Social-Media-Überwachung: Wie Unternehmen heimlich LinkedIn-Daten nutzen

I. Einleitung: Social Media als intransparentes Informationsreservoir

Digitale Profile in sozialen Netzwerken enthalten eine erhebliche Menge personenbezogener Informationen. Unternehmen greifen zunehmend auf öffentlich zugängliche Social-Media-Daten zurück, um Einschätzungen über Personen zu treffen, Informationen zu ergänzen oder Sachverhalte zu überprüfen. Obwohl diese Daten öffentlich zugänglich sein können, bedeutet dies nicht, dass sie grenzenlos verarbeitet werden dürfen. Der Zugriff auf Social-Media-Profile ist eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO und unterliegt daher denselben strengen Anforderungen wie jede andere Form der Erhebung.

Die Rechtsprechung stellt klar, dass Informationen aus Online-Profilen nicht als „frei nutzbar“ gelten. Der EuGH betont die Weite des Verarbeitungsbegriffs und die Pflicht zur Rechtsgrundlage für jede einzelne Datenerhebung (C-60/22, C-61/22). Nationale Gerichte folgen dieser Linie und verlangen, dass Unternehmen Transparenz schaffen und jede Nutzung personenbezogener Informationen nachweisen können. Zudem fordern Finanzgerichte wie das FG Berlin-Brandenburg, dass jede Datenverarbeitung, gleich welcher Quelle, nachvollziehbar dokumentiert werden muss.

Damit gehört die Auswertung sozialer Netzwerke zu den datenschutzrechtlich anspruchsvollsten Vorgängen, zumal hier häufig Fehler in der Transparenz, in der Dokumentation oder in der Rechtmäßigkeitsprüfung auftreten.

II. Rechtlicher Rahmen: Verarbeitungsbegriff, Zweckbindung und Rechtmäßigkeit

1. Verarbeitung von Social-Media-Daten (Art. 4 Nr. 2 DSGVO)

Das bloße Betrachten eines Social-Media-Profils zu einem Zweck, der mit einer beruflichen, organisatorischen oder administrativen Fragestellung verbunden ist, stellt eine Verarbeitung dar. Dies ergibt sich aus der funktionalen Auslegung des Art. 4 Nr. 2 DSGVO, wie sie der EuGH mehrfach bestätigt hat. Schon das Auslesen oder Abrufen von Informationen fällt darunter.

Damit ist die Beschaffung von Daten aus sozialen Netzwerken systematisch ein regulierter Vorgang, unabhängig davon, ob die Daten öffentlich zugänglich sind.

2. Transparenzpflicht (Art. 5 Abs. 1 lit. a DSGVO)

Der Verantwortliche muss offenlegen:

• welche Social-Media-Daten er verarbeitet,
• zu welchem Zweck,
• aus welcher Quelle die Daten stammen,
• und in welchem Umfang die Verarbeitung erfolgt.

Das FG Berlin-Brandenburg hat in mehreren Entscheidungen hervorgehoben, dass eine Auskunft nach Art. 15 DSGVO unvollständig ist, wenn die Herkunft der Daten nicht genau angegeben wird. Dies gilt insbesondere für Daten, die nicht beim Betroffenen selbst erhoben wurden.

3. Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO)

Ein Unternehmen darf Social-Media-Daten nur erheben, wenn der Zweck klar definiert ist. Die Pflicht zur Datenminimierung verlangt, dass nur die Daten verarbeitet werden dürfen, die unbedingt erforderlich sind. Die Finanzgerichte betonen, dass eine Verarbeitung rechtswidrig ist, wenn sie über das Erforderliche hinausgeht oder auf Spekulationen beruht.

4. Rechtsgrundlage (Art. 6 DSGVO)

Für die Verarbeitung öffentlich zugänglicher Daten existiert keine Sonderregel. Unternehmen müssen eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen geltend machen können. Organisatorischer Komfort oder „Interesse an Klärung“ reichen nicht aus. Die Rechtsprechung (LG Braunschweig, LG Baden-Baden) betont, dass Art. 6 Abs. 1 lit. f DSGVO nur zulässig ist, wenn die Verarbeitung tatsächlich notwendig ist und mildere Mittel nicht existieren.

5. Dokumentationspflicht und Rechenschaft (Art. 5 Abs. 2 DSGVO)

Die Rechenschaftspflicht verlangt, dass ein Verantwortlicher jederzeit nachweisen kann, dass die Verarbeitung rechtmäßig war. Die Entscheidung des EuGH in C-340/21 verdeutlicht die Intensität dieser Nachweispflicht. Ohne vollständige Dokumentation ist die Verarbeitung rechtswidrig.

III. Typische Fehlerquellen bei der Nutzung von Social-Media-Daten

1. Fehlende Rechtsgrundlage

Unternehmen greifen häufig auf Social-Media-Daten zurück, ohne zuvor zu prüfen, ob eine Rechtsgrundlage existiert. Oft wird stillschweigend angenommen, dass öffentlich zugängliche Daten frei verarbeitet werden dürfen. Dies ist falsch. Der EuGH, nationale Gerichte und die Literatur stellen klar: Der Zugang ist offen, die Verarbeitung aber nicht automatisch erlaubt.

2. Verdeckung der Datenquelle

In der Praxis wird häufig nicht offengelegt, dass Informationen aus sozialen Netzwerken stammen. Bei späteren Auskünften nach Art. 15 DSGVO fehlen diese Angaben. Dies ist ein klarer Verstoß gegen Art. 15 Abs. 1 lit. g DSGVO.

3. Unvollständige Dokumentation

Das FG Berlin-Brandenburg fordert eine lückenlose Dokumentation. Wird die Social-Media-Quelle nicht im Verzeichnis nach Art. 30 DSGVO aufgeführt oder nicht protokolliert, liegt ein Organisationsverstoß vor.

4. Zweckverfehlung

Viele Verarbeitungen dienen nicht einem klaren, dokumentierten Zweck, sondern reiner Neugier, Recherche oder informeller Sachverhaltsaufklärung. Solche Verarbeitungen sind unzulässig, da sie nicht erforderlich sind.

5. Unzulässige Profilbildung

In einigen Fällen fließen Social-Media-Daten in interne Bewertungen ein. Die Grenze zur Profilbildung im Sinne des Art. 4 Nr. 4 DSGVO ist schnell überschritten. Dies ist ohne klare Rechtsgrundlage unzulässig.

IV. Dogmatische Bewertung: Social-Media-Verarbeitung als Eingriff in die Struktur des Datenschutzrechts

1. Die besondere Stellung öffentlich zugänglicher Daten

Obwohl Social-Media-Daten öffentlich erscheinen, gilt dennoch der volle Schutz der DSGVO. Die Rechtsprechung argumentiert konsistent, dass die Zugänglichkeit die Schutzbedürftigkeit nicht reduziert. Der EuGH hat dies ausdrücklich betont, indem er feststellte, dass der Zugriff dennoch eine Erhebung darstellt.

2. Erweiterung des Datenbestands durch Social-Media-Abfragen

Die Nutzung öffentlicher Profile führt regelmäßig zu einer Verschiebung des Informationsgleichgewichts. Unternehmen erweitern ihren Datenbestand, ohne dass der Betroffene hiervon Kenntnis hat. Dies widerspricht dem Transparenzgebot und ist regelmäßig rechtswidrig.

3. Anforderungen an die Erforderlichkeit

Eine Social-Media-Verarbeitung muss notwendig, verhältnismäßig und zweckgebunden sein. Die Gerichte stellen hohe Anforderungen an die Erforderlichkeit. Der Verantwortliche muss darlegen können, warum gerade diese Informationen unvermeidbar waren.

4. Bedeutung der Rechenschaftspflicht

Die Rechenschaftspflicht ist ein strukturelles Element des Datenschutzrechts. Sie verlangt von Unternehmen, alle Verarbeitungsschritte nachweisbar zu kontrollieren. Social-Media-Verarbeitungen sind nur dann zulässig, wenn sie dokumentiert und vollständig offengelegt werden.

V. Folgen für Betroffene

Die Nutzung sozialer Netzwerke durch Unternehmen führt für Betroffene zu mehreren strukturellen Risiken:

1. Sie wissen nicht, welche Informationen aus ihren Profilen erhoben wurden.
2. Sie können nicht nachvollziehen, wie diese Daten verwendet werden.
3. Sie haben keine Möglichkeit, die ursprüngliche Datenquelle zu kontrollieren.
4. Die Transparenz fehlt vollständig, wenn die Verarbeitung nicht offengelegt wird.

Diese Risiken führen zu einer Verzerrung der Informationslage, die die Ausübung der Betroffenenrechte erschwert.

VI. Folgen für Verantwortliche: Rechtswidrigkeit und Haftungsrisiken

1. Rechtswidrige Verarbeitung

Fehlt eine Rechtsgrundlage, ist jede Form der Social-Media-Datenerhebung rechtswidrig. Die Aufsichtsbehörden können Bußgelder verhängen.

2. Unvollständige Auskunft und Bußgelder

Unternehmen, die die Herkunft der Daten verschweigen, verletzen Art. 15 DSGVO. Dies wurde durch mehrere finanzgerichtliche Entscheidungen bestätigt.

3. Schadensersatzansprüche nach Art. 82 DSGVO

Gerichte wie LG Leipzig, LG Osnabrück oder LG Bonn erkennen immaterielle Schäden an, wenn Betroffene keinen Überblick über ihre Datenverarbeitung haben.

4. Organisationsverschulden

Fehlt eine systematische Dokumentation der Social-Media-Verarbeitung, liegt ein Verstoß gegen Art. 24 DSGVO vor.

VII. Anforderungen an eine rechtmäßige Social-Media-Verarbeitung

Eine zulässige Verarbeitung setzt voraus:

• definierter Zweck,
• eindeutige Rechtsgrundlage,
• Dokumentation im Verzeichnis der Verarbeitungstätigkeiten,
• transparente Offenlegung im Auskunftsverfahren,
• Beschränkung auf erforderliche Informationen,
• klare interne Richtlinien.

Diese Kriterien folgen aus Art. 5, Art. 6, Art. 12, Art. 15 und Art. 30 DSGVO sowie der einschlägigen Rechtsprechung der EU- und nationalen Gerichte.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten bei Auskünften darauf achten, ob die Herkunft der Daten vollständig und korrekt angegeben wurde. Fehlen Hinweise auf Social-Media-Quellen, kann dies ein Indikator für unzulässige Verarbeitungen sein. Die betroffene Person kann eine Ergänzung der Auskunft verlangen oder eine Beschwerde bei der Aufsichtsbehörde einreichen. Wenn Social-Media-Daten heimlich genutzt wurden, kann darüber hinaus ein Anspruch aus Art. 82 DSGVO bestehen.

IX. Schlussbetrachtung

Die Nutzung von Social-Media-Daten durch Unternehmen ist datenschutzrechtlich komplex und wird häufig unterschätzt. Jede Informationsabfrage stellt eine Verarbeitung dar und bedarf einer gesetzlichen Grundlage. Die Rechtsprechung verpflichtet Unternehmen zu strenger Transparenz und vollständiger Dokumentation. Verantwortliche müssen sicherstellen, dass sie Social-Media-Daten nur unter klaren Voraussetzungen nutzen. Andernfalls entstehen erhebliche Risiken in Form von Bußgeldern, Schadensersatz und organisatorischen Konsequenzen.

CTA

Wenn Sie prüfen möchten, ob Social-Media-Daten rechtmäßig verarbeitet wurden oder ob ein Verantwortlicher seine Transparenz- und Dokumentationspflichten eingehalten hat, stehe ich Ihnen für eine strukturierte und vertrauliche Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

‍

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

1. DSGVO-Auskunft im Spamfilter
   ​https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
2. Unvollständige Auskünfte nach Art. 15 DSGVO
   ​https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
3. Rückfragen als Datenfalle
   ​https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
4. Organisationsfehler nach Art. 24 DSGVO
   ​https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
5. Privacy by Design – warum es in der Praxis scheitert
   ​https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
6. DSGVO-Probleme in Großunternehmen
   ​https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
   ​https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
   ​https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
9. Einwilligung unter Druck – unzulässige Kopplungen
   ​https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    ​https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    ​https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    ​https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
13. Privatsphäre-Schutz für Hochvermögende
    ​https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
14. Art. 9 DSGVO & digitale Intimsphäre
    ​https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
15. DeFi, Krypto-Betrug & Datenschutz
    ​https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
16. Crypto.com & DSGVO-Pflichten
    ​https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
17. Datenlecks im Krypto-Betrug
    ​https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
18. Verfahrens- & Systemdaten im Netz
    ​https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
19. Love Scam & Datenmissbrauch
    ​https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
20. Datenschutzpflichten von Krypto-Plattformen
    ​https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    ​https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
22. Was eine Datenschutzverletzung wirklich kostet
    ​https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

‍