Arbeitnehmer riskieren bei der Preisgabe von Unternehmensinformationen in sozialen Netzwerken nicht nur ihren Job, denn den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (§ 5 BDSG). Daneben kann sich der Arbeitnehmer allerdings auch nach diversen Gesetze strafbar machen.
Der Inhalt im Überblick
Sanktionen nach dem BDSG
In Betracht kommt zunächst eine Ordnungswidrigkeit / Strafbarkeit nach dem BDSG:
§ 43 BDSG
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
§ 44 BDSG
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Sanktionen nach dem UWG
Soweit Betriebs- oder Geschäftsgeheimnisse involviert sind, kommt auch eine Strafbarkeit nach dem Gesetz gegen unlauteren Wettbewerb (UWG) in Betracht:
§ 17 UWG
(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Sanktionen nach dem StGB
Werden zudem beispielsweise ohne Einwilligung Aufzeichnungen gefertigt, so ist das StGB einschlägig:
§ 201 StGB
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt
1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder
2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht.
(2) …
Fazit
Zwar wird der Arbeitnehmer bei Aufnahme seiner Tätigkeit im Regelfall hinsichtlich seiner Verschwiegenheit verpflichtet (§ 5 BDSG), diese Verpflichtung bietet jedoch keinen ausreichenden Schutz für den Arbeitgeber. Arbeitgeberseitig sollte daher im Rahmen der IT-Compliance zumindest der Zugang zu sozialen Netzwerken über unternehmensseitige Rechner in den Nutzungsregelungen bzgl. E-Mail, Internet und Telefon untersagt und technisch unterbunden werden. Nur so kann zumindest dem unmittelbaren Abwandern von Unternehmensdaten über die eigenen Rechner entgegengewirkt werden.
Die Nutzung von sozialen Netzwerken ist eine sehr spannende und in vielen Unternehmen diskutierte Angelegenheit. Es ist ein sehr facettenreiches Thema. Das sieht man schon daran, dass dieser natürlich kurze Blog viele Dinge aufführt, die meiner Meinung nach nicht unbedingt zusammengehören. Die oben aufgeführten Paragraphen sind natürlich Datenschützern und auch Informationsschützern bekannt, gelten sie doch schon seit längerer Zeit.
Die Frage, die in diesem Blog beantwortet werden soll, scheint mir zu sein, ob man soziale Netzwerke in Unternehmen blocken soll oder nicht. Ich bin beruflich Information Security Manager, habe also erst einmal mit Datenschutz nur peripher etwas zu tun. Mir stellt sich zunächst die Frage, welchen Businessimpact eine neue Art der Kommunikation hat. Dieser Nutzen für das Business war lange Zeit zu negieren, muss aus heutiger Sicht aber bestätigt werden. Damit habe ich mich mit dem Thema zu beschäftigen.
Dann stellt sich die Frage, ob diese Thematik aus Sicht der Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit) ein InfoSec Thema ist. Das verneine ich ganz entscheidend. Es gibt keinen direkten oder indirekten Einfluss auf ein Geschäft eines Unternehmens, also muss ich es nicht blocken.
Alle – auch oben angeführten – Ausführungen können nicht über typische Sicherungsmaßnahmen abedeckt werden oder sind sowieso nur als Managementaufgabe zu sehen, wie z.B. die Verbreitung von Betriebsgeheimnissen. Ich kann das – gerade bei sozialen Netzwerken – nicht verhindern.
Ein Blocken innerhalb des Unternehmens führt lediglich zu Unzufriedenheit bei der Mehrzahl der Mitarbeiter, die ja auch in der Mehrzahl die Guten sind, es führt zu Abwehr- oder Kompensationshandlungen wie z.B. der Nutzung von Smartphones aus dem Privatbereich während der Arbeitszeit, etc. Ein Blockieren bringt also absolut überhaupt keinen positiven Effekt, mehr noch, es verstärkt sowohl den negativen Touch eines Datenschutzbeauftragten und eines Information Security Managers. Wir müssen an die Prozesse ran, an die Menschen, müssen Awareness bilden, müssen Koalitionen bilden und ein Wir-Gefühl schaffen.
Es dürfte etwas zu kurz gedacht sein, das Vorhandensein von Betriebsgeheimnissen allein auf die Managementebene zu reduzieren. Häufig bilden beispielsweise gerade Sachbearbeiter Schnittstellen zu wichtigen und vertraulichen Informationen oder kommen mit diesen in Kontakt (z.B. Sekretariat).
Natürlich gibt es nie eine 100%ige Garantie zur Einhaltung von Sicherheitsmaßnahmen. Dies kann aber nicht als Argument herangezogen werden. So legen wir beispielsweise im täglichen Autoverkehr Sicherheitsgurte mit dem Wissen an, dass diese im Falle eines Verkehrsunfalles auch keine 100%ige Überlebenschance garantieren. Die Chance wird allerdings erhöht.
Umgekehrt kann es im vorliegenden Fall natürlich auch nicht ausgeschlossen werden, dass von daheim über Soziale Netzwerke entsprechend rechtswidrig Betriebsgeheimnisse ausgeplaudert werden. Was aber verhindert werden kann ist, dass bereits unmittelbar die Unternehmens-IT unter zeitgleichem Zugriff auf sensible Unternehmensdaten (womöglich noch per Copy & Paste) zur Preisgabe von sensiblen Informationen genutzt wird (Risikominimierung).
Hinzu kommt, dass das Bundesarbeitsgericht ohnehin die Auffassung vertritt, dass die private Nutzung des Internets durch Arbeitnehmer ohnehin verboten ist, wenn diese vom Arbeitgeber nicht ausdrücklich erlaubt oder zumindest geduldet wurde.
Letztlich dient die Arbeitszeit der Erfüllung der gegenseitig vertraglich geschuldeten Arbeitspflichten und der Arbeitgeber ist nicht mit einem Internetcafé gleichzusetzen, in welchem die IT-Struktur nach Belieben genutzt werden kann. Im Vergleich würde es beispielsweise auch merkwürdig anmuten, wenn wir einen Anwalt mit einer Dienstleistung beauftragen, dieser nach Stunden vergütet wird und uns umgekehrt sein Privatsurfen in Rechnung stellt oder dieses von uns verlangt. Daher geht auch der Einwand einer vermehrten Nutzung von privaten Smartphones während der Arbeitszeit genauso fehl. Letzlich ist der Arbeitgeber vom Grundsatz her nicht verpflichtet private Internetnutzung zu gestatten und tut er dieses doch, so stellt es eine zusätzliche Leistung dar.
Unabhängig davon verweist im Übrigen auch das Bundesamt für Informationssicherheit (BSI) auf die potentielle Gefahr in Sozialen Netzwerken aufgrund von Schadsoftware (Link zum BSI). Das BSI weist zudem ausdrücklich darauf hin, dass Soziale Netzwerke dazu genutzt werden WIrtschaftsspoinage zu betreiben (Link zum BSI für Bürger).
Soweit die Unzufriedenheit von Mitarbeitern im Hinblick auf schutzverantwortliche Personen angesprochen wird, so wird man gerade von diesen Personen erwarten müssen, dass sie auch das „Standing“ haben, was in einer solchen Position notwendig ist. Denn hier handelt es sich klassischerweise um konfliktträchtige Positionen, gleich in welche Richtung. Um solchen Konfrontationen entgegenzuwirken hilft in der Tat (und insoweit ist dem Vorredner Recht zugeben) allerdings nur eine Sensibilisierung der Mitarbeiter und eine Veranschaulichung der Gefahren.
Richtig ist zudem, dass man Maßnahmen auch am konkreten Unternehmen ausrichten muss. Besteht die Gefahr des Abflusses sensibler Unternehmensinformationen ohnehin nicht, so wäre auch die Sperrung Sozialer Netzwerke widersinnig.
Nachtrag (15.11.2010):
Nicht ohne Grund sperren daher auch große Konzerne wie Porsche oder Volkswagen die Nutzung sozialer Netzwerke.