Das Karrierenetzwerk LinkedIn wird auch bei deutschen Unternehmen immer beliebter. Für uns der richtige Moment, diese Plattform auch in datenschutzrechtlicher Hinsicht genauer unter die Lupe zu nehmen. Den Aufschlag machen dabei die gesetzlichen Informationspflichten. Mit dem folgenden Beitrag wollen wir Ihnen hierzu eine kurze rechtliche Einordnung geben. Außerdem erklären wir Ihnen, wie Sie ein Impressum und eine Datenschutzerklärung auf Ihrer LinkedIn-Unternehmensseite praktikabel einbinden können.
Impressum ist Pflicht!
Die Rechtsprechung hat bereits für Unternehmenspräsenzen auf Facebook geklärt, dass die Pflichtangaben des § 5 Abs. 1 TMG mitgeteilt werden müssen. Diese Auffassung lässt sich nach unserem Dafürhalten auch auf gewerbliche Profile bei XING oder LinkedIn übertragen.
Fehlt ein Impressum oder ist es nicht richtig in die Seite eingebunden, stellt dies einen wettbewerbsrechtlichen Verstoß dar. In einem solchen Fall besteht das Risiko, durch Verbraucherschutzverbände oder auch konkurrierende Unternehmen eine kostenpflichtige Abmahnung zu kassieren.
Es lässt sich also zunächst feststellen, dass Unternehmensprofile auf LinkedIn über ein einfach zu erkennendes und unmittelbar (d.h. über maximal zwei Klicks) erreichbares Impressum verfügen müssen.
Benötigen Unternehmen auf LinkedIn eigene Datenschutzhinweise?
Verantwortlicher für die Verarbeitung von personenbezogenen Daten auf der Plattform selbst ist zunächst die LinkedIn Ireland Unlimited Company. Diese trifft insoweit auch die Pflicht, die Nutzer und Besucher von LinkedIn über diese Datenverarbeitung zu informieren, was über eine eigene Datenschutzrichtlinie des Netzwerks umgesetzt wird.
Eigene Datenschutzhinweise müssen durch Unternehmen nur dann vorgehalten werden, wenn diese für die Datenverarbeitung neben LinkedIn datenschutzrechtlich verantwortlich sind. Dies ist zum Beispiel dann der Fall, wenn über die Unternehmensseite aktiv Daten über Besucher erhoben und mit eigenen Mitteln weiterverarbeitet werden.
In diesem Kontext muss das Fanpage-Urteil des Europäischen Gerichtshofs beachtet werden. Der Gerichtshof hatte hier entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook hinsichtlich der statistischen Auswertung über den Dienst „Seiten-Insights“ als gemeinsam Verantwortliche zu bewerten sind.
Ist eine Verarbeitung durch gemeinsame Verantwortliche gegeben, müssen diese gemäß Art. 26 Abs. 1 DSGVO ein sogenanntes Joint-Controller-Agreement (JCA) abschließen. In diesem JCA muss unter anderem festgelegt werden, welcher gemeinsam Verantwortliche welche Verpflichtung der DSGVO erfüllt. Ähnlich wie Facebook bietet auch LinkedIn solche Analysen über Besucher und Follower einer Unternehmensseite an. Insoweit lassen sich die gerichtlichen Erwägungen des Facebook-Fanpage-Urteils grundsätzlich auch auf LinkedIn übertragen.
LinkedIn scheint sich dieser Konsequenz bewusst zu sein. Jedenfalls ist mit dem Page Insights Joint Controller Addendum (Addendum) ein Joint-Controller-Agreement Bestandteil der unter dem Button Administratortools auf der Unternehmensseite abrufbaren Bedingungen für Unternehmensseiten.
Ob die deutschen Aufsichtsbehörden dieses Page Insights Joint Controller Addendum akzeptieren werden, ist gegenwärtig unklar. Mit Blick auf die kritische Positionierung der Datenschutzkonferenz zu der ähnlich gestalteten Vereinbarung von Facebook ist hier aber eine gewisse Skepsis angebracht.
Wichtig für Unternehmen: Durch eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO müssen eigene Datenschutzhinweise durch Unternehmen auf LinkedIn bereitgestellt werden. Dies umfasst in erster Linie die Mitteilung von Informationen, über die nur der Betreiber der Seite verfügt. Konkret sind dies zum Beispiel die eigenen Kontaktdaten und die des Datenschutzbeauftragten (sofern vorhanden). Außerdem müssen Betreiber die Rechtsgrundlage für die Verarbeitung der Insights-Daten benennen. Hier wird regelmäßig nur Art. 6 Abs. 1 Buchst. f) DSGVO in Betracht kommen. Der Betreiber muss den Betroffenen dabei explizit mitteilen, welches berechtigte Interesse mit der Verarbeitung verfolgt wird.
Empfehlung der Datenschutzkanzlei
Die Unternehmensseite sollte um Datenschutzhinweise des Betreibers ergänzt werden. Diese sollte jedenfalls die folgenden Informationen enthalten:
- den Namen und die Kontaktdaten des Betreibers;
- ggf. die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- die wesentlichen Inhalte des Page Insights Joint Controller Addendum;
- ggf. Informationen zu weiteren Verarbeitungstätigkeiten über die Unternehmensseite.
Wie lassen sich Impressum und Datenschutzhinweise in die Unternehmensseite einbinden?
Leider hat LinkeIn keinen geeigneten Platz für Impressum und eigene Datenschutzhinweise geschaffen. Die Pflichttexte in die Unternehmensbeschreibung aufzunehmen, ist schon mangels Zeichenbegrenzung keine praktikable Option. Auch wird auf Seiten des Betreibers voraussichtlich wenig Interesse bestehen, diesen Platz hierzu zu „verschwenden“.
Auch die Einbindung von Links in die Unternehmensbeschreibung ist als Lösung nur bedingt tauglich. Denn LinkedIn bietet hierbei keine Möglichkeit, diese Links „klickbar“ zu machen, was laut Rechtsprechung aber zumindest bei den Impressumsangaben notwendig ist.
Um einen klickbaren Link auf der Unternehmensseite einzufügen bleibt daher nur das Feld „Website“ im Bereich der Unternehmensbeschreibung.
Dabei sollte bereits die URL deutlich machen, dass der Link zu den entsprechenden Angaben führt (z.B. beispielwebsite.de/pflichtangaben). Denn über eine solche „sprechende“ Verlinkung können die Besucher direkt erkennen, dass hierüber weitere Informationen wie Impressum und Datenschutzhinweise abgerufen werden können.
Damit die entsprechenden Pflichtangaben schnell zu erreichen sind, sollte eine eigene Landingpage mit weiteren Links erstellt werden. Auf dieser Seite können dann alle Links, auf welche die Aufmerksamkeit der Besucher gelenkt werden soll (Hauptseite, Impressum, Datenschutzerklärung) übersichtlich platziert werden. Auch unsere Kanzlei hat eine solche Landingpage für die Social-Media-Seiten erstellt.
Trotz Landingpage besteht hier das Problem, dass Besucher Ihrer LinkedIn-Seite regelmäßig mehr als die von der Rechtsprechung vorgegebenen zwei Klicks benötigen, um die Pflichtangaben zu erreichen. Diese Vorgabe kann nur dadurch gelöst werden, dass für die Verlinkung zusätzlich der Button der Kopfzeile genutzt wird.
Allerdings werden auch bei dieser Lösung nicht alle rechtlichen Vorgaben erfüllt. Denn leider kann die Beschreibung dieses Buttons nicht frei gewählt werden. Stattdessen gibt LinkedIn hier die möglichen Bezeichnungen vor. Zum Verweis auf weitere Inhalte bietet sich an dieser Stelle nur der Button-Name „Mehr erfahren“ an.
Mit Blick auf ein Urteil des OLG Düsseldorf, in der eine Verlinkung des Impressums unter einem mit „Info“ überschriebenen Button als unzureichend eingestuft wurde, ist daher auch diese Lösung nicht frei von rechtlichen Risiken. Aus unserer Sicht stellt sie aber derzeit die praktikabelste Lösung dar.
Fazit
Betreiber einer Unternehmensseite auf LinkedIn müssen ein eigenes Impressum vorhalten. Die rechtlich notwendigen Angaben können über eine Verlinkung auf die eigene Website erfüllt werden. Vergleicht man die bestehenden Vorgaben für Facebook-Fanpages, sollten zusätzlich eigene Datenschutzhinweise bereitgehalten werden. Leider bietet LinkedIn hierzu bislang keine optimale Lösung an, wodurch rechtliche Risiken bestehen bleiben. Hier liegt es an der Plattform, die deutschen und europäischen Vorgaben entsprechend umzusetzen.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.