
Wo werden die Daten gehostet?
Sämtliche Inhalte der Nutzer von Facebook Workplace werden nicht auf lokalen Servern des Unternehmens gespeichert und verarbeitet, sondern auf Servern der Facebook Inc. Laut der Workplace-Datenrichtlinie können die Daten an Standorten weltweit gespeichert und verarbeitet werden. Dies bedeutet, dass Daten, die im Europäischen Wirtschaftsraum (EWR) erfasst werden, auch in Länder außerhalb des EWR übermittelt werden können. Nutzer außerhalb der USA und Kanada müssen sich im Rahmen der Datenrichtlinien von Facebook Workplace damit einverstanden erklären, dass die Nutzung des Dienstes zur Übermittlung von personenbezogenen Daten an die Facebook Inc. in die USA führen kann – wobei Facebook zusichert, dass dies unter Berücksichtigung der Bestimmungen des EU-US-Privacy-Shield-Abkommens passiert.
Welche rechtlichen Regelungen finden Anwendung in Bezug auf die Nutzung von Facebook Workplace?
Um zu bestimmen, welche rechtlichen Regelungen Anwendung finden, ist zunächst der Sitz des Diensteanbieters ausschlaggebend.
Europäische Unternehmen schließen einen Vertrag zur Auftragsdatenverarbeitung im Sinne des § 11 BDSG mit Facebook Irland ab. Allerdings können, wie bereits dargelegt, die Daten unter anderem an die Server der Facebook Inc. in die USA übermittelt werden. Will ein Unternehmen jedoch Daten von Kunden oder Mitarbeitern an ein Unternehmen in die USA senden, ist dies nicht ohne Weiteres möglich. Der Datentransfer in die USA darf nur erfolgen, wenn dieser einem angemessenen Datenschutzniveau nach Vorstellungen der EU entspricht. Diese Anforderung lässt sich jedoch über das EU-US-Privacy-Shield-Abkommen beheben.
US-Unternehmen, denen personenbezogene Daten übermittelt werden, verpflichten sich dazu, umfangreiche datenschutzrechtliche Regelungen einzuhalten, die zwischen dem US-Handelsministerium und der Europäischen Kommission abgestimmt wurden. Wenn ein US-Unternehmen diese Verpflichtung eingeht, gilt das Datenschutzniveau seitens der EU als angemessen und europäische Unternehmen dürfen personenbezogene Daten unter denselben Voraussetzungen übermitteln, unter denen dies auch in der EU zulässig wäre. Allerdings müssen die betroffenen Personen in geeigneter Weise über die Datenübermittlung informiert werden. Dies hat im Regelfall über den Datenschutzbeauftragten des Unternehmens zu erfolgen.
Die Facebook Inc. ist hinsichtlich ihrer Workplace-Plattform dem EU-US-Privacy-Shield-Abkommen beigetreten und hält die rechtlichen Rahmenbedingungen ein, wodurch derzeit die Übermittlung von personenbezogenen Daten in die USA rechtlich abgesichert ist. Allerdings steht das Privacy-Shield-Abkommen – ähnlich wie das vorherige Safe-Harbor-Abkommen – in der Kritik. Deshalb gilt es hier, gegebenenfalls gesetzliche Änderungen aufmerksam zu verfolgen.
Des Weiteren sollten Unternehmen folgende Grundsätze beachten:
- Im Hinblick auf das Gebot der Datensparsamkeit im Sinne des § 3a BDSG sollten personenbezogene Daten auf das unbedingt Erforderliche beschränkt werden.
- Darüber hinaus sollte beachtet werden, dass sensible Daten nach § 3 Abs. 9 BDSG besonders schutzbedürftig sind und keinesfalls über Facebook Workplace verarbeitet werden sollten. Dazu zählen beispielsweise gesundheitliche Angaben, politische Meinungen, religiöse Ansichten, Gewerkschaftszugehörigkeiten etc.
Gibt es Änderungen, wenn die EU-DSGVO in Kraft tritt?
Ab 25. Mai 2018 werden nationale Datenschutzgesetze wie z. B. das aktuelle BDSG durch die Datenschutz-Grundverordnung (DSGVO – siehe: www.s-con.de/INFO6) der EU ersetzt. Da diese vor allem die zu erfüllenden Pflichten der verantwortlichen Datenverarbeiter verschärft und deshalb über die festgelegten Regelungen im EU-US-Privacy-Shield hinausgeht, besteht diesbezüglich möglicherweise Anpassungsbedarf.
Bislang verweist die Europäische Kommission darauf, dass die Anforderungen an eine Angemessenheitsentscheidung, wie im Falle des EU-US-Privacy-Shield-Abkommens, darin besteht, dass lediglich ein Datenschutzniveau gewährleistet sein muss, das dem Schutzniveau der EU im Wesentlichen entspricht. Die Europäische Kommission ist der Auffassung, dass die DSGVO auf den gleichen Grundprinzipien sowie Rechten und Pflichten der noch derzeitig gültigen Richtlinie 95/46/EG basiert, sodass das EU-US-Privacy-Shield-Abkommen weiterhin die Kernelemente des Datenschutzrechts der EU beinhalte. Nichtsdestotrotz wird die Europäische Kommission überprüfen, ob dennoch Veränderungen vorgenommen werden müssen.
In Bezug auf Facebook Workplace bedeutet dies, dass europäische Unternehmen darauf achten müssen, ob Facebook Inc. im Zuge etwaiger Änderungen diesen Anforderungen weiterhin gerecht wird und die Sicherheit der Daten zukünftig gewährleistet ist.
Fazit
Zunächst ist positiv zu bewerten, dass Facebook Ambitionen zeigt, den europäischen datenschutzrechtlichen Anforderungen nachzukommen. Dennoch bestehen einige rechtliche Unsicherheiten, die es seitens des Unternehmens abzuklären und möglicherweise vertraglich zu regeln gilt. Wichtig ist hier beispielsweise zu wissen, dass Facebook sich die Aktualisierung der Datenrichtlinie vorbehält.
Wer also Facebook Workplace nutzen möchte, sollte sorgfältig die vertraglichen Regelungen und Datenrichtlinien von Facebook Workplace überprüfen.
Es ist empfehlenswert, die Plattform lediglich für die interne Kommunikation zu nutzen und nur unkritische Unternehmensdaten zu erfassen, also beispielsweise keine Kundendaten oder ähnlich sensible Daten.
Stand: 2017
