Nicht nur die Politik hat „das Twittern“ für sich entdeckt, sondern auch die Wirtschaft. Dreiundsiebzig Prozent aller Unternehmen nutzen heute Social Media.[1] Besonders für die Öffentlichkeitsarbeit und den Kundensupport werden die Internetplattformen gerne eingesetzt.[2] Die Nutzung von Social Media Plattformen kann aber auch Gefahren für Unternehmen mit sich bringen und deren IT-Sicherheit schaden. Dies gilt besonders wenn die Plattformen von Arbeitnehmern „nicht sachgerecht“ verwendet werden. Der folgende Beitrag soll diese Gefahren aufzeigen und Lösungsmöglichkeiten bieten. Er konzentriert sich dabei insbesondere auf die Datensicherheit, d.h. der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Dabei wird (aus den unten darzustellenden Gründen) zwischen der Nutzung von Social Media während und außerhalb der Arbeitszeit unterschieden. Zunächst soll jedoch dargestellt werden, welche Risiken die Nutzung von Social Media-Plattformen allgemein mit sich bringt.
Social Media und IT-Sicherheitsrisiken
Das Bundesamt für Sicherheit in der Informationstechnik hat bereits die IT-sicherheitsbezogenen Kernrisiken durch den Einsatz und die Verwendung von Social Media in Unternehmen benannt.[3] Im Vordergrund stehen hierbei Risiken durch Identitätsdiebstahl, Offenlegung privater Informationen, Datenschutz, Phishing und Cyberstalking. Im Rahmen der Social Media Nutzung besteht über die Verwirklichung der benannten Risiken hinaus auch die Gefahr, dass nicht nur einzelne Mitarbeiter des Unternehmens, sondern das Unternehmen selbst nach außen hin als Verantwortlicher der Sicherheitsvorfälle gesehen werden könnte. Nicht erst an den einzelnen Nutzer von Social Media anknüpfende Angriffe (etwa Social Engineering, s.u.) tragen ein IT-Risiko. Schon der reine Einsatz entsprechender Netzwerke, die oft aktive Inhalte wie z.B. Java Script einbinden, kann bei entsprechenden Schwachstellen im Browser des Nutzers als Einfallstor für Schadsoftware dienen.[4] Im Folgenden soll dargestellt werden, welche Maßnahmen ergriffen werden können, um diese Risiken zu minimieren.
Gefährdung der betrieblichen IT-Sicherheit durch die Social Media Nutzung während der Arbeitszeit
Vertraulichkeit von Informationen und Weisungsrecht des Arbeitgebers
Siebenundzwanzig Prozent aller Arbeitnehmer nutzen ihren Facebook-Account auch während der Arbeitszeit.[5] Twitter wird von fünfundzwanzig Prozent aller Arbeitnehmer beruflich genutzt.[6] Durch die Nutzung sozialer Netzwerke am Arbeitsplatz besteht aber die Gefahr, dass Betriebsinterna an die Öffentlichkeit gelangen.[7] Daneben kann die Nutzung von Social Media während der Arbeitszeit zu Malware-Infektionen der Unternehmensserver und zum Abfluss von Know-How führen.[8]
Sofern dem Arbeitgeber ein Weisungsrecht (§ 106 GewO) zukommt, ermöglicht ihm dieses die Arbeitnehmer zu einem verantwortungsvollen Umgang mit Internetplattformen zu verpflichten. Er kann damit aber auch die Nutzung des Internets am Arbeitsplatz vollständig[9] oder hinsichtlich bestimmter Inhalte untersagen[10]. Unter das Weisungsrecht fällt der dienstlich veranlasste Internetzugriff, wie etwa die Betreuung der Fanpage des Unternehmens oder die Pflege von Kundenkontakten durch den Arbeitnehmer.[11] Ein Weisungsrecht besteht aber auch, wenn Arbeitnehmer zu privaten Zwecken aber unter Zuhilfenahme von Arbeitsmitteln auf das Internet zugreifen.[12] Sinnvollerweise sollte der Arbeitgeber die Arbeitnehmer in diesen beiden Konstellationen insbesondere anweisen, auf die Einstellungen zum Datenschutz in den sozialen Netzwerken zu achten, keine vertraulichen Informationen über den Arbeitgeber oder die Betriebsabläufe zu posten, nicht wahllos auf Links zu klicken und sichere, wechselnde Passwörter zu verwenden.[13]
Will ein Arbeitgeber „auf Nummer Sicher gehen“ und die Nutzung von sozialen Netzwerken generell untersagen, so sollte er dies klar artikulieren. Anderenfalls könnten Arbeitnehmer der Auffassung sein ihre Social Media-Nutzung sei vom Arbeitgeber geduldet[14] („konkludente“ Erlaubnis oder betriebliche Übung[15]. Allerdings entspricht ein Internetnutzungsverbot am Arbeitsplatz aber nicht (mehr) der unternehmerischen Realität.[16]
Neben einer Weisung durch den Arbeitgeber kann die Social Media Nutzung am Arbeitsplatz auch durch eine Betriebsvereinbarung oder durch den Arbeitsvertrag konkretisiert werden.[17] Nachdem einer Betriebsvereinbarung im Allgemeinen eine höhere Akzeptanz entgegengebracht wird als einseitigen Regelungen und weil sie eine kollektive Grundlage bietet, kann gerade der Abschluss einer solchen Vereinbarung oft vorzugswürdig gegenüber dem Gebrauch des Weisungsrechts sein.[18] Ein Vorteil des Direktionsrechts aus § 106 GewO ist hingegen, dass es eine schnelle Reaktion auf aktuelle Entwicklungen ermöglicht.[19]
Es ist darauf hinzuweisen, dass hinsichtlich der konkreten Ausgestaltung der Social Media Nutzung ein Mitbestimmungsrecht des Betriebsrates bestehen kann. Dies ist insbesondere dann der Fall, wenn der Arbeitgeber eine private Social Media Nutzung zulassen möchte (§ 87 Abs. 1 Nr. 1 BetrVG), oder wenn die abstrakte Möglichkeit besteht, dass Arbeitnehmer mittels ihres Social Media Accounts überwacht werden.[20] Lediglich bei einem vollständigen Verbot der Social Media Nutzung besteht kein Mitbestimmungsrecht.[21] Werden die Beteiligungsrechte des Betriebsrates übergangen, so kann er eine Unterlassung der Social Media Nutzung verlangen.[22]
Zugriffsrecht des Arbeitgebers
Nutzt der Arbeitgeber selbst Social Media, um sich im Internet zu präsentieren oder Kontakte zu Kunden zu pflegen, so wird er ein Interesse daran haben, auf die dort gespeicherten Daten zugreifen zu können. Dies kann insbesondere nach der Beendigung eines Arbeitsverhältnisses problematisch sein, wenn der ausgeschiedene Arbeitnehmer für den Social Media-Account zuständig war und ein eigenes Profil besaß über welches er Kontakte zu Geschäftspartnern und Kunden geknüpft hat.[23] Ein Herausgabeanspruch hinsichtlich der Social Media Daten besteht in diesem Fall wohl nur dann, wenn der Arbeitgeber beweisen kann, dass der Account rein geschäftlich genutzt wurde und der Kundenkontakt auch alleine aufgrund geschäftlicher Beziehungen zustande gekommen ist.[24] Dieser Beweis wird dem Arbeitgeber ohne Zugriff auf den Social Media Account aber wohl schwerfallen. Empfehlenswert sind daher klare Regelungen hinsichtlich des „Eigentums an den Daten“.[25]
Gefährdung der betrieblichen IT-Sicherheit durch die Social Media Nutzung auch außerhalb der Arbeitszeit
Mögliche Auswirkungen einer privaten Social Media-Nutzung auf den Betrieb
Mit Ausnahme von Plattformen wie „Xing“ und „LinkedIn“ wird Social Media allerdings überwiegend oder ausschließlich privat genutzt.[26] Gerade auch bei der privaten Nutzung, also einem Bereich der sich weitgehend der Kontrolle durch den Arbeitgeber entzieht, besteht jedoch die Gefahr der Offenlegung von Betriebsinterna oder von Informationen über Kollegen. Solche Hintergrundinformationen können Angreifer nutzen, um Mitarbeiter eins Unternehmens zu Handlungen zu verleiten, die das Unternehmen möglicherweise schädigen können.[27] Diese Praxis – auch vom BSI als Social Media bezogenes Sicherheitsrisiko eingestuft[28] – wird als Social Engineering[29] bezeichnet. Indem die Angreifer Daten sammeln, die Mitarbeiter auf Social Media preisgeben, können sie leicht eine Vertrauensbasis aufbauen und dieses Vertrauen ausnutzen, etwa indem der Mitarbeiter (am Arbeitsplatz) dazu gebracht wird, einen Anhang zu öffnen, der ein Trojanisches Pferd[30] enthält.[31] Wurde der Trojaner aktiviert, so können Cyberkriminelle mit dessen Hilfe Daten ausspionieren und einen Backdoorzugang zum System erhalten, der die Remote Steuerung des Systems ermöglicht.[32] Die über Social Media gesammelten Informationen können aber auch dazu genutzt werden, Mitarbeiter dazu zu nötigen dem Unternehmen unmittelbar zu schaden. Umfassende Kenntnisse von den Privatumständen einzelner Mitarbeiter, wie sie oft in sozialen Netzwerken ungefiltert mitgeteilt werden, tragen stets auch ein gewisses Druck- bzw. Erpressungspotenzial.
Reaktionsmöglichkeiten des Arbeitgebers zur Verbesserung der IT-Sicherheit bei privater Social Medial Nutzung
Auch bei der außerdienstlichen Nutzung von Social Media können daher Gefahren für das Unternehmen entstehen. Im außerdienstlichen Bereich steht dem Arbeitgeber allerdings kein Weisungsrecht zu.[33] Er kann daher auch keine verbindlichen Regelungen schaffen und ist vielmehr auf die Sensibilisierung seiner Arbeitnehmer angewiesen.[34] Empfohlen wird daher die Einführung von „Social Media Guidelines“.[35] Diese sollen eine Klausel enthalten, die den Arbeitnehmer zu Eigenverantwortlichkeit hinsichtlich der Social Media Nutzung verpflichtet und auf diese Weise sein Verantwortungsbewusstsein in Bezug auf die IT-Sicherheit stärkt.[36] Außerdem wird dazu geraten in den Social Media Guidelines die Verwendung von Firmen-E-Mail-Adressen für die Anmeldung auf Social Media Plattformen zu untersagen[37] , um zu verhindern, dass Ansichten des Arbeitnehmers mit denen des Unternehmens gleichgesetzt werden und um Rückschlüsse auf den Arbeitsplatz des Nutzers zu erschweren. Daneben kann es sinnvoll sein einen Ansprechpartner zu benennen, an den sich die Arbeitnehmer bei Fragen wenden können.[38] Insgesamt sollten die Guidelines jedoch individuell auf das Unternehmen zugeschnitten werden.[39]
Neben Social Media Guidelines kann der Arbeitgeber auch versuchen, die Mitarbeiter in einer IT-sicheren Social Media Nutzung zu schulen Eine solche Informationsveranstaltung unterfällt dem Mitbestimmungsrecht des Betriebsrates aus § 98 BetrVG.[40] Zur Schulung der Mitarbeiter kann der Arbeitgeber unter Umständen auch auf Social Engineering Tests zurückgreifen. Hierbei prüfen spezialisierte Unternehmen das Verhalten der Mitarbeiter in meist unangekündigten Testszenarien.[41] Solche Tests sind aufgrund des hierbei berührtem Allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG i.V.m. Art, 1 Abs. 1 GG) der Mitarbeiter aber nur zulässig, wenn konkrete Gefährdungen für das Unternehmen ersichtlich sind.[42] Ob in die Durchführung der Tests auch eingewilligt werden kann, ist noch nicht abschließend geklärt.[43] Auch hinsichtlich der Art der Durchführung von Social Engineering Tests sind einige Punkte zu beachten: So muss der Arbeitgeber aufgrund seiner Fürsorgepflicht sichergehen, dass der Test von einem vertrauenswürdigen Unternehmen durchgeführt wird und die Eingriffsintensität in das Allgemeine Persönlichkeitsrecht minimiert wird.[44] Zu empfehlen ist die vertragliche Festlegung klarer Tabuzonen und einer Geheimhaltungspflicht.[45] Daneben ist darauf hinzuweisen, dass der Arbeitgeber die Arbeitnehmer, die kontrolliert werden, anhand klarer Kriterien auswählen (etwa ein besonders sensibler Arbeitsplatz) und diesen vor Beginn des Tests sinnvolle Verhaltensanweisungen geben muss.[46] Außerdem sind bei der Durchführung von Social Engineering Tests die Beteiligungsrechte des Betriebsrates zu beachten.[47]
Fazit
Die Nutzung von Social Media erleichtert es Unternehmen mit ihren Kunden in Kontakt zu treten. Allerdings bestehen sowohl bei der beruflichen als auch bei der privaten Nutzung von Social Media-Plattformen IT-Sicherheitsrisiken. Um die IT- Sicherheit des Unternehmens zu gewährleisten sollte den Mitarbeitern gegenüber deutlich artikuliert werden, ob und ggf. unter welchen Rahmenbedingungen soziale Netzwerke dienstlich genutzt werden dürfen und was Mitarbeiter bei der Nutzung von sozialen Medien beachten sollten.[48] Risiken lassen sich so zwar nicht ganz ausschließen, sie können aber wenigstens minimiert werden.
[1] BITKOM (14.07.2017): Social Media: Fast jedes zweite Unternehmen hat im Netz schon Gegenwind bekommen, zuletzt abgerufen am 31.07.2019.
[2] BITKOM: Social Media in Unternehmen (PDF), S. 10, zuletzt abgerufen am 31.07.2019.
[3] BSI, Soziale Medien & Soziale Netzwerke (PDF), zuletzt abgerufen am 31.07.2019.
[4] BSI, Soziale Medien & Soziale Netzwerke, Seite 2, zuletzt abgerufen am 31.07.2019.
[5] BITKOM, Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22, zuletzt abgerufen am 31.07.2019.
[6] BITKOM, Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22, zuletzt abgerufen am 31.07.2019.
[7] Vgl. Melot de Beauregard/Gleich in: DB 2012, S. 2044.
[8] Vgl. eRecht24: Social Media Guidlines, zuletzt abgerufen: 31.07.2019.
[9] Vgl. Oberwetter in: NJW 2011, S. 417, 418.
[10] Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791 (ausdrücklich allerdings nur hinsichtlich einer arbeitsvertraglichen Bestimmung).
[11] Melot de Beauregard/Gleich in: DB 2012, S. 2044; Lützeler/Bissels in: ArbRAktuell 2011, S. 499, 500.
[12] Vgl. Tillmanns in: BeckOK Arbeitsrecht, GewO, § 106 Rn. 32.
[13] Vgl. BSI, Tipps zum sicheren Umgang mit sozialen Medien, zuletzt abgerufen am 31.07.2019.
[14] Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 345.
[15] Vgl. Oberwetter in: NJW 2011, S. 417, 418.))
[16] Oberwetter in: NJW 2011, S. 417, 418.
[17] Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
[18] Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
[19] Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
[20] Zur Vertiefung vgl. etwa Oberwetter in: NJW 2011, S. 417, 420.
[21] Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
[22] Vgl. etwa hinsichtlich der Nichtbeteiligung bei einer möglichen Überwachung: LAG Hamburg, Beschl. v. 13.09.2018, Az.: 2 TaBV 5/18, NZA-RR 2018, 655 und BAG Beschl. v. 13.1.2016, Az.: 1 ABR 7/15, NZA 2017, 657.
[23] Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790.
[24] Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790 mit Verweis auf ArbG Hamburg, Urt. v. 24.01.2013, Az.: 29 Ga 2/13, BeckRS 2013, 68150.
[25] Ideen hierzu bei: Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
[26] Vgl. BITKOM, Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22, zuletzt abgerufen am 31.07.2019.
[27] BSI: Sichere Nutzung von sozialen Netzwerken, zuletzt abgerufen am 31.07.2019.
[28] BSI, Soziale Medien & Soziale Netzwerke, zuletzt abgerufen am 31.07.2019.
[29] Ausführlich hierzu: BSI, Social Engineering, zuletzt abgerufen am 31.07.2019.
[30] Zum Trojanischen Pferd: BSI, Trojaner, zuletzt abgerufen am 31.07.2019.
[31] Vgl. BSI, Social Engineering, zuletzt abgerufen am 31.07.2019.
[32] Vgl. Kaspersky: Was ist ein Trojaner?, zuletzt abgerufen am 31.07.2019.
[33] Melot de Beauregard/Gleich in: DB 2012, S. 2044 m.w.N.
[34] Melot de Beauregard/Gleich in: DB 2012, S.2044, 2046.
[35] So etwa: Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 341 (die die Richtlinien aber auch für den betrieblichen Kontext nutzen); Lützeler/Bissels in: ArbRAktuell 2011, S. 499, 501; Melot de Beauregard/Gleich in: DB 2012, S. 2044, 2046; Solmecke in: Hoeren/Sieber/Holznage (Hrsg.) Handbuch Multimedia Recht, 48. EL (Februar 2019), Teil 21.1 Social Media, Rn. 83.
[36] Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
[37] Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
[38] Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
[39] Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 343.
[40] Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
[41] Vgl. Zimmer/Helle in: BB 2016, S. 1269.
[42] Zimmer/Helle in: BB 2016, S. 1270.
[43] Vgl. eher zweifelnd: Zimmer/Helle in: BB 2016, S. 1270.
[44] Zimmer/Helle in: BB 2016, S. 1269, 1271.
[45] Zimmer/Helle in: BB 2016, S. 1269, 1271.
[46] Zimmer/Helle in: BB 2016, S. 1269, 1271.
[47] Hierzu: Zimmer/Helle in: BB 2016, S. 1269, 1272 f.
[48] Vgl. BSI, Sichere Nutzung von sozialen Netzwerken, zuletzt abgerufen am 07.08.2019.