IT- und Internet-Richtlinien für Unternehmen: Social Media Guidelines sind nur der Anfang

Social Media Guidelines sind nicht nur weiterhin wichtig, sondern außerdem nur der Anfang. Denn wenn ein Unternehmen im Social Web aktiv ist, stellen sich zugleich viele rechtliche Fragen. Dieser Artikel von Rechtsanwältin Nina Diercks geht auf die wichtigsten ein. Sie betreffen beispielsweise das Persönlichkeitsrecht der Mitarbeiter im Wettstreit mit den Dokumentationspflichten des Unternehmens. Wem Social-Media-Accounts eigentlich gehören. Ob man Konversationen per Facebook-Messenger aufbewahren muss. Und vieles mehr.

(Foto: © tashatuvango, Fotolia.com)

(Foto: © tashatuvango, Fotolia.com)

Warum ein bloßer Leitfaden nicht genug ist

Müssen wir wirklich noch über die Rahmenbedingungen von Social Media im Unternehmen sprechen? Im Jahr 2016? Um es kurz zu machen: Ja, wir müssen. Zum einen aus den Gründen, die Falk Hedemann zutreffend in dem Artikel „Social Media Guidelines: 10 Gründe, warum Unternehmen sie immer noch brauchen beschrieben hat. Zum anderen aber vor allem deswegen, weil hinter einer Social Media Guideline, vielmehr hinter der Nutzung digitaler Strukturen in der Unternehmenskommunikation, ein bunter Strauß rechtlicher Themen liegt, von denen zahlreiche Unternehmen bis heute nichts wissen oder nichts wissen wollen. Dabei läge es in ihrem ureigenen Interesse, dass sie die Themen nicht nur kennen, sondern die damit einhergehenden Probleme auch einer Lösung zuführen. Die Schlagworte lauten hier Compliance, Datenschutz, IT-Sicherheit, Aufbewahrungspflichten und Arbeitsrecht.

Da höre ich schon die Entgegnungen: „Compliance? Aufbewahrungspflichten? Datenschutz? – Was soll denn das? Wir reden hier über Social Media Kommunikation von Mitarbeitern! Da geht es, wenn überhaupt, um Urheberrechtsschutz und Äußerungsrecht. Da reicht doch ein Leitfaden für die Mitarbeiter! Das ist sowieso viel besser als juristisches Kauderwelsch in der Schublade!

Keine Frage: Es ist nicht nur gut, sondern auch wichtig, einen leicht verständlichen Kommunikationsleitfaden bezüglich der Do’s & Don’ts einer digitalen Kommunikation in der digitalen Schublade, also im Intranet, vorzuhalten. Solche unverbindliche Social Media Guidelines reichen jedoch schlichtweg nicht.

download-iconDiesen und andere Artikel aus UPLOAD Magazin 38 herunterladen: Jetzt die E-Book-Version der Ausgabe kaufen (4,99 Euro, kostenlos für Abonnenten)

Realitäts-Check: Digitale Strukturen in der Unternehmenskommunikation

Bevor uns den rechtlichen Hintergründen zu wenden, schauen wir uns zunächst einmal an, wie heutzutage im Unternehmen mit der digitalen Infrastruktur und digitalen Kommunikationsmitteln gearbeitet wird. Natürlich ist ständig von der „Professionalisierung der Digitalisierung“ die Rede. Aber wir wissen wohl alle, dass sich hier zahlreiche Unternehmen eher… indifferent verhalten. 

Fall A: Viel Motivation, wenig Umsetzung

So gibt es zum Beispiel Unternehmen, die eine umfassende Digitalstrategie erarbeiten. Laut Umsetzungskonzept werden dann jedoch gerade einmal ein Mitarbeiter (natürlich nebst Tagesgeschäft) und ein Praktikant mit diesen Aufgaben betraut. Begründet wird dies damit, dass die gesamte Belegschaft zur Generierung von Inhalten für die Facebook-Seite, den Twitter-Account und den Corporate Blog neben Instagram-Stories zur Verfügung stünde. Der Mitarbeiter als Markenbotschafter steht bereit. Jedenfalls auf dem Strategiepapier. Bei kleineren Unternehmen und Agenturen wird dagegen gerne darauf gebaut, dass irgendein Mitarbeiter schon genug intrinsische Motivation für einen erfolgreichen Blog (Content-Marketing, Baby!) mitbringt und die anderen sowieso „Bock auf Kommunikation“ haben. Das stimmt oft auch. Und so freuen sich alle über das tolle neue Blog und den zugehörigen Twitter-Kanal von Herrn Müller, dem Marketing-Leiter.

Fall B: Strenge Regeln, die aber nicht eingehalten werden (können)

Zeitgleich wird in Unternehmen die Frage danach, ob und wie die IT-Infrastruktur durch die Mitarbeiter eigentlich genutzt werden darf, äußerst stiefmütterlich behandelt. Nur zu oft finden sich noch uralte Betriebsvereinbarungen, in denen der Upload von Dateien ins Internet ohne schriftliche Erlaubnis des Vorgesetzten verboten und die Internet- sowie IT-Nutzung im Übrigen streng nur zu dienstlichen Zwecken erlaubt ist. Dass die private Nutzung der IT-Infrastruktur verboten ist, ist auch weiter offizieller Konsens. Inoffiziell weiß jeder, dass genau diese private Nutzung stringent geduldet wird – wie sollte man sonst auch arbeiten?

Fall C: Fahrlässige Gelassenheit bei der Datensicherheit

In dieses Bild passen dann noch Unternehmen, die im Bereich der IT-Sicherheit tätig sind, aber deren Führungskräfte ganz selbstverständlich jede beliebige App auf dem Telefon installieren können. Oder Agenturen, die strikte Non-Disclosure-Agreements mit hohen Vertragsstrafen unterzeichnen, das interne Projektmanagement jedoch mit irgendeinem kostenlosen Tool aus dem Sillicon Valley abwickeln ohne jemals einen Blick in dessen Datenschutz- und Datensicherheitsbedingungen geworfen zu haben. Genauso wie Unternehmen, die die private Nutzung von E-Mails strikt verbieten, aber WhatsApp für alle Mitarbeiter als dienstlichen Kommunikationsweg offiziell unterstützen.

Digitale Strukturen aus rechtlicher Perspektive

Keine Frage, Digitale Strukturen und Social Media sind als Kommunikationswerkzeug im Alltag von Unternehmen angekommen. Und das ist auch gut so. Dies bringt allerdings zahlreiche Fragestellungen in Bezug auf die dienstliche und private Nutzung von Social Media (digitaler Kommunikation) sowie die dienstliche und private Nutzung der gesamten IT-Infrastruktur des Unternehmens mit sich.

Dazu gehört, wie die (private) Nutzung von firmeneigener Infrastruktur und das allgemeine Persönlichkeitsrecht der Mitarbeiter sowie die hieraus fließenden datenschutzrechtlichen Belange mit den handels- und steuerrechtlichen Aufbewahrungspflichten der Unternehmen in Einklang gebracht werden können. Es klingt fast banal, aber es handelt sich um entscheidende Fragen, die zum einen in einem engen Zusammenhang mit der IT- und Datensicherheit eines Unternehmens stehen (dazu später noch). Zum anderen entspricht ein Verbot der privaten Nutzung von IT-Infrastrukturen des Arbeitgebers und von Social-Media-Anwendungen schlicht nicht mehr der Lebenswirklichkeit.

Zwar herrscht leider immer noch die Meinung vor, dass eine Nicht-Regelung den besten Umgang mit diesen Fragestellungen darstellt, doch gerade hierdurch können massive Compliance-Probleme entstehen. So können etwa Geschäftsführer durch die übliche Duldung einer privaten Nutzung Ordnungswidrigkeiten oder Straftatbestände verwirklichen, in dem aus mangelnden Regelungen zum Umgang mit dienstlichen und privaten Daten Verletzungen von handels- und steuerrechtlichen Aufbewahrungs- und Dokumentationspflichten resultieren.

Sollte Ihnen, lieber Leser, an dieser Stelle bereits der Kopf schwirren: Keine Angst, wir verlassen wir an dieser Stelle die abstrakte Ebene und wenden uns konkreten Beispielen zu.

Bleiben Sie auf dem Laufenden

Bleiben Sie auf dem Laufenden

Wenn Ihnen dieser Artikel gefällt, bestellen Sie doch unseren Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Aktueller Themenschwerpunkt: „Social Media Boost“.

Jetzt E-Mail eintragen...

1. Zur Trennung von dienstlichen und privaten Angelegenheiten

Laut Strategiepapier soll der Social Media Manager das Unternehmen sicherlich in hellem Glanz erstrahlen lassen,  seine Persönlichkeit ganz authentisch in die Kommunikation mit den Kunden (oder Bewerbern) einbringen und natürlich außerdem die Mitarbeiter animieren, einen positiven Fußabdruck des Unternehmens im Social Web zu hinterlassen. Aber wie funktioniert die ganz persönliche und authentische Unternehmenskommunikation, wenn die Mitarbeiter zur ausschließlich dienstlichen Nutzung von Internet und Social Media gehalten sind?  Ist die öffentliche Äußerung eines Social Media Managers über sein Facebook-Profil nun eine dienstliche, die sein Persönlichkeitsprofil in der Öffentlichkeit schärft und damit Teil des Reputationsmanagements ist oder ist sie rein privat? Fand sie während der Dienstzeit statt oder danach? Und wann ist eigentlich diese „Dienstzeit“ heutzutage?

Aufbewahrungspflicht für Facebook-Konversationen?

Doch von diesen arbeitsrechtlichen Problemen abgesehen, ist etwas anderes noch viel heikler: In etlichen Branchen ist eine Kommunikation neben dem E-Mailverkehr (Fax und Briefpost blenden wir jetzt einmal aus) inzwischen Usus. Da werden zum Beispiel für das Meeting zwischen dem Agenturleiter und dem Projektverantwortlichen im Unternehmen schnell noch einmal die wichtigsten Punkte per Facebook-Messenger geklärt. Das ist dem Grunde nach auch kein Problem. Allerdings kann es sich bei diesen Nachrichten  – genau wie bei E-Mails – um Handels- und Geschäftsbriefe im Sinne des HGB handeln, welche der Aufbewahrungspflicht unterliegen. Das ist den Wenigsten bewusst.

Den Allerwenigsten ist klar, dass damit solche Messenger-Nachrichten von Interesse für die Revision sein können. Und natürlich haben sich die zwei nicht nur über das anstehende Meeting, sondern auch noch über den letzten Kletterurlaub in Kärnten des Agenturleiters und die Kinder des Projektleiters ausgetauscht – man kennt sich schließlich und wird auch einmal privat.

Persönlichkeitsrecht der Mitarbeiter

Bezüglich der weiteren Nutzung der IT-Infrastruktur durch Arbeitnehmer muss man sich ebenfalls nichts vormachen: Da wird schnell der Drucker in der Firma genutzt um die Einladungskarten für den Kindergeburtstag zu vervielfältigen (automatische Scans des Druckes eingeschlossen), das Internet, um den Flug nach Rom mit dem Liebhaber zu buchen, die E-Mail um sich mit der besten Freundin zum Plausch zu verabreden und auf dem Server ist das Ultraschallbild der Ehefrau des Artdirectors abgelegt, die nun – Hurra! – schwanger ist.

Kurz: Aus Sicht der IT und damit des Arbeitgebers werden damit private und dienstliche Daten auf den Servern wild vermengt. So liegen damit beispielsweise die Ultraschall-Bilder des ungeborenen Kindes direkt neben dem Personalentwicklungsplan fürs nächste Jahr. Nun, das ist super für die Personalabteilung. Die kann unseren Art Director hier gleich auf die Planung für seine Elternzeit ansprechen! Aber ganz so einfach ist es natürlich nicht. Denn ein Arbeitnehmer gibt sein Persönlichkeitsrecht nicht an der Bürotür ab.

Zu diesem Persönlichkeitsrecht gehört auch das Recht auf informationelle Selbstbestimmung, also das Recht auf Datenschutz. Und dieses Recht hat der Arbeitgeber, aus gutem Grund, auch zu respektieren. Schließlich geht den Arbeitgeber die Familienplanung erst einmal gar nichts an. Doch natürlich hat ein Unternehmen dem gegenüber das Recht, seine eigenen Arbeitsunterlagen sichten, nutzen und eben archivieren zu können. Allerdings kann es dieses Rechte bzw. diesen Obliegenheiten aber bei einer ständig drohenden Persönlichkeitsrechtsverletzung des Arbeitnehmers nicht wahrnehmen bzw. nicht im erforderlichen Rahmen nachkommen.

Relevant werden derartige Szenarien zum Beispiel, wenn ein Mitarbeiter unerwartet und/oder länger krankheitsbedingt ausfällt und Kollegen dringend an seine Arbeitsunterlagen gelangen müssen.

Wer nun denkt, hier werden gerade theoretische Kulissen aufgebaut, dem sei ein Blick etwa in die Entscheidung des LAG Berlin-Brandenburg vom 16.02.2011 – 4 Sa 2132/10  empfohlen, in dem eine Mitarbeiterin gegen den Zugriff des Arbeitgebers auf ihren E-Mail-Account und ihre Serverspeicherplätze klagte. Hier verlor die Mitarbeiterin den Prozess – aber nur weil das Unternehmen die private Nutzung von E-Mail, Internet und IT-Struktur hinreichend geregelt hatte.

Fazit: Private Nutzung ist ein Problem. Aber es gibt eine Lösung.

Damit halten wir fest, dass die Duldung einer privaten Nutzung keine Lösung, sondern ein Problem darstellt. Nun schlagen einige meiner Kollegen als Lösung wahrhaftig immer noch ein striktes Verbot einer privaten Nutzung von IT-Strukturen vor. Das ist auf dem Papier sicherlich die einfachste Lösung. Schließlich stehen dann die Persönlichkeitsrechte der Mitarbeiter nicht mehr den Aufbewahrungs- und Dokumentationspflichten im Weg, denn in diesem Fall darf sich ja kein  Fitzelchen Privates auf dem virtuellen Schreibtisch einfinden. Praktisch muss ein solches Verbot jedoch nachgehalten und mit arbeitsrechtlichen Mitteln durchgesetzt werden. Andernfalls entsteht wieder die besagte Duldung.

Trennung von Privatem und Dienstlichem ist im digitalen Arbeitsleben weder sinnvoll noch möglich.

Davon abgesehen habe ich aber hoffentlich schon aufgezeigt, dass eine Trennung von Privatem und Dienstlichem in diesem realen digitalen Arbeitsleben weder sinnvoll noch faktisch möglich ist. Und dazu kommt, dass nur noch den wenigsten Arbeitnehmern heutzutage ein absolutes Verbot der privaten Nutzung der IT-Strukturen zu vermitteln ist.

Es nützt also nichts: Eine Duldung ist ebenso wenig eine Lösung wie ein Verbot. Und drum müssen verbindliche Richtlinien oder Betriebsvereinbarungen her, die den dienstlichen und privaten Umgang sowohl hinsichtlich E-Mail-, Internet- und IT-Infrastruktur als auch hinsichtlich der Social-Media-Kommunikation verbindlich regeln, damit die Geschäftsführung nicht knietief im Compliance-Sumpf steht.

Und damit wir uns hier nicht missverstehen: Verbindliche Regelungen bedeuten keine Knebelung, sondern verlässliche Leitplanken für alle Beteiligten.

Wer zu diesem Themenkomplex und vor allem zu Lösungsansätzen und möglichen Inhalten solcher Richtlinien mehr erfahren möchte, kann mit dem Blogbeitrag „Social Media Richtlinien – Der bunte Leitfaden für die Mitarbeiter oder steckt mehr dahinter?“ einen ersten tieferen Einstieg finden.

2. Der Mitarbeiter als Markenbotschafter – „Hurra!“ oder „Hilfe!“?

„Der Mitarbeiter als Markenbotschafter“ ist ein gängiges und vielzitiertes Buzz-Word. Gemeint sind damit zum einen die Mitarbeiter die qua Tätigkeitsbeschreibung ihre Person im Netz zeigen, wie zum Beispiel Pressesprecher, Community Manager oder der Vertriebsleiter eines Unternehmens aus der Digitalbranche. Zum anderen aber auch gerade die Mitarbeiter, deren Aufgabengebiet an sich abseits der offiziellen Kommunikation stehen und die ihre (Arbeitgeber-)Marke trotzdem, bzw. eben ganz authentisch (um ein weiteres Buzzword zu bemühen) in die virtuelle Welt tragen. Entweder weil sie tatsächlich eine positive Markenidentifikation à la „Ich schaff so gern beim Daimler“ in Kommentaren und Foren kommunizieren.  Oder solche, die aufgrund der besagten intrinsischen Motivation einen Fach-Blog oder – ohne offizielle Genehmigung – einen Instagram-Account aufbauen.

Wer mehr über dieses Thema erfahren möchte, dem sei hier bei UPLOAD der ausführliche Zweiteiler von Dr. Kerstin Hoffmann empfohlen. Im ersten Beitrag hat sie viele grundlegende Tipps und Tricks versammelt. Im zweiten Teil kommen dann beispielhaft Markenbotschafter selbst zu Wort. Der Fokus liegt hier auf Facebook.

So weit, so gut. Aber was, wenn der Technische Verkaufsleiter auf seinen privaten Kanälen regelmäßig Themen auf das Tableau bringt, die weit von dem – natürlich ungeschriebenen – Code of Conduct des Unternehmens entfernt liegen? Und soweit die Postings auch vom Code of Conduct entfernt sein mögen, so sind sie doch gerade noch im (sehr dunklen) Weißbereich des Rechts. Dennoch fangen Kunden des Unternehmens an, sich über die Äußerungen zu beschweren und erklären, dass derartige Aussagen nicht zur eigenen Unternehmensethik passen und die Geschäftsbeziehung überdacht werden müsse.

Und was, wenn Sie feststellen, dass der Mitarbeiter aus dem Controlling, den Sie letzte Woche auch noch im Rahmen einer Realistic Job Preview auf dem YouTube-Channel vorgestellt habe, einen neuen Twitter-Account hat, über den dieser eindeutig menschenverachtende Äußerungen tätigt?

Im besten Fall hat Ihr Unternehmen natürlich Kommunikationsleitfäden und/oder Schulungsvideos, die die Mitarbeiter von Beginn an sensibilisieren, so dass derartige Szenarien möglichst gar nicht erst entstehen. Aber Schulung hin, Schulung her, für derartige Krisenfälle sollten sowohl ein Kommunikationskonzept als auch ein mit diesem abgestimmtes Konzept der juristischen Eskalationsstufen in der Schublade liegen. Damit letztere möglichst geräuschlos im Krisenfall greifen können, führt wieder kein Weg an den besagten verbindlichen Richtlinien für die Mitarbeiterkommunikation – nennen Sie es meinetwegen Social Media Richtlinie – vorbei.

Wer hierzu mehr wissen möchte: Der Beitrag „Kündigung bei Äußerungen in Social Media?“ erläutert den juristischen Umgang mit derartigen Kommentaren von Mitarbeitern anhand eines Urteils des Arbeitsgerichts Mannheims.

3. Wem gehören Social Media Accounts?

Kehren wir an dieser Stelle zu dem hochmotivierten Mitarbeiter zurück,  welcher neben den eigentlichen Aufgaben eine Twitter- oder Facebook-Präsenz oder ein Fach-Blog aufbaute. Dieser Mitarbeiter hatte anfangs keine Rückendeckung von der Fachleitung, geschweige denn von der Geschäftsführung. Doch die Accounts erzielten mehr und mehr Reichweite. Die Reputation des Unternehmens gewann und die Geschäftsführung schmückte sich nun gern mit der ausgefeilten Social-Media-Strategie. Was ausblieb? Eine Regelung darüber, wem die Accounts und die Inhalte nun zuzuordnen sind.

Das ist auch kein Problem – solange es kein Problem gibt. Doch nun stellen wir uns vor, dass der Mitarbeiter das Unternehmen verlässt. Schlimmer noch, er geht im Streit. Und niemand außer diesem Mitarbeiter hat die Zugänge zu den Plattformen. Es beginnt ein Gezerre um die wertvollen Inhalte des Fachblogs und den Social Media Accounts. Das Unternehmen behauptet, die Präsenzen seien während der Arbeitszeit aufgebaut worden und würden deswegen inklusive aller Inhalte dem Unternehmen zustehen. Der Mitarbeiter kann jedoch nachweisen, dass das Unternehmen mehrfach abgelehnt hat, die Betreuung von Blog und Accounts offiziell in die Tätigkeitsbeschreibung aufzunehmen. Dazu gibt es entsprechenden E-Mail-Wechsel die belegen, dass die Arbeit hierfür maßgeblich neben den Kerntätigkeiten und sogar außerhalb der Dienstzeiten erledigt wurde. Und da sich die Urheberrechteklausel im Arbeitsvertrag natürlich nur auf die im Rahmen der Tätigkeit für den Arbeitgeber geschaffenen Inhalte bezieht, ist die Position des Unternehmens in diesem Fall eine schlechte. Dass ein solches Szenario für ein Unternehmen noch viel existentieller aussehen kann, wenn der Mitarbeiter über die „offiziellen“ Accounts reputationsschädigende Nachrichten verbreitet, versteht sich wohl von selbst.

Ein ähnliches Problem ergibt sich im Hinblick auf Key Accounter und Talent Relationship Manager. Deren Kontakte sind für Unternehmen ein wahrer Schatz. Verlassen Sie das Unternehmen und nehmen Sie alle ihre Daten mit, ohne dass der Arbeitgeber hierauf noch einen Zugriff hat, ist der Wertverlust immens.

Natürlich stehen einem Unternehmen in all diesen Fällen Rechtsmittel zur Verfügung. Der Erfolg eines solchen ist jedoch im erstgenannten Beispiel schon grundsätzlich zu bezweifeln. Und im letztgenannten Fall ist es sehr schwierig, den grundsätzlich bestehenden Anspruch auf Herausgabe der Kontakte auch gerichtlich durchzusetzen.

In Folge dessen kann auch an dieser Stelle nur geraten werden, entsprechende Regelungen in Richtlinien beziehungsweise Betriebsvereinbarungen aufzunehmen und mit einzelnen Mitarbeitern gegebenenfalls zusätzliche Vereinbarungen hinsichtlich der Inhalte etwa von Blogs zu treffen. Denn damit lässt sich das Risiko eines tief in den Brunnen gefallenen Kindes, also von kosten- und vor allem zeitintensiven Auseinandersetzungen mit (Ex-)Mitarbeitern ganz erheblich minimieren.

Weiterführende Informationen zu diesem Themenkomplex sind in dem Artikel „Wem gehören eigentlich XING-Kontakte und Social Media Accounts? – Oder: Der Herausgabeanspruch des Arbeitgebers“ zu finden.

4. Was ist mit den Themen IT-Sicherheit, Datensicherheit und BYOD?

Mitarbeiter nutzen die firmeneigene IT-Infrastruktur natürlich nicht nur, um Social-Media-Kanäle sowie das Internet zur Information und Kommunikation zu nutzen, sondern um die täglichen Arbeitsaufgaben mit Datenbanken, E-Mails und elektronischen Dokumenten zu bewerkstelligen. Das ist natürlich bequem. Unbequem ist es für Mitarbeiter, sich viele Passwörter zu merken. Oder sich an die IT zu wenden, wenn irgendwas am Rechner „komisch“ wirkt (vielleicht könnte das ja auch an dem USB-Stick liegen, den man letzte Woche einfach in den Laptop gesteckt hat?).

Dazu passiert es nicht selten, dass selbst hochvertrauliche Dokumente per WhatsApp versendet werden, wenn der Geschäftspartner bereits als bekannt und vertrauenswürdig gilt oder wenn die Geschäftsführung WhatsApp als Kommunikationskanal grundsätzlich freigegeben hat.

Bei den vorgenannten Beispielen geht es – klar – um Fragen der IT-Sicherheit, die zu regeln sind. Darunter fallen zum einen die Fragen der „technischen IT-Sicherung“ (Virenprogramme, Firewalls etc. pp.) wie auch der „menschlichen IT-Sicherung“ (bspw. die Verpflichtung, hochvertrauliche Daten nur mit Zustimmung der Geschäftsführung an Geschäftspartner zu übersenden). Die Regelung dieser Fragen liegt im Interesse einer jeden Firma. Schließlich geht es darum, dass Vertrauliches vertraulich bleibt und Produktinnovationen nicht etwa von Dritten mit einmal auf den Markt gebracht werden. IT-Sicherheit ist auch Datensicherheit.

Darüber hinaus schätzen es viele Mitarbeiter, gelegentlich von zu Hause arbeiten zu können. Im Zweifel wird vom eigenen Smartphone oder Laptop noch schnell in die E_Mails geschaut und das als vertraulich übersendete Dokument angesehen. Auch hier ist die IT-Sicherheit betroffen. Allerdings mit der erweiterten Problematik des BYOD („Bring your own device“). Diese Geräte sind in der Regel nicht speziell geschützt und dienen als Angriffspunkte für Dritte. An dieser Stelle vermischen sich Sicherheitsanforderungen des Unternehmens mit den Persönlichkeitsrechten der Mitarbeiter. Eben deswegen darf die Regelung von BYOD im Unternehmen nicht vernachlässigt werden.

Probleme der IT- und der Datensicherheit bestehen ferner bei portablen Dienstgeräten wie Laptops oder Smartphones. Hier muss klar gestellt werden, wie und mittels welcher Wege (z.B. nur via gesicherten VPN-Verbindungen) auf welche Unternehmensdaten zugegriffen werden kann und darf. Ebenso sind Regelungen zum Umgang mit den Geräten zu treffen. Schließlich sollten vertrauliche Daten zur neuesten Produktentwicklung nicht bei der Arbeit im Zug von allen Mitreisenden mitgelesen werden können oder der Laptop gleich ganz dem fremden Zugriff während des eigenen Toilettengangs ausgesetzt sein. Darüber hinaus ist auch hier die private und dienstliche Nutzung schon aus steuerrechtlichen Gründen zu definieren.

Siehe dazu ergänzend den UPLOAD-Artikel von Jan Tißler über die „Sicherheitslücke Mensch“ und wie Unternehmen damit umgehen können. Generell sind die Themenschwerpunkte zu Sicherheit und zu Privatsphäre inzwischen komplett online verfügbar.

5. Last but not least: Der Datenschutz

Datenschutz gilt gemeinhin als ein rotes Tuch: trocken, kompliziert, anstrengend. Und nach landläufiger Meinung interessiert sich ohnehin niemand dafür, also kann der Bereich Datenschutz auch gepflegt vernachlässigt werden.

Dass die landläufige Meinung nicht immer die intelligenteste sein muss, zeigt zwar eigentlich schon der Begriff der Schwarmdummheit auf. Doch im Bereich Datenschutz kommt die besagte landläufige Meinung nicht von ungefähr. Die für Datenschutz zuständigen Behörden sind personell grundsätzlich unterbesetzt und haben zu behördlich initiierten Prüfungen keine Kapazitäten. Und lange Zeit nahm auch der Wettbewerb das Thema Datenschutz nicht ernst. Doch Tempora mutantur, nos et mutamur in illis (Die Zeiten ändern sich und wir uns mit ihnen).

Zunächst kann es inzwischen wohl als herrschende Rechtsauffassung bezeichnet werden, dass Datenschutzverstöße als Wettbewerbsverstoß von Mitbewerbern nach dem Gesetz gegen den unlauteren Wettbewerb abgemahnt werden können (so bereits das OLG Hamburg, Az. 3 U 26/12, im Jahr 2013). Bei solchen wettbewerbsrechtlichen Abmahnung, geht es dabei zumeist nur um eine nicht vorhandene oder mangelhafte Datenschutzerklärung auf einer Microsite oder fehlerhaft eingebundene Social Media Buttons. So eine Abmahnung oder gar ein Verfahren ist nicht schön, aber noch einigermaßen kalkulierbar.

Es nehmen jedoch die Fälle zu, in denen konkurrierende Unternehmen nicht zum Mittel der wettbewerbsrechtlichen Abmahnung greifen, sondern den gegen Datenschutzrecht verstoßenden Mitbewerber bei der Behörde anzeigen. Die Bußgelder wegen Datenschutzverstößen sind zwar in der Regel noch so gering, dass davor kein halbwegs gut aufgestelltes Unternehmen zittern muss, aber eine Betriebsprüfung bringt gelinde gesagt keinen Spaß. Eine solche Betriebsprüfung kostet Zeit und folglich Geld. Jedenfalls dann nicht, wenn man keinen Datenschutzbeauftragten vorweisen kann und weder Verfahrensverzeichnisse noch Verarbeitungsübersichten inklusive einer Aufstellung aller technisch und organisatorischen Maßnahmen aus der Schublade zaubern kann.

Doch auch hier einmal von vorn:

Das Bundesdatenschutzgesetz (BDSG) macht für den Umgang mit personenbezogenen Daten, gleich ob mit Kunden- oder Mitarbeiterdaten etliche klare Vorgaben. Es verpflichtet die Unternehmen zum Beispiel nach § 9 BDSG:

„…technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“

Demgemäß braucht es natürlich eine grundsätzliche Datenschutzrichtlinie des Unternehmens, in welcher der grundsätzliche Umgang mit personenbezogenen und sonstigen relevanten Daten geregelt wird. Dabei geht es um die Aufstellung der datenschutzrechtlichen Grundsätze des Unternehmens. Zum Beispiel unter welchen Voraussetzungen personenbezogene Daten erhoben und verarbeitet werden dürfen, den Grundsatz der Zweckmäßigkeit und Datensparsamkeit, in welchen Fällen Daten übermittelt werden dürfen oder wann Daten endgültig vernichtet werden müssen.

Die Datenschutzrichtlinie eines Unternehmens gibt aber zumeist nur recht abstrakt die Vorgaben des Bundesdatenschutzgesetzes wieder. „Mit Leben gefüllt“ wird diese dann durch entsprechende Anlagen bzw. eben die „technischen und organisatorischen Maßnahmen“, kurz TOM genannt.  Das Gesetz verlangt beispielsweise darzustellen, wie Datensysteme vor dem Zugriff Dritter gesichert werden – etwa durch die Verpflichtung zum Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes oder zum Einsetzen von Virenscannern vor Anschluss eines externen Drittgerätes an die IT-Infrastruktur.

Der aufmerksame Leser wird nun vielleicht erkannt haben, dass die bisher vielfach angesprochenen Richtlinien, die die IT- und Datensicherheit betreffen, letztlich nichts anderes sind als eben Bestandteile dieser nach dem BDSG erforderlichen „technischen und organisatorischen Maßnahmen“.

Wichtig ist in diesem Zusammenhang noch, dass das Wort „noch“ im Satz mit den Bußgeldern oben nicht aus Zufall gefallen ist. Denn ab 2018 gilt die Europäische Datenschutzgrundverordnung (DSGVO) und mit dieser ziehen die Bußgelder massiv an, nämlich auf bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens – je nach dem welcher Betrag höher liegt. Und nein, die hier genannten Dokumentations- und Sicherungspflichten verschwinden nicht zusammen mit dem BDSG. Die DSGVO verschärft diese Pflichten für Unternehmen vielmehr. Und vor diesem Hintergrund macht es dann vielleicht doch Sinn, das Thema Datenschutz ganz grundsätzlich auf die Agenda zu heben.

In meinem Blog habe ich eine Reihe zur DSGVO begonnen, mit der ich nach und nach erläutere, welche Anforderungen auf Unternehmen im Zusammenhang mit der DSGVO bis 2018 einstellen müssen. Außerdem vielleicht für Sie interessant sind die UPLOAD-Beiträge „Datenschutz – Gut für die Kunden, gut fürs Geschäft“ und „Tipps, Tricks und Tools zum Schutz sensibler Daten“. 

Fazit: Der Kreis schließt sich

Digitale Kommunikation funktioniert nicht ohne Internet- und IT-Infrastruktur. Es sollte nun aber auch deutlich geworden sein, dass nicht nur tatsächliche sondern auch rechtliche Fragen der Kommunikation, der IT-Sicherheit, der Datensicherheit und des Datenschutzes ineinander übergreifen und nicht getrennt voneinander betrachtet werden können. Die aus diesen Fragestellungen resultierenden (möglichen) rechtlichen Probleme sollten Unternehmen aus einem ureigenem Interesse heraus nicht als offene Flanken stehen lassen. Denn auch wenn der Angang einer Lösung nach der bisherigen Lektüre zunächst fürchterlich komplex aussehen mag, ist die Erstellung von Richtlinien und Vereinbarungen zur Regelung der rechtlichen Fallstricke doch einfacher, als sich mit Aufsichtsbehörden, Mitbewerbern oder (ehemaligen) Mitarbeitern, gegebenenfalls gerichtlich, auseinandersetzen zu müssen.

Und um das vielleicht zwischenzeitlich eingesetzte Rauschen im Kopf zum Abschluss wieder einzudämmen, nachfolgend eine Übersicht der verschiedenen für Unternehmen relevanten Richtlinien und ihrer jeweiligen Regelungsintentionen:

  1. Datenschutzrichtlinie: Regelung zum grundsätzlichen Umgang mit personenbezogenen Daten innerhalb des Unternehmens und vom Unternehmen gegenüber Dritten.
  2. Internet-, IT-, E-Mail-Richtlinie: Regelung der Nutzung von IT-Systemen, Internet und Email durch die Mitarbeiter (ggf. inkl. Regelungen zu BYOD)
  3. Richtlinie zur digitalen Kommunikation (Social-Media-Richtlinie): Regelung zur Nutzung von Social-Media-Anwendungen zur digitalen Information und Kommunikation durch die Mitarbeiter.
  4. Geräte-Richtlinie: Regelung zum Umgang mit mobilen, dienstlichen Arbeitsgeräten seitens der Mitarbeiter.

Schulungen, Videos oder bunte PDF-Leitfäden für die Mitarbeiter sollten dabei keineswegs von der Agenda gestrichen werden. Sie sind insbesondere unter dem Aspekt der Arbeitgeber-Arbeitnehmer-Kommunikation wichtig. „10 Dos & Don’ts“ können aber notwendige verbindliche Regelung zur digitalen Kommunikation, zur IT- und Datensicherheit nicht ersetzen.

Artikel vom 05. September 2016