Wo IT-Chefs bei Social Media der Schuh drückt

Jede dritte deutsche Firma nutzt Social Media für Unternehmenszwecke, hat IDC kürzlich festgestellt. Für die IT-Verantwortlichen wirft das eine Reihe von Fragen auf - und viele davon sind juristischer Natur. Die computerwoche hat die wichtigsten zusammengetragen - und sie von einem auf das Thema spezialisierten Anwalt beantworten lassen.

Eine Frage von Bernd Hilgenberg, Vorstand Technik und Entwicklung bei der SHD AG, Andernach: "In sozialen Netzwerken gibt es sogenannte Mixed Accounts, die sowohl der Firma als auch einem oder mehreren Mitarbeitern zugeordnet sind. Wem gehören die sozialen Kontakte, die auf diesem Weg hergestellt werden?"

Die Antwort von Carsten Ulbricht (Diem & Partner, Stuttgart): In den meisten Unternehmen werden die Accounts von den Mitarbeitern gepflegt, weil diese "eigene" Accounts angemeldet oder sie im Auftrag des Unternehmens eröffnet haben, ohne dass es eine klare Absprache gibt. Solange alles reibungslos läuft und der Mitarbeiter dem Unternehmen und der Position erhalten bleibt, stellt sich die Frage nach dem "Eigentum" an dem Account beziehungsweise den enthaltenen Kontakten und Informationen nicht. Erst wenn der Mitarbeiter das Unternehmen verlässt, können einige relevante Fragen auftreten.

In den USA und England haben solche Fragen bereits zu Auseinandersetzungen vor Gericht geführt. Hier tritt ein Problem zutage, für das eine spezifische Rechtsprechung in Deutschland bisher fehlt:

• Wem "gehören" eigentlich die jeweiligen Social-Media-Kontakte?

• Was passiert mit den Social-Media-Accounts, wenn Mitarbeiter das Unternehmen - vielleicht sogar zum unmittelbaren Wettbewerber - verlassen?

• Wie sollen geschäftlich genutzte Accounts übergeben werde?

Das Eigentum an Social-Media-Konten hängt von den Umständen des Einzelfalls ab. Wichtige Fragen sind dabei:

• Wer hat den Account angemeldet ?

• Wie ist die Ausgestaltung (auch Nutzungsbedingungen) des Sozialen Netzwerks?

• Wer zahlt etwaige Kosten des Accounts?

• Wie lautet der Account-Name (ist zum Beispiel der Firmenname enthalten)?

• Auf welche E-Mail-Anschrift wurde der Account angemeldet?

• Wird der Account schwerpunktmäßig privat oder geschäftlich genutzt?

• Welche Zweckbestimmung wurde diesem Account zugeordnet?

Betrachtet und bewertet man Gestaltung und Historie eines bestimmten Accounts, so wird man in vielen Fällen zu dem Schluss kommen, dass das Benutzerkonto der jeweils angemeldeten Privatperson "gehört" und der Arbeitgeber keinerlei Ansprüche auf Herausgabe des Accounts geltend machen kann. Damit scheidet auch ein etwaiger Schadensersatz von vornherein aus.

Stellt sich das Benutzerkonto auf Grundlage der oben genannten Indizien als geschäftlicher Account dar, so ist die Rechtslage allerdings eine andere. Ein typisches Beispiel ist das Konto bei Facebook, Twitter, Xing & Co., das als offizieller Unternehmenskanal im Auftrag des Arbeitgebers bedient werden soll - meist von einem der zahlreichen Social-Media-Manager.

Der Daten-Zauberer
Der Daten-Zauberer verwendet gefühlt 22 verschiedene Apps auf mindestens elf Geräten, was wahrscheinlich nicht immer mit der BYOD-Policy im Unternehmen konform geht. Das Lieblings-Netzwerk des Datenzauberers ist Google Plus - die Analyse-Tools sind einfach zu gut. Und am liebsten betreibt er Email-Kampagnen, die er mit Begeisterung vorher getestet hat. Damit ist der Daten-Zauberer wohl nicht allein: 43 Prozent aller Digital-Marketing Manager testen ihre Aufrufe vorher, die Hälfte überprüfen, ob die Tageszeit für die Email-Kampagne auch die richtige ist und 97 Prozent können stundenlang über der Betreffzeile grübeln. Worauf CIOs achten sollten: Auf dem Weg zu den heiß geliebten Daten ignoriert er schon mal implementierte Policies für Sicherheit und BYOD.

Der E-Künstler
Er versteht sich selbst als Künstler, sein Produkt ist auch ein Kunstwerk. Sein Lieblings-Netzwerk ist daher auch Pinterest. Er stellt gern Bilder online und liebt visuell ansprechende Grafiken. Die Statistik gibt ihm Recht: 65 Prozent aller Menschen lernen über Bilder. Worauf CIOs achten sollten: Dieser Typ des digitalen Marketing-Managers verläuft sich manchmal. Da sich seine Performance auch auf ihre Ergebnisse auswirkt, müssen Entscheider ihn manchmal einfangen, bevor er sich verkünstelt.

Der Social Media Meister
Er war einer der ersten, die Facebook als Werbeplattform entdeckt haben - noch bevor es Facebook überhaupt gab. Schließlich ist Zuckerbergs Netzwerk allein für mehr als 90 Prozent der Umsätze im Social-Media-Bereich verantwortlich. Worauf CIOs achten sollten: Vom Guru unter digitalen Marketing-Managern kann man immer noch was lernen - und sich vielleicht Tipps für die unternehmensinterne Social Media Plattform holen.

Der Beta-Tester
Bitte, Facebook ist doch so Neunziger Jahre. Der Beta-Tester lässt den Mainstream hinter sich und experimentiert mit neuen Plattformen. Deswegen hat er auch regelmäßig ein neues Lieblingsnetzwerk: Alles, was im Beta-Stadium ist. Der Beta-Tester hat immer die neuesten Geräte. Und ist besessen von den Aktivitäten der Generation Y. Worauf CIOs achten sollten: Der Beta-Tester verletzt keine BYOD-Policies. Er weiß gar nicht, was das ist. Beziehen Sie ihn in die Entwicklungsarbeit Ihrer eigenen online-Plattform ein. Er weiß, was funktioniert und woran schon andere scheiterten.

Der Megaphon-Manager
Hauptsache, laut. Dieser Typ des digitalen Marketing-Managers ist nicht gerade subtil. Er ist mit seinen Symbolen und Hashtags gern im Zentrum der Aufmerksamkeit. Diese Holzhammer-Methode scheint zu funktionieren: Emails mit einem Symbol in der Betreffzeile werden zu 15 Prozent mehr geöffnet, mit einem Hashtag fast fünf Prozent. Sein Lieblingsnetzwerk ist: Twitter. Worauf CIOs achten sollten: Beim Megaphon-Manager steht manchmal Form vor Inhalt. Und behalten Sie seine Twitter-Aktivitäten im Auge.

Der Traditionelle
Der traditionelle Typ ist eher oldschool, was seine Herangehensweise an Social Media angeht. Ein Tablet? Pah. Seinen My-Space-Account - nein, das Netzwerk ist immer noch nicht tot - befüllt er vom PC aus. Und Werbung wird über das Fernsehen geschalten. Worauf CIOs achten sollten: Fortbildungsseminare könnten helfen. Aber auch mit einer Rosskur wird dieser Typ des Marketing Managers wohl nicht mehr digital. Ob er Ihr Team wirklich verstärken sollte?

Die Besserwisserin
Die Besserwisserin hat gern alles im Griff. Marketing läuft über den eigenen Blog, denn darüber hat man die beste Kontrolle über die Daten und Analysetools. Sie sagt den Chefs gerne mal, was sie alles verkehrt machen. Die ignorieren nämlich Multi-Channel-Ansätze im Marketing und das passt ihr gar nicht. Andere personalisieren ihre Emails nicht, obwohl dass die Transkationschancen deutlich erhöht. Worauf CIOs achten sollten: Hören Sie auf die Besserwisserin - meistens. Aber achten Sie darauf, dass Ihre Strategie nicht immer der Strategie der Konkurrenz gleicht.

In nicht ganz klaren Fällen sollte im Interesse des Unternehmens, aber auch zur Absicherung des jeweiligen Social-Media-Managers klar geregelt werden, ob und wie im Falle eines Ausscheidens der Account herausgegeben werden soll und ab wann eine (auch rechtliche) Verantwortlichkeit für die Kommunikation auf dem Kanal endet. Zu empfehlen sind in diesen Fällen Zusatzvereinbarungen zum Arbeitsvertrag.

Im "worst case" müssen die Unternehmen sonst auf Herausgabe "ihrer" Accounts beziehungsweise der Zugangsdaten klagen. Bis zu einer gerichtlichen Durchsetzung, die im Hinblick auf die fehlende Rechtsprechung lange dauern kann, liegt der Unternehmens-Account dann möglicherweise brach, was zum Verlust mühsam aufgebauter Follower oder Fans führen kann.

Wem die Xing-Kontakte gehören

Eng damit verbunden ist die Frage, wem eigentlich die Kontakte "gehören", die ein Mitarbeiter (beispielsweise ein Vertriebsleiter) über einen geschäftlich genutzten Xing-Account aufgebaut hat. Nach höchstrichterlicher Rechtsprechung ist der Arbeitnehmer als Beauftragter nach Paragraf 667 Alt. 2 BGB grundsätzlich verpflichtet, dem Arbeitgeber alles, was er aus der Geschäftsbesorgung erlangt hat, herauszugeben, so etwa das Bundesarbeitsgerichts-Urteil vom 11. April 2006 - 9 AZR 500/05 (LAG Hamm).

Ob dies auch bei einem Xing-Account angenommen werden kann, wird anhand der früher genannten Indizien bewertet werden müssen.Etwas komplexer könnte die Beurteilung werden, wenn es zusätzlich etwa Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer über eine besondere Vertraulichkeit exisitieren oder es gar eine Wettbewerbsklausel gibt.

Es ist unbedingt zu empfehlen, klare Vereinbarungen über diese Punkte und über eine etwaige "Rückabwicklung" zu treffen, bevor beispielsweise im Rahmen einer Kündigung das Tischtuch zwischen den Parteien zerschnitten ist. Gerade im arbeitsrechtlichen Bereich gibt es einige offene Flanken, wie die weithin fehlenden oder unzureichenden Leitplanken zur Social-Media-Nutzung durch die Mitarbeiter zeigen.

Relevant wird dann auch die Frage, ob und wann der Arbeitgeber vom ausscheidenden Mitarbeiter die Herausgabe der kundenbezogenen Kommunikations- oder Kontaktdaten verlangen kann, die sich vielleicht in dessen Xing-Account befinden.

Wikis, Blogs, Activity Streams und Dokumenten-Sharing
Wikis, Blogs, Activity Streams, Dokumenten-Sharing - Social-Media-Funktionen und entsprechende Tools werden für Unternehmen immer wichtiger. Sie vernetzen Mitarbeiter, sorgen für den Wissensaustausch und verbessern die Zusammenarbeit. Der Beitrag stellt die beliebtesten Werkzeuge vor und zeigt, was bei der Einführung zu beachten ist.

Alfresco
Alfresco ist eine Plattform für Social-Content-Management für mittlere und große Unternehmen. Im Mittelpunkt stehen die Zusammenarbeit und die Verwaltung unternehmenskritischer Dokumente. Texte, Tabellen, Videos und Präsentationen lassen sich unmittelbar kommentieren, was den direkten Austausch fördert. Sämtliche Aktivitäten rund um ein Dokument werden mitprotokolliert, User können diesen Activity Stream in der Alfresco-Anwendung verfolgen.

BlueKiwi Zen
Mit der blueKiwi Enterprise Social Software können Unternehmensmitarbeiter Ideen, Kompetenzen, Ressourcen und Best Practices austauschen. Zu den Funktionalitäten der von Atos 2012 übernommenen Software gehören User-Profile mit Kontaktdaten und Kompetenzen, unternehmenseigene Lexika, Chat- und Diskussions-Plattformen, erweiterte gemeinschaftliche Notizfunktionen, "Likes", eine vollwertige Empfehlungs-Engine, Microsoft Office- und Outlook-Add-Ins sowie mobile Anwendungen für iOS, Android und Blackberry.

Chatter
Mit Chatter hat SaaS-Pionier Salesforce.com sein CRM-zentriertes Portfolio um eine Social-Plattform für Profile, Gruppendiskussionen und Filesharing ergänzt. Feeds informieren über relevante Daten, etwa Statusmeldungen wichtiger Geschäfte oder Änderungen in der Kundendatei. Das Tool lässt sich in die CRM-Lösung von Salesforce integrieren und kann so Geschäftsprozesse etwa im Vertrieb abbilden, ist aber auch als Stand-alone-Lösung einsetzbar.

Communote
Communote des gleichnamigen Dresdner Startups ist eine auf Java basierende Kommunikationslösung für projekt- und teamorientiertes Arbeiten. Ähnlich wie bei Twitter können Nutzer Nachrichten über ihre aktuellen Aktivitäten mit ihren Kollegen teilen. Kurznachrichten und Notizen lassen sich schnell erstellen, auch Dateien können angehängt und Bilder sowie Youtube-Videos angezeigt werden.

Connections
BM Conncetions ist eine All-in-on-Suite für Social Business, die Activity Streams, E-Mail, Kalender, Wikis, Blogs und viele andere Social-Media-Funktionen integriert. Die direkte Zusammenarbeit ist mit einem Klick möglich. Die neue Version enthält zusätzlich Analysefunktionen, Echtzeit-Daten-Monitoring und schnellere Netzwerke für die Optimierung der Zusammenarbeit. Mit den verbesserten Funktionen bekommen User Einblicke in Informationen aus Netzwerken, die sie in Echtzeit nutzen können.

Crowdworx
Einen innovativen Crowdsourcing-Ansatz hat das Berliner Startup Crowdworx mit seiner Software realisiert, die Kompetenz und Fachkenntnisse von Mitarbeitern im Intranet bündelt. Statt Know-how in Form von Texten zu speichern und abrufbar zu machen, wird das Fachwissen der Mitarbeiter in exakten Kennzahlen wie Prognosen, Risikobewertungen und Marktpotenzialen zusammengefasst. Das Spektrum reicht von Absatzplanungen und Innovations-Management bis hin zum Projekt-und Risiko-Management.

immer-uptodate
immer-uptodate ist eine einfach bedienbare, Cloud-basierte Social-Lösung aus Deutschland, die Mitarbeiter abteilungs- und standortübergreifend miteinander in Kontakt bringt. Wichtige Funktionen sind Posting, Teilen, Kommentieren, das Liken von Texten, Fotos und Umfrage-Tools für offene und geschlossene Gruppen. Beiträge können gleichzeitig im internen Netzwerk und in öffentlichen Netzwerken wie der Facebook-Fanpage des Unternehmens veröffentlicht werden.

Jabber und Quad
Unter dem Namen "Jabber" bündelt die Networking-Company Cisco sämtliche Communications- und Collaboration-Clients, die im Lauf der Jahre unter anderem durch Zukäufe ins Unternehmen kamen. Der Jabber-Client integriert Kommunikationsfunktionen wie Präsenzanzeige oder Instant Messaging und stellt mit Hilfe der hauseigenen Webex-Produktfamilie Audio- und Videoconferencing bei Bedarf auch in HD-Qualität bereit. Das zweite Standbein Quad integriert Features wie Blogs und Wikis.

Jam
Mit dem cloud-basierten SAP Jam können sich Mitarbeiter im Unternehmen in einer einheitlichen Umgebung mit Kollegen vernetzen und über Daten, Inhalte und Prozesse austauschen. Dadurch sollen sie produktiver werden und bessere Ergebnisse erzielen. SAP Jam unterstützt insbesondere auch zentrale Aufgaben im Personalwesen wie Onboarding, Weiterbildung und Talent-Management. Auch in anderen Unternehmensbereichen wie Vertrieb oder Marketing ist die Lösung einsetzbar. Jam ist aus der Zusammenführung von "SuccessFactors Jam" und "SAP StreamWork" entstanden.

Jive
Eine recht beliebte Social-Business-Lösung ist Jive Engage von dem 2001 gegründeten kalifornischen Unternehmen Jive Software. Das Tool kombiniert Collaboration- und Community-Features und stellt Lösungen für das Knowledge-Management zur Verfügung. Ständige Erweiterungen haben die Software zu einer ausgewachsenen Social-Business-Plattform anwachsen lassen. So kamen im Lauf der Zeit Funktionen für Instant Messaging sowie die Mobility-Unterstützung für iPhones und Blackberrys hinzu. Über zugekaufte Funktionen wie Business Analytics können Nutzer auch große Mengen an unstrukturierten Daten auswerten.

Just Connect
Just Connect ist eine professionelle Social-Intranet-Software-Lösung aus Hamburg. Die Plattform kombiniert traditionelle Intranet-Funktionalitäten mit modernen Web-2.0-Funktionen der sozialen Netzwerke zu einer Social-Intranet-Lösung. Das Programm bietet Web2.0-Funktionen wie Microblogs und Blogs, Wissens-Management in Form von Wikis und Dokumenten-Management sowie diverse Kommunikationsformen wie Chat.

Lithium
Das kalifornische Social-CRM-Anbieter Lithium stellt mit seiner Software Monitoring-Funktionen bereit, die vor allem für größere Unternehmen und Web-Agenturen von Interesse sind. Besonders interessant sind die integrierten Workflow-Funktionen. Sie machen auch für verteilte Arbeitsgruppen das Monitoring der unterschiedlichen Kanäle einfach. Ebenfalls überzeugen die Suchfunktionen (Keywords) inklusive Support für mehrere Sprachen und die Werkzeuge für die Auswertung.

Mixxt
Mixxt des gleichnamigen Bonner Startups erlaubt es, mit wenigen Mausklicks eigene Communitys zu generieren. Die erstellten Gemeinschaften können ihren Mitgliedern die gängigen Social- Networking-Funktionen anbieten wie Abstimmungen, Bildergalerien, Blogs, Datei-Downloads, Foren, Gruppen, Termine, Videos und Wikis. Für Unternehmen und Agenturen mit umfangreicheren Anpassungswünschen stellt mixxt auch White-Label-Community-Lösungen ohne jeglichen Hinweis auf mixxt bereit.

Podio
Das ursprünglich in Dänemark entwickelte und 2012 von Citrix übernommene Podio ist eine Collaboration-Plattform, die mit einem sonst nirgendwo zu findenden Killer-Feature aufwartet. Auf Podio kann jeder Anwender ohne technische Fachkenntnisse eigene Business-Apps erstellen. Auf dem Podio App Market stehen laut Anbieter Tausende solcher Apps zur Verfügung, die von Podio-Nutzern generiert und frei zugänglich gemacht wurden - von Kundenverwaltung über Personalbeschaffung bis hin zu Kundensupport und Issue Tracking.

Sharepoint
Neben vielen anderen Disziplinen positioniert Microsoft sein Sharepoint auch als Plattform für Enterprise Social Networking. Die Collaboration-Umgebung stellt Anwendern Dokumenten-Sharing und Kommunikationsmöglichkeiten bereit. Spezielle Social-Network-Angebote sind unter anderem integrierte Profile, Wikis, Blogs, Newsfeeds und interne Videoportale sowie Funktionen für die unternehmensinterne Suche, das Tagging, Rating und zur Kommentierung.

SocialCast
Mit dem von VMware 2011 übernommenen SocialCast können Nutzer interne Communities aufbauen und Diskussionsgruppen einrichten. Schnittstellen zu Lotus Notes, Outlook, Sharepoint sowie zum Active Directory schaffen ergänzende Kommunikations- und Integrationsmöglichkeiten. Neuerungen wie die Social-Applikation Strides bauen Socialcast zur integrierten Collaboration-Plattform aus. Die aktuelle Version beinhaltet zudem neue Funktionen wie integriertes Projekt-Management und sicheres Instant Messaging.

StreamWork
SAP bietet mit StreamWork seit einiger Zeit eine kollaborative Plattform an, die dazu dienen soll, die Vorbereitung und das Treffen gemeinsamer Entscheidungen zu unterstützen. Die Social-Business-Komponenten erstrecken sich auf News-Feeds für Geschäftsdaten und Monitoring-Dienste, die Aktivitäten und Ereignisse darstellen. Als Besonderheit kann man eine ganze Reihe unterschiedlicher "Business Tools" in eine Konversation einfügen, die für eine Entscheidungsfindung nützlich sind. Dazu zählen Agendaplanung, Prioritätenlisten, Ad-hoc-Umfragen, SWOT- und Kosten-Nutzen-Analysen sowie Verantwortlichkeits-Diagramme.

Talent Sourcing
Die Münchner IntraWorlds GmbH entwickelt Talent-Relationship- Management- und Community-Software-Lösungen. Das Hauptprodukt Talent Sourcing ermöglicht Mitarbeitern via Employer Branding, Personal-Marketing und Recruiting gezielt Talente zu identifizieren, zu binden und zu gewinnen. Mit dem Tool soll Recruiting in Zeiten des Fachkräftemangels messbar erfolgreicher, besser planbar und zukunftssicher werden.

tibbr
Mit tibbr hat sich der SOA- und Integrationsspezialist Tibco in das Social-Business-Geschäft vorgewagt. Entsprechend verzahnen sich Anwendungen etwa von Oracle, SAP und Microsoft mit der Plattform, so dass sich beispielsweise der Activity-Stream durch Ereignisse und Veränderungen aus den Business-Applikationen speisen lässt. Ansonsten bietet tibbr soziale Services wie Mikroblogging, Profile, Instant Messaging und Voice-Memos, Videoconferencing und Communities.

Yammer
Yammer wurde 2012 von Microsoft übernommen und war ursprünglich ein Mikroblogging-Dienst. Inzwischen stehen das Teilen und die Bearbeitung von Dokumenten, der Austausch von Wissen sowie die unternehmensinterne und unternehmensübergreifende Zusammenarbeit und Kommunikation im Vordergrund. Mit dem aktuellen Release können Anwender Communities einrichten, Termine in Outlook und Google Calendar planen, in verteilten Teams kommunizieren und gemeinsam Dokumente bearbeiten. Die Version für Unternehmen stellt besondere Security-Features bereit.

Zimbra
Das bislang von VMware vertriebene Zimbra ist eine Open-Source- Plattform mit Funktionen für E-Mail, Kalender und Zusammenarbeit. Zimbra bietet eine speziell auf Virtualisierung und Portabilität abgestimmte offene Plattform für Private Clouds und Public Clouds. Die intelligente Mailbox hilft dabei, Informationen und Aktivitäten übersichtlich zu verwalten. Im Juli 2013 gab VMware bekannt, Zimbra an Telligent Systems verkauft zu haben. Der neue Besitzer will mit Unterstützung von Investment Partnern aus Zimbra die "erste vereinte soziale Kollaborationssuite für die Post-PC-Ära" machen.

Unternehmenswerte sichern

Unternehmen sollten sich Gedanken darüber machen, welche Arten von Accounts bei ihnen auftreten und für welche eine Regelung förderlich ist beziehungsweise wo sie sich lohnt, um Unternehmenswerte zu sichern. Dabei sollten sie aber Zurückhaltung üben, um nicht zu weit in private Interessen einzugreifen.

• Im Hinblick auf rein private Accounts sind nur Social-Media-Guidelines in Form von (kommunikativen) Handlungsempfehlungen sinnvoll.

• Bei gemischten und Firmen-Accounts sollte abgewogen werden, welche Unternehmenswerte wie am besten gesichert werden können. Denkbar wäre es etwa, berufliche Xing-Kontakte und -Informationen ins Unternehmen zu "spiegeln".

• Für reine Firmen-Accounts haben sich klare Regelung als essenziell erwiesen. Es muss festgeschrieben sein, wann der Mitarbeiter (zum Beispiel beim Verlassen des Unternehmens) was (etwa die Zugangsdaten) wie herauszugeben hat - und auch, was auf welche Weise kommuniziert werden darf und soll.

Wem gehören die Daten?

Frage von Bernhard Thomas (ehemaliger CTO der Continental AG, heute als selbständiger IT-Management-Berater tätig): Wem gehören die Daten, wenn die soziale Plattform von einem Dienstleister bezogen wird? Welche Rechte sollte sich das Kundenunternehmen sichern? Inwieweit darf es extrahieren, kopieren, löschen, weitergeben etc.? Und was darf der Dienstleister - andersherum - nicht mit den Daten tun (zum Beispiel weiterverkaufen)? Gibt es hierfür spezielle Datenschutzbestimmungen?

Ulbricht: Die Antwort auf diese Fragen hängt von der Art der Daten ab. Geht es um Texte, Bilder, Audio- oder Videoinhalte, greift in vielen Fällen das Urheberrecht. Soweit keine ausdrückliche Regelung zwischen Unternehmen und Dienstleister besteht, was am transparentesten und sichersten wäre, greift die "Zweckübertragungsregel". Sie besagt, dass Nutzungsrechte insoweit eingeräumt werden, wie der Zweck des jeweiligen Vertrags (sprich: der Zurverfügungstellung) reicht. Das allein verlangt aber schon nach einer Klärung anhand von Ansprachen, E-Mails etc. Und damit zeigt die Zweckübertragungsregel ihre Unwägbarkeiten.

Bei Unsicherheiten ist das Kundenunternehmen im Vorteil. Der Dienstleister müsste im Streitfall beweisen, dass er das, was er mit den Inhalten getan hat, zum Beispiel eine Weitergabe, auch wirklich tun durfte.

Alternativ (oder zusätzlich) greift bei personenbezogenen Daten auch das Datenschutzrecht. Personenbezogene Daten sind sämtliche Informationen, die einer natürlichen Person zugeordnet werden können. Nach dem Bundesdatenschutzgesetz (BDSG) dürfen sie nur gespeichert, genutzt oder weitergegeben werden, wenn das Gesetz es ausdrücklich erlaubt oder der Betroffene zugestimmt hat. Das Unternehmen hat sicherzustellen, dass die Weitergabe rechtlich zulässig ist beziehungsweise der Dienstleister ordnungsgemäß mit den Daten umgeht. Hier empfiehlt sich oft ein Vertrag über eine Auftragsdatenverarbeitung.

Juristische Mittel gegen einen Shitstorm

Frage von Bernhard Thomas: Wie kann sich ein Unternehmen mit juristischen Mitteln gegen Verunglimpfung auf sozialen Plattformen zur Wehr setzen?

Ulbricht: Viele Unternehmen fürchten Reputationsrisiken, wenn sie sich in den sozialen Medien engagieren. Aber Kunden und Mitarbeiter können sich jederzeit über das Unternehmen oder die Produkte im Internet austauschen - unabhängig davon, ob das Unternehmen selbst in Sozialen Medien aktiv ist oder nicht. Deshalb erscheint es für die Unternehmen deutlich sinnvoller, eine eigene Präsenz zu eröffnen. So haben sie im Fall einer Krise eine "Stimme" in diesen Medien und können rufschädigenden Äußerungen etwas entgegensetzen. Zudem gibt es einige Maßnahmen, die aus rechtlicher Sicht sinnvoll erscheinen.

1. Prävention

Erfahrungsgemäß ist es wichtig, spezifische "Spielregeln" für die eigene Präsenz einzuführen. Darin wird dargestellt, welche Inhalte beziehungsweise Themen erwünscht sind und welche nicht. Die Community-Manager, die die Präsenz betreuen, müssen geschult werden, Äußerungen im Social Web richtig zu bewerten: hinsichtlich der kommunikativen und rechtlichen Folgen.

Ein zentraler Baustein der Prävention ist auch die Einführung von Social-Media-Guidelines für die Mitarbeiter. Immer wieder führt die mangelnde Medienkompetenz der Mitarbeiter zu kommunikativen und rechtlichen Risiken.

2. Reaktion

Im Falle eines Shitstorms (oder einer "kommunikativen Krise") sind die rechtlich möglichen Maßnahmen stets gegen deren kommunikative Folgen abzuwägen. Falls die Äußerungen im Internet Rechtsverletzungen aufweisen, ist zu entscheiden, ob dagegen "mit Augenmaß" vorgegangen werden soll. Die geeigneten Maßnahmen hängen auch davon ab, ob die Verunglimpfungen auf eigenen oder fremden Plattformen stattfinden. Die kommunikative Begleitung und Erklärung der eigenen Maßnahmen entscheidet oft darüber, ob sich die Krise weiter ausbreitet oder sich eindämmen lässt.

3. Nachsorge

Oft verbleiben nach einer Krise negative Beiträge im Netz. Im Rahmen der Nachsorge können Unternehmen unter Umständen auch Ansprüche gegenüber Suchmaschinen wie Google geltend machen, um solche Einträge aus den Rankings zu entfernen oder zu verdrängen. Zunächst einmal haften die Betreiber von Social-Media-Präsenzen oder Suchmaschinen nicht für fremde Rechtsverletzungen. Anders sieht es aus, wenn sie von einem Rechtsverstoß Kenntnis genommen haben und nicht aktiv werden, zum Beispiel durch eine Löschung. Hier haften die Plattformbetreiber selbst. Dank dieser rechtlichen Konstruktion konnten schon häufig reputationsschädigende Einträge oder Bewertungen ohne weitere öffentliche Aufmerksamkeit entfernt werden.

Monitoring der Mitarbeiter

Frage von Bernhard Thomas: Inwiefern darf ein Unternehmen seine Mitarbeiter (Dialoge und Content) auf einer internen sozialen Plattform "monitoren"?

Ulbricht: Datenschutzrechtlich ist die Zulässigkeit von Internet-Recherchen nach Personen umstritten. Die daraus resultierenden Unsicherheiten für Arbeitgeber hat auch der Gesetzgeber erkannt und wollte mit der Neuregelung zum Beschäftigten-Datenschutz Klärung schaffen. Doch das Vorhaben wurde wieder von der Tagesordnung genommen und liegt vorerst auf Eis.

Nichtsdestoweniger ist zu fragen, was in datenschutzrechtlicher Hinsicht bei der Recherche über Bewerber und Beschäftigte im Internet zulässig ist. Denn bei einem Verstoß drohen neben aufsichtsrechtlichen Sanktionen auch Schadensersatzansprüche der Betroffenen und Schaden für die Unternehmensreputation. Im Hinblick auf die Compliance des Unternehemens empfiehlt unsere Kanzlei mittleren und größeren Betrieben, die Personalabteilung zu sensibilisieren und ihnen verständliche Richtlinien an die Hand zu geben, um rechtskonform nach Bewerbern und Mitarbeitern zu "suchen".

Informieren und sensibilisieren

Dass eine Internet-Recherche über Bewerber und Mitarbeiter nur eingeschränkt zulässig ist, ist vielen Mitarbeitern der Personalabteilungen überhaupt noch nicht bekannt. Paragraf 32 Absatz 1 BDSG erlaubt eine Datenverarbeitung, wenn sie für die Entscheidung über Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich und insgesamt verhältnismäßig ist. Paragraf 28 Absatz 1 Nr. 3 BDSG hingegen ermächtigt die Unternehmen (unabhängig vom Bestehen eines Arbeitsverhältnisses) ausdrücklich dazu, "allgemein zugängliche" Daten zu erheben, falls nicht die "überwiegenden Interessen" des Betroffenen gegen diese Maßnahme sprechen.

Nur zulässige Medien nutzen

Wo im Internet recherchiert werden darf, richtet sich danach, was unter dem Begriff "allgemein zugängliche Daten" zu verstehen ist. Anerkanntermaßen sind hiervon auf jeden Fall solche Informationen erfasst, die über Suchmaschinen zugänglich sind.

Schwieriger gestaltet sich hingegen die Frage, ob eigentlich alle Daten in sozialen Netzwerken "allgemein zugänglich" sind. Wahr ist das sicher für Informationen, die auch ohne Anmeldung abrufbar sind.

Umstritten ist hingegen, ob darunter auch solche Daten fallen, die erst nach Anmeldung verfügbar sind. In dieser Frage wird zum Teil zwischen berufs- und freizeitorientierten Netzwerken unterschieden. Dass die Recherche in berufsorientierten Netzwerken wie Linkedin und Xing zulässig sein soll, leuchtet ein, hat hier der Arbeitnehmer die Informationen doch gerade für mögliche künftige Arbeitgeber bereitgestellt.

Was die Recherche in freizeitorientierten sozialen Netzwerken betrifft, besteht Einigkeit nur insoweit, als Daten, die gezielt für einen eingeschränkten Kreis von "Freunden" bereitgestellt wurden, nicht allgemein zugänglich sind. Sind sie aber innerhalb eines Netzwerks ohne Weiteres einsehbar, wird es sich kaum um einen geschützten Bereich handeln. Die Anmeldung ist ja problemlos für jeden möglich. Einige bestreiten das allerdings und betonen, dass sämtliche Daten in einem freizeitorientierten sozialen Netzwerk nur für private Zwecke zur Verfügung stünden. Da eine klarstellende Regelung durch den Gesetzgeber nicht absehbar ist, empfiehlt es sich, die Recherche über Bewerber und Beschäftigte auf das unproblematisch Zulässige zu beschränken.

Vor dem Start
Bevor CIOs in sozialen Netzwerken aktiv werden, sollten sie sich informieren, wie das Thema bei ihrem Arbeitgeber gehandhabt wird. Mittlerweile gibt es in vielen Unternehmen Social Media Guidelines mit Verhaltensregeln, wie Beschäftigte sich in sozialen Netzwerken bewegen sollten, wenn sie als Mitarbeiter des Unternehmens nach außen auftreten.

Eine klare Strategie überlegen
Idealerweise überlegt man sich vor den ersten Aktivitäten, warum man in sozialen Netzwerken aktiv sein möchte. Möchte man sich als Experte zu einem Thema positionieren, über die Produkte des Arbeitgebers schreiben oder neue Mitarbeiter finden?

Zielgruppe festlegen
Steht die Strategie, fällt es dem CIO leichter, die Zielgruppe für seine Social Media-Aktivitäten zu definieren.

Aktivitäten auswählen
Kennt man seine Strategie und seine Zielgruppe, trifft man die Entscheidung für konkrete Plattformen. Das können Xing, Linkedin und je nach Branche auch Facebook sein. Vielleicht ist auch ein Blog der richtige Kommunikationskanal für Strategie und Zielgruppe.

Auf den Umgang mit persönlichen Informationen achten
Wer als CIO in sozialen Netzwerken aktiv ist, sollte auch seine persönlichen Informationen pflegen. Das bedeutet nicht, dass man viel über sich preisgeben muss. Man sollte jedoch darauf achten, dass die Profile keine veralteten Daten enthalten und man Privates und Berufliches nicht vermischt. Wer auch berufliche Kontakte auf Facebook bestätigt, sollte sie so kategorisieren, dass sie private Fotos und Postings nicht sehen können.

Das richtige Profilbild
Wer in sozialen Netzwerken aktiv ist, sollte - auch als CIO - mit einem aktuellen Profilbild vertreten sein. Besonders professionell ist der Auftritt, wenn man das gleiche Porträtbild für alle Plattformen nutzt, auf denen man aktiv ist. Damit es auch in den Suchmaschinen korrekt angezeigt wird, sollte die Datei den Namen des CIOs tragen.

Auf Regelmäßigkeit achten
CIOs müssen im Web 2.0 keine Beiträge wie am Fließband produzieren. Allerdings wäre es von Vorteil, wenn man auf eine gewisse Kontinuität achtet.

Vor Identitätsdiebstahl schützen
Als Manager stehen CIOs in der Öffentlichkeit und sollten Vorsichtsmaßnahmen vor Identitätsdiebstahl ergreifen. Dazu gehört es zwingend, besonders sichere Passwörter zu wählen.

Fotos ohne Geodaten
Wer nicht möchte, dass andere auslesen können, wo ein Schnappschuss entstanden ist, sollte sicherstellen, dass im Internet veröffentlichte Fotos keine geokodierten Metadaten enthalten. Im Zweifel empfiehlt es sich, vorsichtigere Privatsphäreeinstellungen zu wählen.

Nutzungsbedingungen beachten

In den Allgemeinen Geschäftsbedingungen mancher sozialer Netzwerke findet sich ein Verbot, die gespeicherten Informationen für die Personaldatenerhebung durch Arbeitgeber zu verwerten (zum Beispiel in den AGB von StudiVZ). In diesem Fall ist auch eine gezielte Recherche über Bewerber und Mitarbeiter unzulässig.

Transparenz schaffen

Es empfiehlt sich, auf geplante Recherchen und die diesbezügliche Praxis im Unternehmen hinzuweisen (zum Beispiel in der Stellenausschreibung, der Eingangsbestätigung oder dem Bewerbungsgespräch). Über entsprechende Abläufe an geeigneter Stelle kann auch eine Einwilligung zur Recherche bei Xing, Facebook & Co. eingeholt werden. Diese Vorgehensweise erzeugt Transparenz und ermöglicht es, Missverständnisse und Fehlurteile zu verhindern.

Das Privatleben außen vor lassen

Der Arbeitgeber ist grundsätzlich nicht berechtigt, die privaten Aktivitäten seiner Arbeitnehmer im Internet zu überwachen. Er hat jedoch ein berechtigtes Interesse daran, sicherzustellen, dass weder unsachgemäße Kritik über den Arbeitgeber noch Firmengeheimnisse verbreitet werden.

Als zulässig wird deshalb die Suche nach Informationen über das eigene Unternehmen erachtet. Stößt der Arbeitgeber dabei auf Schmähkritik, Whistleblowing oder den Verrat von Geschäftsgeheimnissen durch einen Arbeitnehmer, darf er diese Informationen auch speichern und weiterverarbeiten. Denn sie sind für das Arbeitsverhältnis von Belang. Aber bei einer umfassenden und gezielten Recherche über das Privatleben eines Arbeitnehmers werden vielfach dessen private Interessen im Vordergrund stehen. Deshalb ist ein solches Vorgehen im Allgemeinen datenschutzwidrig.

Notwendige Rücksichten nehmen

Persönliche Daten, beispielsweise solche über das Intimleben, die finanzielle Situation, Religion oder Rasse dürfen grundsätzlich nicht erhoben werden. Schon gar nicht dürfen solche Informationen in die Entscheidung über die Begründung eines Arbeitsverhältnisses einfließen. Gerade was Äußerungen in sozialen Netzwerken betrifft, gilt es, Privatsphäre und Meinungsfreiheit zu berücksichtigen. Eine Erhebung ist hier wegen überwiegender Interessen der Arbeitnehmer unzulässig.

Keine unlauteren Abwerbungen

Neben dem Datenschutz- ist auch das Wettbewerbsrecht zu beachten. Das Abwerben fremder Mitarbeiter ist grundsätzlich auch im Internet zulässig. Allerdings kann der Versuch, einen Mitarbeiter abzuwerben, wettbewerbswidrig sein, wenn damit ein verwerflicher Zweck verfolgt beziehungsweise verwerfliche Mittel oder Methoden eingesetzt werden.

Frage von Bernhard Thomas: Welchen Anspruch hat ein Mitarbeiter eigentlich auf Anonymisierung seiner - internen - Social-Media-Beiträge?

Ulbricht: Jede Erhebung, Speicherung oder Verarbeitung von personenbezogenen Daten muss rechtskonform sein. Entweder der Mitarbeiter hat zugestimmt, oder die Datenverarbeitung kann über Paragraf 32 BDSG legitimiert werden. Erscheint tatsächlich eine anonymisierte Verarbeitung als ausreichend, wird der Mitarbeiter auch eine Anonymisierung verlangen können. In anderen Fällen hat er jedoch keinen Anspruch auf Anonymisierung.