Ist Workplace by Facebook im Unternehmen datenschutzkonform?

Wie heute vielerorts berichtet, wurde der Start von Workplace by Facebook nun offiziell verkündet. Dabei handelt es sich um ein neues soziales Netzwerk von Facebook speziell für Unternehmen. Da die Begriffe Facebook und Datenschutz nicht unbedingt verwandt sind, stellt sich uns die Frage, ob Workplace überhaupt datenschutzkonform eingesetzt werden kann.

Was ist Workplace by Facebook?

Bei Workplace handelt es sich um ein soziales Netzwerk, das innerhalb eines Unternehmens oder Konzerns zur internen Kommunikation genutzt wird. Ähnliche Produkte gibt bereits in Form von Yammer oder Slack.

Mitarbeiter können sich dort z.B. untereinander austauschen, chatten, Dokumente teilen oder bearbeiten oder Präsentationen verfolgen. Workplace und das bisherige Facebook sind dabei völlig voneinander getrennt. Zur Nutzung von Workplace ist kein privater Facebook-Account erforderlich. Inhalte werden nicht zusammengeführt oder an Werbetreibende weitergegeben. Anders als Facebook räumt sich Workplace keinerlei Nutzungsrechte bezüglich irgendwelcher Informationen ein.

Rechtsgrundlage der Datenverarbeitung

Bei Nutzung von Workplace werden – wie bei allen sozialen Netzwerken – zwangsweise jedoch auch umfangreich personenbezogene Daten der Mitarbeiter erhoben und verarbeitet. Das diese Datenverarbeitung z.B. mit einer wirksamen Einwilligung der Mitarbeiter grundsätzlich rechtmäßig ausgestaltet werden kann, haben wir hier dargestellt.

Datenschutzrechtliche Besonderheiten bei Workplace

Neben den dort beschriebenen Grundsätzen, sind bei Workplace jedoch spezielle datenschutzrechtliche Anforderungen zu beachten, da hier zwangsläufig eine Datenübermittlung in die USA stattfindet. Zusätzlich zu einer Rechtsgrundlage für die Übermittlung ist daher ein angemessenes Datenschutzniveau beim Empfänger erforderlich.

Privacy Shield und EU-Standardvertragsklauseln

Facebook ist bezgl. des Produktes Workplace dem Privacy Shield Abkommen beigetreten. Darüber hinaus hat Facebook für Workplace während der Testphase noch unter dem Namen „Facebook at Work“ EU-Standardvertragsklauseln angeboten. Diese liegen uns vor und sind nicht zu beanstanden. Es ist daher zu vermuten, dass solche Klauseln auch weiterhin angeboten werden.

Wenn von den grundsätzlichen Bedenken gegen Datenübermittlungen in die USA und besonders der Kritik gegen das Privacy Shield abgesehen wird, ist festzuhalten, dass derzeit eine Übermittlung im Rahmen der Nutzung von Workplace by Facebook rechtssicher möglich ist, da alle Voraussetzungen eingehalten werden können.

Datensicherheit

Auch die getroffenen technischen und organisatorischen Maßnahmen sind – zumindest auf dem Papier – ausreichend. Diese sind in allgemeiner Form in einem Whitepaper und konkreter in einem Data Security Addendum zu den EU-Standardvertragsklauseln festgehalten.

Berücksichtigung weiterer datenschutzrechtlicher Grundsätze

Allerdings sollten bei der Nutzung auch die übrigen Grundsätze des Datenschutzrechts berücksichtigt werden. Profilangaben der Mitarbeiter z.B. sollten im Rahmen der Datensparsamkeit auf das unbedingt Erforderliche begrenzt und darüber hinaus freiwillig sein. Gesundheitsdaten sollten in keinem Falle über Workplace by Facebook ausgetauscht werden.

Workplace bietet für die Administratoren der jeweiligen Unternehmen eine Vielzahl von Auswertungsmöglichkeiten. Hier ist darauf zu achten, dass die Daten der Mitarbeiter streng Zweckgebunden und nicht etwa zu heimlichen Leistungs- und Verhaltenskontrollen genutzt werden.

Einzelfallprüfung erforderlich

Sollte Workplace by Facebook tatsächlich zum Einsatz kommen, ist Unternehmen zu raten, die oben genannten Voraussetzungen nochmals intensiv und im konkreten Fall zu prüfen, um unrechtmäßige Datenübertragungen in die USA zu vermeiden. Diese werden derzeit von den Aufsichtsbehörden noch besonders geprüft.

Der betriebliche Datenschutzbeauftragte und ggf. der Betriebsrat sollten in jedem Falle schon in der Planungsphase einbezogen werden.