Sie sind hier: Home » Markt » Hinweise & Tipps

Klärung: Rechtsfragen zu Web 2.0


Rechtliche Fallstricke der Web 2.0-Nutzung am Arbeitsplatz erfordern einheitliche Richtlinien für Mitarbeiter
Leitlinien für die Mitarbeiter-Kommunikation zur Sicherheit im Unternehmen


(27.09.10) - Clearswift hat anhand der rechtlichen Rahmenbedingungen für Web 2.0 generelle Leitlinien für die Mitarbeiterkommunikation im Unternehmen entwickelt. Grundsätzlich gilt: Die Vorbildfunktion der Führungskräfte, klare Richtlinien, weitgehend automatisierte Sicherheitstechnologien und eine regelmäßige Kommunikation schaffen bei Mitarbeitern ein hohes Verantwortungsbewusstsein beim Umgang mit Daten und Informationen.

"Für Web 2.0-Anwendungen gelten dieselben rechtlichen Regelungen bezüglich IT-Compliance, Sicherheit und Datenschutz wie für Internet und E-Mail. Das kann in der Praxis allerdings zu überraschenden Herausforderungen führen", erklärt Henning Ogberg, Sales Director Central & Eastern Europe bei Clearswift.

"Daher haben wir mit Rechtsexperten von Hanselaw Hammerstein und Partner eine Übersicht zu den zentralen Rechtsfragen für Web 2.0 in Unternehmen erarbeitet. Dies hat zusammen mit unseren Praxiserfahrungen aus IT-Security-Projekten dazu geführt, dass wir Leitlinien für die interne Kommunikation gegenüber Mitarbeitern entwickelt haben. Die Gründe: Inhaltsbezogene Sicherheitslösungen für Web- und E-Mail-Kommunikation wehren zwar zuverlässig und mit einem hohen Automatisierungsgrad Schadsoftware ab und sichern sensible Inhalte vor Missbrauch durch Verschlüsselung, elektronische Signatur und rollenbasierte Zugriffsrechte. Allerdings sind Unternehmen für ein rechtskonformes Sicherheitskonzept zusätzlich verpflichtet, die Risiken elektronischer Kommunikation zu erfassen, Maßnahmen zur Abwehr zu definieren und diese Richtlinien mit Konsequenzen bei Verstößen an die Mitarbeiter zu kommunizieren."

Web 2.0 Herausforderungen aus rechtlicher Sicht
Wie heikel die Erarbeitung von Unternehmensrichtlinien zur IT-Sicherheit sein kann und wie wichtig daher die Aufklärung der Mitarbeiter ist, zeigt die Anwaltskanzlei Hanselaw Hammerstein und Partner anhand von gesetzlichen Regelungen, die nur wenigen bewusst sind:

Verantwortungsbereiche für Web 2.0-Inhalte
>> Im November 2009 urteilte der Bundesgerichtshof beispielsweise, dass Betreiber von Web 2.0-Plattformen für rechtsverletzende Inhalte auch für von Dritten eingestellte Inhalte verantwortlich gemacht werden können, wenn sie sich diese zu eigen machen, indem sie sie zum Beispiel redaktionell in die Internetseite einbinden.

>> Erfolgen rechtsverletzende Äußerungen durch einen Mitarbeiter im Rahmen eines privaten Social-Media-Accounts – etwa Herabsetzung eines Wettbewerbers – droht eine Haftung des Unternehmens nur im Ausnahmefall. Ein solcher könnte aber gegeben sein, wenn dieser Account auch laufend geschäftlich genutzt wird und das Unternehmen dies billigend zur Kenntnis genommen hat.

Archivierung von Web 2.0-Inhalten
>> Die Pflichten zur Archivierung richten sich nach der Branche und nach dem jeweiligen Inhalt der Kommunikation. Vereinfacht kann man sagen: Wenn eine entsprechende Mitteilung als Brief oder E-Mail aufbewahrungspflichtig wäre, dann ist sie dies auch als Forenbeitrag, Beitrag im Extranet oder per Instant Messaging. Wer hier seine Aufbewahrungspflichten verletzt, kann sich Bußgeldern ausgesetzt sehen.

Eigentumsfragen bei Web 2.0-Inhalten
>> Die geschäftliche Nutzung privater Accounts birgt für die Unternehmen erhebliche Risiken, wenn der Mitarbeiter ausscheidet und man die dort erfassten Daten herausgegeben und gelöscht haben möchte. Hier ist dringend zu empfehlen, dass man mit den Mitarbeitern ausdrückliche Vereinbarungen trifft und nach Möglichkeit Accounts genutzt werden, welche auf das Unternehmen lauten und auch von diesem bezahlt werden.

Daher empfiehlt Clearswift folgende Guidelines rund um die Mitarbeiterkommunikation für Unternehmenssicherheit. Ziel ist es, ein hohes Verantwortungsbewusstsein im täglichen Umgang mit elektronischen Medien und Unternehmensdaten zu schaffen und so Risiken abzuwehren:

Guidelines zur Schaffung eines hohen Sicherheitsbewusstseins:
Demonstrieren Sie die hohe Bedeutung von Sicherheit im Unternehmen, indem Sie:

>> Rechtlich zentrale Vereinbarungen mit Mitarbeitern zu den Grenzen der Nutzung von Internet, Web 2.0 und E-Mail für private und geschäftliche Zwecke schriftlich festhalten

>> Einen Sicherheitsbeauftragten etablieren und mit Kompetenzen ausstatten

>> Neue Mitarbeiter sofort in die geltenden Sicherheitsrichtlinien einführen

>> Zeitliche und inhaltliche Standards für Sicherheitsschulungen und -informationen festlegen

>> Jeden Mitarbeiter – auch Vorgesetzte und das Management – zur Teilnahme an Sicherheitsschulungen verpflichten

>> Regelmäßig über Neuerungen in der internen Sicherheit sowie über neue Gefahren von extern informieren
>> Konsequenzen bei Verstößen definieren

Guidelines zur Gestaltung der Mitarbeiterkommunikation:

>> Keep it simple – je einfacher und komfortabler Sicherheit einzuhalten ist, um so eher wird sie umgesetzt. Trainings sollten kurz und auf den Arbeitsplatz abgestimmt sein, Informationen knapp und verständlich, Ansprechpartner einfach erreichbar sein.

>> Lassen Sie Sicherheit nicht in Vergessenheit geraten – Definieren Sie klare Sicherheits-Richtlinien mithilfe regelmäßiger Informations-Updates, beispielsweise dazu, was bei der Nutzung von Internet und E-Mail erlaubt ist und was nicht. Diese Richtlinien sollten schriftlich an zentraler Stelle zur Einsicht vorliegen, regelmäßig aktualisiert und an jeden Mitarbeiter kommuniziert werden.

>> Erhöhen Sie die Kompetenzen im Umgang mit Sicherheitstechnik – Bieten Sie verständliche Anleitungen und trainieren Sie die Mitarbeiter im Umgang mit IT-Security-Anwendungen wie beispielsweise Verschlüsselung, elektronische Signatur, Passwort-Management, Datensicherung und Archivierung.

>> Bleiben Sie am Puls der Zeit – Insbesondere die rasanten Entwicklungen bei Web 2.0 und Social Media Anwendungen erfordern regelmäßige Informationen zu rechtlichen und unternehmenseigenen Regelungen beim Umgang mit diesen Medien.

>> Machen Sie Sicherheit zur Gewohnheit – Bestehen Sie darauf, dass die IT-Security-Anwendungen selbst bei weniger sensiblen Daten genutzt werden. Wenn die elektronische Signierung von E-Mails beispielsweise auch bei unkritischen Informationen zur Gewohnheit wird, sinken im Ernstfall mögliche Risiken aufgrund von Nachlässigkeit.

>> Schärfen Sie das Risikobewusstsein – Kommunizieren Sie anhand von praxisnahen Beispielen, wie gefährliche Vorfälle zu erkennen sind und geben Sie den Mitarbeitern klare und einfache Richtlinien an die Hand, was in solchen Fällen zu tun ist.

>> Reagieren Sie schnell auf Sicherheitsfragen – Definieren Sie verantwortliche Ansprechpartner und schaffen Sie für diese die Voraussetzungen, schnell und kompetent auf Fragen von Mitarbeitern zur Sicherheit im Unternehmen antworten zu können.

>> Schaffen Sie Raum für Sicherheit – Etablieren Sie ein Sicherheitsforum – etwa im Intranet – um den Dialog mit Mitarbeitern über Sicherheitsfragen, Probleme und Verbesserungsvorschläge zu fördern.

>> Vergewissern Sie sich über den Stand des Sicherheitsbewusstseins – Befragen Sie Mitarbeiter regelmäßig zur Sicherheit im Unternehmen, zu möglichen technischen oder organisatorischen Problemen oder zu Verbesserungsvorschlägen. Dies hilft die Wirksamkeit der Sicherheitsmaßnahmen zu prüfen und das Thema bei den Mitarbeitern aktuell zu halten.

>> Dulden Sie keine Ausreden – Lassen Sie sich die Kenntnisnahme von Sicherheitsrichtlinien und die Konsequenzen bei Verstößen schriftlich bestätigen.
(Clearswift: ra)

Clearswift: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorbereitung auf NIS2: ein strategischer Imperativ

    In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan. Die NIS2-Richtlinie baut auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und ist eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa.

  • Datenverlust: Bedrohungen von außen und innen

    Das Vertrauen in den öffentlichen Sektor und seine Datenschutzmaßnahmen hat Risse bekommen. Laut einer aktuellen Studie geben 32 Prozent der deutschen Bürgerinnen und Bürger an, dass sie es bevorzugen würden, wenn Behörden zum Schutz ihrer persönlichen Daten weiterhin mit analogen Mitteln wie Papierdokumente arbeiteten.

  • Maßnahmen für die NIS2-Compliance

    Bis 17. Oktober 2024 müssen die neuen EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS2) von allen Mitgliedstaaten durch lokale Gesetzgebung umgesetzt werden. Als Strafrahmen legt die EU bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes fest. Deutschland könnte sogar noch strengere Vorgaben und höhere Strafen beschließen.

  • Betriebliche Resilienzmaßnahmen einführen

    Die Zahl der Cyberangriffe auf den Finanzsektor nimmt weltweit zu, und auch in Deutschland stellen Cyberattacken nach Einschätzung der Finanzaufsicht BaFin eine große Gefahr insbesondere für Banken und Versicherer sowie deren Dienstleister dar.

  • Regulierung nach der Finanzkrise

    Der vom Bundeskabinett beschlossene Jahreswirtschaftsbericht 2024 trägt den Titel "Wettbewerbsfähigkeit nachhaltig stärken". Dieses Ziel ist uneingeschränkt zu begrüßen, allerdings sollte es sich auf die Wettbewerbsfähigkeit der gesamten deutschen Wirtschaft beziehen und damit auch die Banken einschließen. Denn als Herz-Kreislauf-System unserer Wirtschaft spielen diese eine ganz besondere Rolle.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen