Der Einfluss von LinkedIn als Social-Media-Plattform nimmt stetig zu. Gerade im beruflichen und geschäftlichen Kontext ist LinkedIn eine immer beliebter werdende Plattform, um sein eigenes Netzwerk aufzubauen. Auch für Unternehmen, die auf dem immer schwieriger werdenden Bewerbermarkt nach geeigneten Talenten suchen, kommen um LinkedIn nicht herum.
In mehreren Beiträgen gehe ich auf einige wesentliche rechtlichen Aspekte bei der Nutzung von LinkedIn ein. Der Beitrag wird regelmäßig um weitere rechtliche Aspekte erweitert.
Teil 1 – Datenschutzrechtliche Anforderungen beim Betrieb eines LinkedIn-Accounts
Wer einen Social-Media-Account betreibt, muss sich stets Gedanken über die datenschutzrechtlichen Anforderungen machen. Das gilt auch bei dem Betrieb eines LinkedIn-Accounts. Dabei ist stets die Frage zu beantworten, wer bei Social-Media-Sachverhalten überhaupt datenschutzrechtlicher Verantwortlicher ist. Ist allein der Betreiber der Social-Media-Plattform verantwortlich oder nur der Inhaber eines Social-Media-Accounts? Besteht in bestimmten Konstellationen gar eine gemeinsame Verantwortlichkeit?
Der EuGH hatte sich zuletzt in zwei Entscheidungen „Wirtschaftsakademie“ und „FashionID“ mit datenschutzrechtlichen Fragen nach der Verantwortlichkeit rund um Dienste von Facebook zu befassen. Ob die Feststellungen des EuGH auf andere Social-Media-Plattformen und damit auf LinkedIn übertragbar sind, ist bislang ungeklärt. Die Datenschutzkonferenz (DSK) schreibt in ihrem FAQ Facebook-Fanpages jedoch folgendes:
5. Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten (z. B. Instagram, Twitter, TikTok usw.)?
In der Tat dürften viele der Erkenntnisse auch auf andere Social-Media-Auftritte übertragbar sein. Die Umstände sind häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.
Letztlich lässt sich die Frage der Übertragbarkeit nicht abschließend beantworten, denn eine Übertragbarkeit ist wohl nur insoweit gegeben, wie sich die Sachverhalte decken. Es muss also für jeden Social-Media-Dienst gesondert geprüft werden, ob eine gemeinsame Verantwortlichkeit vorliegt oder nicht.
Kommt man zum Ergebnis, der Inhaber eines Social-Media-Accounts ist als datenschutzrechtlich Verantwortlicher einzustufen, muss dieser selbstverständlich auch sämtliche Pflichten aus der DSGVO erfüllen. Hierzu gehört zum einen das Vorhalten der erforderlichen Informationen nach Art. 13 DSGVO. Zudem muss der Inhaber eines Social-Media-Accounts dafür Sorge tragen, dass Betroffene ihre Rechte nach den Art. 15 ff. DSGVO wirksam ausüben können. Fast schon selbstverständlich ist die Erkenntnis, dass auch der Inhaber eines Social-Media-Accounts die personenbezogenen Daten der Betroffenen nur verarbeiten darf, wenn er sich hierfür auf eine Erlaubnis stützen kann.
Getrennte Verantwortlichkeit, Auftragsverarbeitung oder Gemeinsame Verantwortlichkeit?
Die Frage, wie die Verantwortlichkeiten beim Betrieb eines eigenen LinkedIn-Accounts datenschutzrechtlich geregelt ist, hängt maßgeblich davon ab, wie Unternehmen die Möglichkeiten der Plattform nutzen. Hat man lediglich einen vergleichsweisen passiven Account, über den zum Beispiel nur Unternehmensinformationen und neue Stellenausschreibungen geteilt werden, tritt man nicht zwangsläufig mit LinkedIn in eine gemeinsame Verantwortlichkeit.
Werden allerdings aktiv Nutzerdaten erhoben und durch externe Dienste weiterverarbeitet, bedarf es eines ausdrücklichen Hinweises auf entsprechende Datenschutzhinweise, die auch die Erhebung und Verarbeitung personenbezogener Daten über LinkedIn erfassen. Ausgehend von der Fanpage-Entscheidung des EuGH wird überwiegend vertreten, dass auch mit LinkedIn in dieser Konstellation eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO besteht. Entsprechend muss mit LinkedIn auch eine Vereinbarung über die gemeinsame Verarbeitung (sog. Joint-Controller-Agreement) geschlossen werden. Dies gilt vor allem dann, wenn von LinkedIn die sog. Page Insights nutzt. Weil LinkedIn von seinen Nutzern zahlreiche personenbezogene Daten (z.B. Lebenslauf, Funktion, Branche, Unternehmensgröße, Stationen etc.) verarbeitet, kann es Betreibern von Unternehmensseiten auch verschiedene Statistiken zur Verfügung stellen. Vor diesem Hintergrund bietet LinkedIn ein „Page Insights Joint Controller Addendum“ an, um mit den Unternehmen eine Vereinbarung im Sinne von Art. 26 DSGVO zu treffen.
Das Page Insights Joint Controller Addendum ist hier abrufbar: „The Addendum“ |
Entscheidet man sich als Unternehmen, die von LinkedIn bereitgestellten Tools zu nutzen, muss darauf geachtet werden, dass man auch hierfür den rechtlichen Rahmen schafft. Ist das Setzen eines Cookies beispielsweise nur nach Einholung einer entsprechenden Einwilligung erlaubt, muss diese zuvor wirksam und nachweisbar eingeholt worden sein. Im Rahmen der Datenschutzhinweise muss transparent über den Einsatz und Zweck der jeweiligen Tools genauso informiert werden, wie über die Rechtsgrundlage, auf der die Erhebung und Verarbeitung erfolgt.
Erfüllung der Informationspflicht aus Art. 13 DSGVO
Betreibt ein Unternehmen einen eigenen Unternehmensaccount auf LinkedIn, sollte es dort einen deutlich erkennbaren und leicht zugänglichen Link zu den Datenschutzhinweisen setzen. Diese Datenschutzhinweise sollten unter einer eigenen Rubrik sodann auch explizit die Verarbeitung personenbezogener Daten über LinkedIn enthalten. Der Umfang dieser Informationen hängt freilich davon ab, in welchem Umfang die Plattform genutzt wird und ob und wenn ja, welche personenbezogene Daten dort erhoben werden.
Werden LinkedIn-bezogene Cookies eingesetzt, müssen die Datenschutzhinweise mindestens folgende Informationen enthalten:
- Dass Cookies von LinkedIn gesetzt werden;
- Welche personenbezogenen Daten hierdurch erhoben werden;
- Zu welchem Zweck diese personenbezogenen Daten erhoben werden;
- Dauer der Speicherung/Zeitpunkt der Löschung;
- Ob eine Drittlandsübermittlung verbunden ist;
- Auf welcher Rechtsgrundlage die Erhebung und Verarbeitung erfolgt;
- Dass der Nutzer der weiteren Verarbeitung für die Zukunft jederzeit widersprechen kann.
Literaturtipp zum Thema Datenschutz auf Social-Media-Plattformen: Handbuch Social-Media-Recht, Kap. 5 „Datenschutz“, S. 229 ff. (Füllsack/Kirschke-Biller) |
Teil 2 – Impressumspflicht auch bei LinkedIn
Anbieter von geschäftsmäßigen Telemediendiensten sind nach § 5 TMG zur Bereithaltung eines sog. Impressums verpflichtet. Im Rahmen dieses Impressums sind verschiedene Informationen zum Unternehmen vorzuhalten, um dieses im geschäftlichen Verkehr für zum Beispiel Verbraucher identifizierbar zu machen. Verpflichtet ist damit zunächst jeder Betreiber einer Website, auf der Waren und Dienstleistungen angeboten werden. Aber auch Unternehmensseiten auf Social-Media-Plattformen, wie Facebook, Instagram oder Youtube unterfallen nach der Rechtsprechung unter die Pflicht zur Bereithaltung eines solchen Impressums (statt vieler OLG Düsseldorf, Urt. v. 13.8.2013 – I-20 U 75/13). Entsprechend müssen zum Beispiel auch Influencer auf ihre Accounts ein Impressum bereithalten. Und für Unternehmensaccounts auf Karrierenetzwerken, wie Xing oder LinkedIn, gilt nichts anderes als für Unternehmensaccounts auf anderen Social-Media-Plattformen.
Literaturtipp zum Thema Impressumspflicht auf Social-Media-Plattformen: Handbuch Social-Media-Recht, Kap. 4 I. Der Social-Media-Account, S. 101 ff. (Heins) |
Was gehört in ein Impressum auf LinkedIn?
Das Impressum zum Beispiel eines Selbständigen auf LinkedIn muss dabei mindestens folgende Informationen beinhalten (§ 5 Abs. 1 TMG):
- Vollständiger Name des Betreibers des LinkedIn-Accounts (bei Minderjährigen die Erziehungsberechtigten)
- Anschrift des Betreibers (diese muss ladungsfähig sein, d.h. ein Postfach genügt nicht)
- Kontaktdaten des Betreibers (mindestens zwei Kontaktmöglichkeiten, z.B. eine E-Mail-Adresse und eine Telefonnummer für eine schnelle elektronische Kontaktaufnahme)
Ein Unternehmen, das als juristische Person auftritt, muss zusätzlich folgende Angaben ergänzen:
- Rechtsform (z.B. GmbH)
- Vertretungsberechtigte Personen (z.B. Geschäftsführer)
- Umsatzsteuernummer (falls vorhanden)
- Registergericht und entsprechende Registernummer (falls vorhanden)
Bei journalistisch-redaktionellen Inhalten ist zudem darauf zu achten, eine inhaltlich verantwortliche Person anzugeben (§ 18 MStV). Da diese Person auch für die inhaltliche Richtigkeit von Beiträgen verantwortlich ist, sollte hier mit größtmöglicher Sorgfalt gearbeitet werden. Die inhaltlich verantwortliche Person kann zudem nur eine natürliche Person sein und nicht etwa eine Gesellschaft, wie eine GmbH.
Wie ist das Impressum auf LinkedIn einzubinden?
Grundsätzlich gilt: Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Ein ordnungsgemäßes Impressum ist grundsätzlich mit maximal zwei Klicks erreichbar. Ratsam ist auch eine eindeutige Bezeichnung mit dem Wort „Impressum“. Es reicht daher nicht aus, das Impressum lediglich auf der Webseite bereitzustellen - es muss sich auch leicht auf LinkedIn finden lassen. Die Umsetzung ist auf LinkedIn nicht immer einfach. Letztlich wird es nur über einen deutlich erkennbaren Link hin zum Impressum auf der Website gehen. Dort kann man dann klarstellend den Satz aufnehmen, dass dieses Impressum auch für sämtliche Social-Media-Präsenzen des Unternehmens gilt.
Teil 3 – Freischaltung eines gesperrten LinkedIn-Accounts
Immer häufiger kommt es vor, dass LinkedIn die Profile seiner Nutzer sperrt. Das beruht in den meisten Fällen aufgrund einer Content Moderation. LinkedIn bewertet dabei einen bestimmten Beitrag des betroffenen Nutzers als Verstoß gegen die Nutzungsbedingungen und sanktioniert diesen Verstoß mit der Sperre des gesamten Profils. In den meisten Fällen ist eine solche Sperre jedoch nicht gerechtfertigt. Entweder, weil der besagte Beitrag völlig harmlos ist und bei näherer Betrachtung nicht gegen die Nutzungsbedingungen verstößt. Oder weil die Sperrung des gesamten Profils wegen des streitigen Beitrages unverhältnismäßig ist. Hinzu kommt, dass LinkedIn im Vorfeld der Sperrung den Nutzer nicht die Möglichkeit gibt, gegen die geplante Sperre Einspruch zu legen.
Ein weiterer Grund für die Sperre von Profilen auf LinkedIn sind angebliche Sicherheitserwägungen. LinkedIn scheint regelmäßig unnatürliche bzw. auffällige Aktivitäten auf der Plattform zu registrieren und sperrt sicherheitshalber das ein oder andere Profil zu viel. Auch in diesen Fällen ist die Sperre meistens nicht gerechtfertigt, weil von den Profilen der betroffenen Nutzer keine Gefahr für die Sicherheit der Plattform ausgeht. Auch hier ist die Verletzung der Nutzungsbedingungen nicht gegeben.
Gemeinsam haben beide Konstellationen, dass jeder Versuch der Nutzer, die Sperre aufzuheben, erfolglos bleibt. Der Kunden-Support reagiert vielmehr stets mit den immer gleichen Antworten. Eine echte Prüfung der Beschwerde wird nicht vorgenommen.
Erste erfolgreiche gerichtliche Entscheidung gegen LinkedIn auf Freischaltung
Aber nicht nur gegenüber den Social-Media-Plattformen Facebook, X (früher Twitter) und Tik Tok haben Nutzer einen vertraglichen Anspruch auf Wiederherstellung des gesperrten Profils. Das Kammergericht Berlin (Beschl. v. 20.2.2023 - 10 W 85/22) hat in einem 2023 veröffentlichten Beschluss dieser Sperrpraxis von LinkedIn nun eine Absage erteilt und die Nutzungsbedingungen von LinkedIn, auf denen die Löschung von Beiträgen und die Sperre von Accounts beruhen, für unwirksam erklärt. Sie halten eine AGB-Kontrolle nicht Stand und benachteiligen die Nutzer einseitig. Hierzu führt das Kammergericht aus:
Der Bundesgerichtshof hat in seinem Urteil vom 29. Juli 2021 – III ZR 179/20 (veröffentlicht unter anderem in BGHZ 230, 347 ff., K& R 2021, 723 ff. und AfP 2022, 147 ff.) entschieden, dass der Anbieter eines sozialen Netzwerks sich in seinen Geschäftsbedingungen zu verpflichten habe, den Nutzer über die Entfernung seines Beitrags zumindest unverzüglich nachträglich und über eine beabsichtigte Sperrung seines Nutzerkontos vorab zu informieren, ihm den Grund dafür mitzuteilen und eine Möglichkeit zur Gegendarstellung einzuräumen, an die sich eine Neubescheidung anschließe, anderenfalls die Geschäftsbedingungen gemäß § 307 Absatz 1 Satz 1 BGB unwirksam seien (vgl. BGH, a.a.O., amtlicher Leitsatz zu c). Die Regelungen der Antragsgegnerin sehen unstreitig eine solche Verfahrensweise nicht vor. Ein Nutzer wird im Gegenteil darauf – nach eigener Kenntniserlangung einer Kontoeinschränkung oder Entfernung eines Inhalts – verwiesen, selbst aktiv zu werden und mit einem „Einspruchsverfahren“ zu beginnen. Das ist nicht interessengerecht im Sinne des § 307 BGB (BGH, a.a.O. Randnummer 96).
Nach diesen Feststellungen des Kammergerichts sind die Nutzungsbedingungen bezogen auf das Recht von LinkedIn, Konten zu sperren, unwirksam. Stützt sich LinkedIn hinsichtlich eines gesperrten Profils also (noch) auf diese Regelung, ist auch die Sperre bereits aus diesem Grund unzulässig. Hiervon sind nur solche Sperren ausgenommen, die ausnahmsweise und unter Berücksichtigung der BGH-Rechtsprechung auch ohne eine vorherige Möglichkeit zur Stellungnahme ausgesprochen werden darf. Das ist allerdings nur bei schwerwiegenden Verstößen der Fall.
Nutzer haben einen Anspruch auf Freischaltung des LinkedIn-Accounts
Auch LinkedIn darf nicht willkürlich Profile sperren und muss die Rechtsprechung des BGH bei der Ausgestaltung der eigenen Nutzungsbedingungen beachten. Dazu gehört auch, dass Nutzer, deren Profile wegen einer angeblichen Verletzung der Nutzungsbedingungen gesperrt werden sollen, vorher angehört werden müssen. Geschieht dies nicht, ist die Sperrung des Profils bereits aus diesem Grund unzulässig.
Rechtsberatung vom Anwalt für IT- und Datenschutzrecht
Unsere Rechtsanwälte für IT-Recht Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum IT- und Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden. Zu unseren Leistungen gehört auch die Unterstützung bei der Erstellung einer rechtssicheren Website.
Unsere Leistungen im Überblick:
- Datenschutzrechtliche Prüfung des dargestellten Sachverhalts
- Unterstützung bei der datenschutzkonformen Umsetzung eines Projektes
- Unterstützung bei der Durchsetzung oder Abwehr von datenschutzrechtlichen Ansprüchen
- Beratung bei der Gestaltung von IT-Verträgen
- Unterstützung beim Aufbau eines Online-Shops
Mehr zu unseren Leistungen im IT- und Datenschutzrecht finden Sie hier:
Gerne bringen wir Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstützen Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie uns jederzeit für ein Kennenlerngespräch.