Florian Padberg
Datenschutzbeauftragter
Dass bei Xing große Mengen an personenbezogenen Daten verarbeitet werden, dürfte nicht verwundern. Es stellt sich somit auch die Frage, wie diese umfangreichen Verarbeitungen aus Datenschutzsicht zu bewerten sind.
Die sogenannten Pflichtangaben (neben Nutzername und Passwort sind das Jobtitel, Firmenname, Branche und Angaben zum Wohnort) sind laut XING essentiell für den Betrieb eines beruflichen Netzwerks und werden dem entsprechend auf der Rechtsgrundlage der Vertragserfüllung verarbeitet. Für weitere teils optionale und teils indirekte Angaben ist grundsätzlich ist zu unterscheiden, wie XING die Daten erhebt und woher diese stammen. Die meisten sonstigen Daten wie Stammdaten, Kontaktdaten, Qualifikationsdaten oder die Berufshistorie teilt der Nutzer dem Netzwerk selbst mit und erteilt dabei über die Privatsphäre-Einstellungen diverse Einwilligungen zur weiteren Verarbeitung der Datenkategorien, je nachdem ob bestimmte Kategorien dem öffentlichen Profil zuzuordnen sind oder nur den Kontakten vorbehalten sein sollen.
Daneben erfasst XING aber auch zahlreiche Verhaltensdaten und analysiert die Nutzeraktivitäten, um letztendlich ein detailliertes Profil seiner Mitglieder erstellen zu können, denn das ist der wahre Mehrwert, den das Netzwerk Business-Kunden bietet: Scharf abgrenzbare Zielgruppen, die auch gezielt werblich angesprochen werden können.
Konsultiert man die Datenschutzinformationen für Endnutzer, werden diese Zusammenhänge durchaus transparent dargestellt: Es wird aufgeklärt über die Verarbeitung von „Informationen, die Du uns mitteilst“ über „Automatisch auf Grund Deiner Nutzung von XING gesammelten Informationen“ bis hin zu „Wer erhält Daten zu Deiner Person“. Den Nutzern muss der Zusammenhang demnach klar sein: Ich bezahle (in Teilen) mit meinen Daten für die Leistungen der Plattform.
Wer sich die Mühe macht, die detaillierte Datenschutzerklärung durchzugehen, wird entdecken, dass XING eine Vielzahl von speziellen Anwendungen (z.B. TalentManager oder AdCreator) und externen Diensten (Webanalysedienste wie Google Analytics, personalisierte Hinweise via Braze etc.) einsetzt, um attraktive B2B-Angebote zu ermöglichen oder das Leistungsportfolio zu erweitern.
XING bedient somit mehrere wertvolle Märkte: Den Recruiting-Markt, den Dienstleistungsmarkt oder den „Markt“ für Kooperationen – und alle diese Märkte basieren auf den möglichst detaillierten Profilinformationen der Mitglieder. Profiling als Businessmodell.
Das „Datenschutzniveau“ einer Organisation lässt sich am besten an zwei Dingen ablesen:
Angesichts der Fülle einerseits und dem Versuch andererseits, dieser Fülle etwas Herr zu werden durch geeignete Zusammenfassungen im „Management Summary“-Stil, kann man durchaus behaupten, dass XING das Thema Datenschutz aktiv und offen „spielt“. Die verständliche und transparente Information der Mitglieder darüber, wie, warum und ggf. mit wem zusammen ihre Daten verarbeitet werden, scheint tatsächlich eine Zielsetzung der Kommunikation des Unternehmens zu sein.
Dadurch unterscheidet sich das Business-Netzwerk tatsächlich recht deutlich von eher B2C-geprägten Plattformen wie Facebook oder Instagram, bei denen diese Informationen deutlich schwieriger und verklausulierter erhältlich sind.
Auch wenn eine detaillierte Einsicht in die technischen und organisatorischen Maßnahmen von außen kaum möglich ist, so sind einige Indikatoren heranziehbar, die eine Bewertung ermöglichen:
XING selbst geht auch hier offensiv in die Kommunikation und legt seine eigenen Aktivitäten dar, um die technische Sicherheit der verarbeiteten Daten zu gewährleisten. So bietet man interessierten Nutzern etwa eine 2-Faktor-Authentifizierung über unterschiedliche Kanäle an, die systemintern versendeten Nachrichten sind seit 2018 grundsätzlich E2E-verschlüsselt, und XING ist Mitglied mehrerer Gremien zur Cybersicherheit.
Die in Hamburg beheimatete New Work SE, die XING betreibt, hostet die Plattform in Deutschland und unterliegt damit den strengen Anforderungen der DSGVO. Die Analyse der URL xing.com mit Sitecrawler-Tools ergibt einen recht guten Wert nahe 90%. Auch in der öffentlichen Berichterstattung ist XING in den letzten 10 Jahren nicht durch Datenpannen oder ähnliche Datenschutzverstöße aufgefallen, im Unterschied etwa zu LinkedIn, wo 2012 eine millionenfacher Datenabfluss zu beklagen war. All diese Fakten sind natürlich keine absolut verlässlichen Belege für eine optimal abgesicherte Infrastruktur, es erlaubt aber zumindest eine entsprechende Einschätzung, dass man insgesamt von einem hohen technischen Sicherheitsstandard bei XING ausgehen kann, was sich ebenfalls positiv auf das Datenschutzniveau auswirkt.
Ein Unternehmen, das auf XING aktiv ist, muss je nach Aktivität einige Dinge beachten:
Rekrutierende Firmen, die mit den B2B-Angeboten von XING aktiv neue Mitarbeiter suchen oder Stellen ausschreiben, müssen ihren mit der Nutzung betrauten Mitarbeitern verdeutlichen, dass zum einen deren Daten durch XING verarbeitet werden, und dass sie selbst im Rahmen ihrer Tätigkeit darauf achten müssen, keine vertraulichen personenbezogenen Daten – etwa offensichtlich private Elemente einer Kommunikation mit einem potenziellen Kandidaten im XING TalentManager – ohne Einwilligung weiterzugeben. Das Unternehmen ist selbst verantwortlich, wie es die von XING angebotenen Daten nutzt.
Als Werbetreibender sind es eher wettbewerbsrechtliche Themen, die zu beachten sind, etwa die Vermeidung von belästigender Werbung (SPAM) gem. §7 UWG, oder die Untersagung des Einsatzes von nicht autorisierten Script-Techniken um effizient Massenaussendungen zu produzieren.
Im Zusammenhang mit dem Betrieb einer Unternehmensprofil-Seite auf XING schließlich ist die Rechtslage zwar (noch) nicht so eindeutig wie bei Facebook, für das ein entsprechendes EuGH-Urteil aus dem Sommer 2018 die sogenannten Fanpages klar der Gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO zugeordnet hatte. Es ist aber davon auszugehen, dass man auch für XING-Unternehmensprofil-Seiten eine Mitverantwortung des Seiten-Betreibers im Rahmen der Verarbeitung (oder zumindest in Teilphasen) unterstellen kann. Dem entsprechend empfiehlt es sich für Betreiber einer Profilseite, ähnliche Vorkehrungen wie für eine Facebook Fanpage zu treffen: Impressum und Datenschutzerklärung für diesen speziellen Auftritt sind bereitstellen, ebenso wie dedizierte Nutzer-Informationen nach Art. 13 DSGVO, und auch für den Fall von Betroffenenanfragen sollte man im Vorfeld gerüstet sein. Bislang liegt noch keine Vorlage seitens XING für eine entsprechende datenschutzrechtliche Vereinbarung mit den Seitenbetreibern vor, doch strategisch aufgestellte Unternehmen sollten hier durchaus aktiv „vorfühlen“.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!