Workplace by Facebook ist ein cloud-basierter interner Kommunikationsdienst für Unternehmen, ein sog. „Social Intranet“. Er wurde am 10. Oktober 2016 offiziell angekündigt, interessierte Unternehmen konnten jedoch schon in der Beta-Phase den neuen Dienst ausprobieren, damals noch unter dem Begriff „Facebook at Work“. Workplace by Facebook tritt zu einer Vielzahl weiterer Kollaborationsdienste in Konkurrenz, genannt seien beispielhaft neuere Vertreter wie Slack, Hipchat oder Microsofts Yammer, sowie die älteren Dienste IBM Connections und das ebenfalls von Microsoft vertriebene Sharepoint.
Im Ausland erfreut sich der neue Facebook-Dienst trotz der vergleichsweise kurzen Zeit auf dem Markt großer Beliebtheit. Im Sommer 2016 gab es etwa 450 Unternehmen, die den Dienst als Intranet-Service nutzten, mittlerweile sollen es schon über 1000 sein. Bekannte Kunden sind etwa Starbucks, Danone, Oxfam oder die Royal Bank of Scotland.
Ein Hauptvorteil des Dienstes liegt für Unternehmen darin, dass die Gestaltung an die – vielen Nutzern vertraute – Facebook-Oberfläche angelehnt ist, so dass der Erklärungsbedarf sinkt und sich die meisten Nutzer schnell zurechtfinden dürften, wodurch Schulungen vermieden werden können. Als Cloud-Dienst erspart es den Unternehmen weitere Kosten, soweit die Unterhaltung eigener Infrastruktur samt Personalkosten zum Betrieb einer Kollaborationsplattform vermieden wird. Facebook setzt bei Workplace auf eine aggressive Preispolitik mit Kosten zwischen drei und einem US-Dollar pro Mitarbeiter und Monat, abhängig von der Unternehmensgröße.
1. Bedenken der norwegischen Aufsichtsbehörde
Im Sommer 2016 gab die norwegische Datenschutzschutzbehörde zu bedenken, dass die Gefahr des exzessiven Profilings von Angestellten und der Nutzung der Daten für gezieltes Marketing für Dritte bestehe. Die geäußerten Bedenken sind auch für die Beurteilung nach EU-Datenschurecht relevant, schon weil Norwegen als Mitglied des EWR denselben Datenschutzregeln unterliegt.
Die Sorge der Aufsichtsbehörde erklärt sich auch vor dem Hintergrund, dass von Nutzern eingebrachte Inhalte, etwa firmeninterne Kommunikation, nicht auf lokalen Firmenservern vorgehalten, sondern auf Server von Facebook, die auch für dessen Hauptdienst genutzt werden, übertragen und gespeichert werden (s. SOC 3 Report zu Facebook at Work, S. 5). Die Workplace-Datenrichtlinie sieht entsprechend vor, dass die Speicherung der erhobenen Daten nicht zwangsläufig im europäischen Wirtschaftsraum zu erfolgen hat.
Facebook ist allerdings zwischenzeitlich – mit Wirkung vom 30.09.2016 – nach dem EU-U.S. Privacy Shield zertifiziert worden, womit gemäß dem Durchführungsbeschluss (EU) 2016/1250 der europäischen Kommission vom 12. Juli 2016 davon ausgegangen werden kann, dass ein angemessenes Schutzniveau gewährleistet wird, das mit geltenden europarechtlichen Vorgaben vereinbar ist. Damit steht die Tatsache, dass Facebook Inc. die personenbezogenen Daten in den USA verarbeitet, einer Beauftragung formal nicht mehr entgegen. Allerdings ist nicht auszuschließen, dass das Privacy Shield dasselbe Schicksal erleidet wie der Kommissionsbeschluss zum Vorgänger “Safe Harbor”, der vom Europäischen Gerichtshof für nichtig erklärt wurde. Ein entsprechendes Gerichtsverfahren ist bereits anhängig. Wie die Irish Times berichtet, will die Bundesregierung auf Seiten der Kommission beitreten und das Privacy Shield verteidigen. Im Hinblick auf die unklaren Zukunftsaussichten des Privacy Shield sind Unternehmen gut beraten, die Übermittlung in die USA im Rahmen von Workplace zusätzlich abzusichern, indem sie z.B. mit Facebook Inc. die EU-Standardvertragsklauseln vereinbaren.
Eine ebenfalls von der norwegischen Aufsichtsbehörde kritisierte und bedenkliche Praxis, bei der Facebook am Unternehmen vorbei mit jedem einzelnen Mitarbeiter eine Nutzungsvereinbarung abschloss, wurde zum Ende der Beta-Phase aufgegeben. Nunmehr werden Gegenstand und Umfang der Datenverarbeitung unmittelbar zwischen Facebook und dem Unternehmen vereinbart.
2. Datenhoheit des Unternehmens sicherstellen
Workplace by Facebook betont die Inhaberschaft des Unternehmens an den vorgehaltenen Daten. So heißt eine Überschrift im Whitepaper zu dem Dienst in großen Lettern: „It’s your Data“, gefolgt von der Aussage: „you have ownership of your data“. Konkret soll die vom Unternehmen veranlasste Löschung von Datenbeständen auf den Facebook-Servern endgültig sein. Workplace by Facebook räumt Workplace-Kunden hierdurch eine deutlich höhere – und für Unternehmen außerordentlich wichtige – Verfügungsmacht über die auf den Servern vorgehaltenen Daten ein, als gegenüber den Endnutzern des Hauptdienstes Facebook. In den Trust Principles heißt es:
“Du (Anm.: gemeint ist das Unternehmen) kannst Deine Daten zu jeder Zeit verändern, löschen oder exportieren. Unsere Programmierschnittstellen ermöglichen den Export von Inhalten. Soweit eine dritte Seite Deine Daten anfordert, werden wir immer zuerst versuchen, die Anordnung zunächst an Dich weiterzuleiten.”
Nach Auflösung des Vertrages sollen automatisch alle Datenbestände des Unternehmens gelöscht werden. Auch hierin kommt zwar der Grundsatz der Datenhoheit des Unternehmens zum Ausdruck. Die automatische Löschung ist jedoch nicht unbedenklich: Unklar ist, was im Falle einer fristlosen Vertragsauflösung durch Facebook gegenüber dem Unternehmen geschieht, etwa aufgrund einer Vertragsverletzung oder – soweit sich Facebook dies vorbehält – im Wege der ordentlichen fristlosen Kündigung. Es finden sich keine Aussagen darüber, ob durch eine solche Kündigung das Unternehmen augenblicklich die Kontrolle über seine Datenbestände verliert. Ähnliche Fälle eines Kontrollverlusts sind etwa von gewerblichen Facebook-Seiten bekannt, beispielsweise wenn zur Administrierung ein Fake-Account genutzt wird, dieser wegen Verstoßes gegen die in den Nutzungsbedingungen enthaltene – (von Datenschützern kritisierte und rechtlich umstrittene) – Klarnamenpflicht gesperrt wird und somit ein Zugriff auf die Unternehmensseite (zum Teil wochenlang) nicht mehr möglich ist. Noch gravierender wäre eine sofortige unwiederbringliche Löschung der Daten bei Vertragsbeendigung. Unternehmen müssen darauf achten, für diesen Fall gegenüber Facebook vertraglich abgesichert zu sein, wenn sie den Zugriff auf die Daten behalten möchten.
3. Rechtsgrundlage nach Bundesdatenschutzgesetz
Europäische Unternehmen schließen einen Software-as-a-Service (SaaS)-Vertrag mit Facebook Irland ab. Facebook Irland wird in diesem Rahmen als Auftragsdatenverarbeiter im Sinne von § 11 BDSG tätig. Zudem erfolgt eine Übertragung der Daten an Server der Muttergesellschaft, Facebook Inc., in den USA als Unterverarbeiter. Insoweit kommt die Priviligierung des § 11 BDSG nicht zur Anwendung (vgl. § 3 Abs. 4 Nr. 3 BDSG i.V.m. § 3 Abs. 8 S. 2 BDSG). Es liegt eine Datenübermittlung vor, die nach § 4 Abs. 1 BDSG eine Übermittlungsbefugnis voraussetzt, und zwar entweder durch wirksame Einwilligung der Mitarbeiter oder einen gesetzlichen Erlaubnistatbestand.
Eine datenschutzrechtliche Einwilligung ist im Arbeitsverhältnis grundsätzlich möglich, kann aber an fehlender Freiwilligkeit scheitern. Dies macht für Unternehmen die zweite Alternative, d.h. eine gesetzliche Erlaubnis, interessant. Auch hierbei tun sich allerdings Fallstricke auf. Als Rechtsgrundlage kommt der für Beschäftigtenverhältnisse speziellere § 32 BDSG oder auch § 28 Abs. 1 Nr. 2 BDSG in Betracht. In beiden Fällen müssen die Interessen der Betroffenen aber geschützt werden, was nach den Vorgaben der Aufsichtsbehörden zunächst eine Vereinbarung voraussetzt, die den Vorgaben von § 11 Abs. 2 BDSG entspricht. Ob Facebook eine solche Vereinbarung anbietet, ist nicht bekannt. Der Text des “Workplace Enterprise Agreement” ist nicht öffentlich.
Ferner ist darauf zu achten, dass keine sensiblen Daten über Workplace by Facebook verarbeitet werden. Denn diese sind nach § 3 Abs. 9 BDSG besonders geschützt und können in der Regel nicht an Auftragsverarbeiter in Drittstaaten übermittelt werden. Zu den sensiblen Daten, die regelmäßig im Arbeitsverhältnis anfallen, gehören z.B. Gesundheitsdaten (wie etwa krankheitsbedingte Fehlzeiten oder Angaben zu körperliche Einschränkungen), Angaben zur Religion (für Lohnsteuerzwecke) oder die Gewerkschaftszugehörigkeit.
4. Auswertungen durch Facebook?
Facebook behält sich gemäß der Datenschutzerklärung grundsätzlich eine Datenauswertung der auf der Plattform verarbeiteten personenbezogenen Daten der Mitarbeiter des Unternehmens vor. Zu diesen von Facebook sogenannten “Kundendaten” gehören nach der Datenrichtlinie:
- Kontaktinformationen, z. B. Name und E-Mail-Adresse
- Benutzername und Passwort
- demografische Informationen
- die Stellenbezeichnung, Angaben zur Abteilung sowie sonstige Informationen zu der Arbeitsstelle oder dem Unternehmen
- alle Inhalte, die der Nutzer erstellt, teilt oder postet, einschließlich von Metainformationen (z.B. Tags mit Zeit und Ort bei Bildaufnahmen)
- Informationen, die andere Personen bei der Nutzung der Dienste über den Nutzer bereitstellen
- sämtlicher Nachrichtenverkehr mit anderen Nutzern
- an Facebook übermittelte Nachrichten, Feedbacks, Vorschlage und ldeen von Nutzern
- Abrechnungsinformationen
- Informationen aus Supportanfragen
Facebook verwendet diese Daten, um „die Dienste im Namen des Unternehmens und im Einklang mit sonstigen Anweisungen des Unternehmens bereitzustellen, weiterzuentwickeln und zu verbessern.“ Hierzu zählen
- Personalisierung des Nutzererlebnisses und das des Unternehmens im Rahmen der Bereitstellung der Dienste;
- Entwicklung neuer Funktionen, Produkte oder Dienste für das Unternehmen;
- Verknüpfung von Aktivitäten, die auf den Diensten auf verschiedenen Geräten stattfinden und von derselben Person stammen, sowie
- Durchführung von Daten- und Systemanalysen, einschließlich Studien zur Verbesserung der Dienste (soweit möglich mit anonymisierten Daten).
Welche Datenanalysen Facebook im Einzelnen durchführt, bleibt letztlich offen. Jedenfalls ist zu bezweifeln, dass die Weiterentwicklung der Dienste tatsächlich “im Namen des Unternehmens” stattfindet, eher handelt es sich um von Facebook verfolgte eigene Zwecke. Die Nutzung personenbezogener Daten für eigene Zwecke von Facebook muss datenschutzrechtlich aber ausgeschlossen werden. Unproblematisch ist hingegen die Einräumung der Verwertungsmöglichkeit der Daten in anonymisierter Form.
Eine Offenlegung der von Facebook erfassten Daten gegenüber Dritten, beispielsweise externen Dienstleistern in den USA und anderen Ländern, soll nur erfolgen, soweit dies von dem Unternehmen angewiesen oder genehmigt wurde. Hier sind Unternehmen angehalten, genau hinschauen, in welchem Ausmaß sie der Verwertung ihrer Geschäfts- und Kundendaten zustimmen.
4. Fazit
Facebook zeigt ernsthafte Ambitionen, sich als SaaS-Anbieter auf dem Markt zu etablieren. Der Umstand, dass Workplace by Facebook im Gegensatz zum Hauptdienst von Facebook nicht kostenlos ist, lässt dabei zumindest hoffen, dass die personenbezogener Daten in diesem Fall nicht kommerziell verwertet werden sollen. Aufgrund der Problematik einer Übermittlung von Mitarbeiterdaten an Dienstleister außerhalb von EU/EWR sollten interessierte Unternehmen die vertraglichen Regelungen mit Facebook aber intensiv prüfen. Sie sollten den Maßstab des § 11 Abs. 2 BDSG anlegen, eigene Nutzungen durch Facebook ausschließen und die Hoheit über die Daten auch für den Fall der Vertragsbeendigung absichern.
Auch sollten sich interessierte Unternehmen nicht auf der Zertifizierung von Facebook nach dem Privacy-Shield ausruhen, denn dessen Zukunft ist ungewiss. Daher sollten bei der Vertragsgestaltung als Grundlage für die Datenübermittlung zumindest auch EU-Standardvertragsklauseln zur Anwendung kommen. – Dies gilt umso mehr, da die deutschen Datenschutzbehörden die grenzüberschreitende Datenübermittlung mittlerweile aufmerksamer in den Blick nehmen. Zum Ende des Jahres 2016 haben zehn Datenschutzbehörden in einem koordinierten schriftlichen Prüfungsverfahren deutschlandweit Unternehmen unter die Lupe genommen, die im Rahmen des Cloud-Computing personenbezogene Daten in Nicht-EU-Länder übermitteln.
Zu beachten ist auch, dass Facebook in der Vergangenheit einen bedenklichen Umgang mit dem Datenschutz gezeigt und öffentliche Zusagen gebrochen hat. So hatte das Unternehmen im Zuge der Übernahme des bekannten Instant-Messaging-Dienstes WhatsApp im Frühjahr 2014 angekündigt, dass es zwischen Facebook und WhatsApp zu keinem Datenaustausch kommen würde. Entgegen diesem Versprechen wurde schließlich doch ein Datenabgleich durchgeführt, woraufhin der Hamburgische Datenschutzbeauftragte im Jahr 2016 Facebook per Anordnung den Massendatenabgleich untersagte. Auch bei Workplace könnte Facebook in Versuchung geraten, solche “Synergien” und Auswertungsmöglichkeiten zu nutzen, sobald der Dienst auf dem Markt etabliert ist.
Ob Workplace by Facebook als Kollaborationslösung in die engere Auswahl zu ziehen ist, sollte daher sorgfältig abgewogen werden. Unternehmen, die die datenschutzrechtliche Problematik reduzieren oder die Abhängigkeit von einem Dienstleister gleich ganz umgehen möchten, stehen mehrere Konkurrenzprodukte zur Verfügung, die auf unternehmenseigenen Servern gehostet werden können.