Vor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.
Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.
Welche Funktionen bietet „Workplace by Facebook“?
Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie
- Chat,
- Live-Video,
- Gruppen,
- Neuigkeiten,
- Veranstaltungen
- und die Möglichkeit Dateien zu teilen,
bleiben bestehen.
Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.
Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.
- Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
- Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
- Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter
Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.
Verursacht Workplace by Facebook Datenschutz-Risiken?
„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.
Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.
- Facebook ist dem Privacy Shield-Abkommen beigetreten
- Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
- Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
- Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.
Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.
Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.
Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.
Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie
- Gruppenstatistiken,
- Statistiken über beanspruchte Konten,
- Inhaltsstatistiken
- und Nachrichtenstatistiken.
Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.
Fazit
„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.
Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen.