Nicht nur die Politik hat „das Twittern“ für sich entdeckt, sondern auch die Wirtschaft. Dreiundsiebzig Prozent aller Unternehmen nutzen heute Social Media. 1BITKOM (14.07.2017): https://www.bitkom.org/Presse/Presseinformation/Fast-jedes-zweite-Unternehmen-hat-im-Netz-schon-Gegenwind-bekommen.html zuletzt ...continue Besonders für die Öffentlichkeitsarbeit und den Kundensupport werden die Internetplattformen gerne eingesetzt. 5BITKOM: Social Media in Unternehmen, S. 10 (https://www.bitkom.org/sites/default/files/file/import/Social-Media-in-deutschen-Unternehmen4.pdf) ...continue Die Nutzung von Social Media Plattformen kann aber auch Gefahren für Unternehmen mit sich bringen und deren IT-Sicherheit schaden. Dies gilt besonders wenn die Plattformen von Arbeitnehmern „nicht sachgerecht“ verwendet werden. Der folgende Beitrag soll diese Gefahren aufzeigen und Lösungsmöglichkeiten bieten. Er konzentriert sich dabei insbesondere auf die Datensicherheit, d.h. der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Dabei wird (aus den unten darzustellenden Gründen) zwischen der Nutzung von Social Media während und außerhalb der Arbeitszeit unterschieden. Zunächst soll jedoch dargestellt werden, welche Risiken die Nutzung von Social Media-Plattformen allgemein mit sich bringt.

Social Media und IT-Sicherheitsrisiken

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits die IT-sicherheitsbezogenen Kernrisiken durch den Einsatz und die Verwendung von Social Media in Unternehmen benannt.2BSI, Soziale Medien & Soziale Netzwerke, abrufbar unter ...continue Im Vordergrund stehen hierbei Risiken durch Identitätsdiebstahl, Offenlegung privater Informationen, Datenschutz, Phishing und Cyberstalking. Im Rahmen der Social Media Nutzung besteht über die Verwirklichung der benannten Risiken hinaus auch die Gefahr, dass nicht nur einzelne Mitarbeiter des Unternehmens, sondern das Unternehmen selbst nach außen hin als Verantwortlicher der Sicherheitsvorfälle gesehen werden könnte. Nicht erst an den einzelnen Nutzer von Social Media anknüpfende Angriffe (etwa Social Engineering, s.u.) tragen ein IT-Risiko. Schon der reine Einsatz entsprechender Netzwerke, die oft aktive Inhalte wie z.B. Java Script einbinden, kann bei entsprechenden Schwachstellen im Browser des Nutzers als Einfallstor für Schadsoftware dienen. 3BSI, Soziale Medien & Soziale Netzwerke, Seite 2, abrufbar unter ...continue Im Folgenden soll dargestellt werden, welche Maßnahmen ergriffen werden können, um diese Risiken zu minimieren.

Gefährdung der betrieblichen IT-Sicherheit durch die Social Media Nutzung während der Arbeitszeit

Vertraulichkeit von Informationen und Weisungsrecht des Arbeitgebers

Siebenundzwanzig Prozent aller Arbeitnehmer nutzen ihren Facebook-Account auch während der Arbeitszeit. 4BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: ...continue Twitter wird von fünfundzwanzig Prozent aller Arbeitnehmer beruflich genutzt. 6BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: ...continue Durch die Nutzung sozialer Netzwerke am Arbeitsplatz besteht aber die Gefahr, dass Betriebsinterna an die Öffentlichkeit gelangen. 7Vgl. Melot de Beauregard/Gleich in: DB 2012, S. 2044. Daneben kann die Nutzung von Social Media während der Arbeitszeit zu Malware-Infektionen der Unternehmensserver und zum Abfluss von Know-How führen. 8Vgl. eRecht24: Social Media Guidlines: https://www.e-recht24.de/artikel/facebook/7803-social-media-guidelines-mitarbeiter-bei-facebook.html (zuletzt ...continue

Sofern dem Arbeitgeber ein Weisungsrecht (§ 106 GewO) zukommt, ermöglicht ihm dieses die Arbeitnehmer zu einem verantwortungsvollen Umgang mit Internetplattformen zu verpflichten. Er kann damit aber auch die Nutzung des Internets am Arbeitsplatz vollständig 9Vgl. Oberwetter in: NJW 2011, S. 417, 418. oder hinsichtlich bestimmter Inhalte untersagen 10Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791 (ausdrücklich allerdings nur hinsichtlich einer arbeitsvertraglichen Bestimmung).. Unter das Weisungsrecht fällt der dienstlich veranlasste Internetzugriff, wie etwa die Betreuung der Fanpage des Unternehmens oder die Pflege von Kundenkontakten durch den Arbeitnehmer. 11Melot de Beauregard/Gleich in: DB 2012, S. 2044; Lützeler/Bissels in: ArbRAktuell 2011, S. 499, 500. Ein Weisungsrecht besteht aber auch, wenn Arbeitnehmer zu privaten Zwecken aber unter Zuhilfenahme von Arbeitsmitteln auf das Internet zugreifen. 12Vgl. Tillmanns in: BeckOK Arbeitsrecht, GewO, § 106 Rn. 32. Sinnvollerweise sollte der Arbeitgeber die Arbeitnehmer in diesen beiden Konstellationen insbesondere anweisen, auf die Einstellungen zum Datenschutz in den sozialen Netzwerken zu achten, keine vertraulichen Informationen über den Arbeitgeber oder die Betriebsabläufe zu posten, nicht wahllos auf Links zu klicken und sichere, wechselnde Passwörter zu verwenden. 13Vgl. BSI: Tipps zum sicheren Umgang mit sozialen Medien ...continue

Will ein Arbeitgeber „auf Nummer Sicher gehen“ und die Nutzung von sozialen Netzwerken generell untersagen, so sollte er dies klar artikulieren. Anderenfalls könnten Arbeitnehmer der Auffassung sein ihre Social Media-Nutzung sei vom Arbeitgeber geduldet 14Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 345. („konkludente“ Erlaubnis oder betriebliche Übung 15Vgl. Oberwetter in: NJW 2011, S. 417, 418. ). Allerdings entspricht ein Internetnutzungsverbot am Arbeitsplatz aber nicht (mehr) der unternehmerischen Realität. 16Oberwetter in: NJW 2011, S. 417, 418.

Neben einer Weisung durch den Arbeitgeber kann die Social Media Nutzung am Arbeitsplatz auch durch eine Betriebsvereinbarung oder durch den Arbeitsvertrag konkretisiert werden. 17Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797. Nachdem einer Betriebsvereinbarung im Allgemeinen eine höhere Akzeptanz entgegengebracht wird als einseitigen Regelungen und weil sie eine kollektive Grundlage bietet, kann gerade der Abschluss einer solchen Vereinbarung oft vorzugswürdig gegenüber dem Gebrauch des Weisungsrechts sein. 18Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797. Ein Vorteil des Direktionsrechts aus § 106 GewO ist hingegen, dass es eine schnelle Reaktion auf aktuelle Entwicklungen ermöglicht. 19Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.

Es ist darauf hinzuweisen, dass hinsichtlich der konkreten Ausgestaltung der Social Media Nutzung ein Mitbestimmungsrecht des Betriebsrates bestehen kann. Dies ist insbesondere dann der Fall, wenn der Arbeitgeber eine private Social Media Nutzung zulassen möchte (§ 87 Abs. 1 Nr. 1 BetrVG), oder wenn die abstrakte Möglichkeit besteht, dass Arbeitnehmer mittels ihres Social Media Accounts überwacht werden. 20Zur Vertiefung vgl. etwa Oberwetter in: NJW 2011, S. 417, 420. Lediglich bei einem vollständigen Verbot der Social Media Nutzung besteht kein Mitbestimmungsrecht. 21Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791. Werden die Beteiligungsrechte des Betriebsrates übergangen, so kann er eine Unterlassung der Social Media Nutzung verlangen. 22Vgl. etwa hinsichtlich der Nichtbeteiligung bei einer möglichen Überwachung: LAG Hamburg, Beschl. v. 13.09.2018, Az.: 2 TaBV 5/18, NZA-RR 2018, 655 ...continue

Zugriffsrecht des Arbeitgebers

Nutzt der Arbeitgeber selbst Social Media, um sich im Internet zu präsentieren oder Kontakte zu Kunden zu pflegen, so wird er ein Interesse daran haben, auf die dort gespeicherten Daten zugreifen zu können. Dies kann insbesondere nach der Beendigung eines Arbeitsverhältnisses problematisch sein, wenn der ausgeschiedene Arbeitnehmer für den Social Media-Account zuständig war und ein eigenes Profil besaß über welches er Kontakte zu Geschäftspartnern und Kunden geknüpft hat. 23Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790. Ein Herausgabeanspruch hinsichtlich der Social Media Daten besteht in diesem Fall wohl nur dann, wenn der Arbeitgeber beweisen kann, dass der Account rein geschäftlich genutzt wurde und der Kundenkontakt auch alleine aufgrund geschäftlicher Beziehungen zustande gekommen ist. 24Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790 mit Verweis auf ArbG Hamburg, Urt. v. 24.01.2013, Az.: 29 Ga 2/13, BeckRS 2013, 68150. Dieser Beweis wird dem Arbeitgeber ohne Zugriff auf den Social Media Account aber wohl schwerfallen. Empfehlenswert sind daher klare Regelungen hinsichtlich des „Eigentums an den Daten“. 25Ideen hierzu bei: Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.

Gefährdung der betrieblichen IT-Sicherheit durch die Social Media Nutzung auch außerhalb der Arbeitszeit

Mögliche Auswirkungen einer privaten Social Media-Nutzung auf den Betrieb

Mit Ausnahme von Plattformen wie „Xing“ und „LinkedIn“ wird Social Media allerdings überwiegend oder ausschließlich privat genutzt. 26Vgl. BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: ...continue Gerade auch bei der privaten Nutzung, also einem Bereich der sich weitgehend der Kontrolle durch den Arbeitgeber entzieht, besteht jedoch die Gefahr der Offenlegung von Betriebsinterna oder von Informationen über Kollegen. Solche Hintergrundinformationen können Angreifer nutzen, um Mitarbeiter eines Unternehmen zu Handlungen zu verleiten, die das Unternehmen möglicherweise schädigen können. 27BSI: Sichere Nutzung von sozialen Netzwerken (abrufbar ...continue Diese Praxis – auch vom BSI als Social Media bezogenes Sicherheitsrisiko eingestuft 28BSI, Soziale Medien & Soziale Netzwerke, abrufbar unter ...continue – wird als Social Engineering 29Ausführlich hierzu: BSI Social Engineering (abrufbar unter: ...continue bezeichnet. Indem die Angreifer Daten sammeln, die Mitarbeiter auf Social Media preisgeben, können sie leicht eine Vertrauensbasis aufbauen und dieses Vertrauen ausnutzen, etwa indem der Mitarbeiter (am Arbeitsplatz) dazu gebracht wird, einen Anhang zu öffnen, der ein Trojanisches Pferd 30Zum Trojanischen Pferd: BSI, Trojaner (abrufbar unter: ...continue enthält 31Vgl. BSI, Social Engineering (abrufbar unter: ...continue. Wurde der Trojaner aktiviert so können Cyberkriminelle mit dessen Hilfe Daten ausspionieren und einen Backdoorzugang zum System erhalten, der die Remote Steuerung des Systems ermöglicht 32Vgl. Kaspersky: Was ist ein Trojaner? (abrufbar unter: https://www.kaspersky.de/resource-center/threats/trojans) zuletzt abgerufen am 31.07.2019.. Die über Social Media gesammelten Informationen können aber auch dazu genutzt werden, Mitarbeiter dazu zu nötigen dem Unternehmen unmittelbar zu schaden. Umfassende Kenntnisse von den Privatumständen einzelner Mitarbeiter, wie sie oft in sozialen Netzwerken ungefiltert mitgeteilt werden, tragen stets auch ein gewisses Druck- bzw. Erpressungspotenzial.

Reaktionsmöglichkeiten des Arbeitgebers zur Verbesserung der IT-Sicherheit bei privater Social Medial Nutzung

Auch bei der außerdienstlichen Nutzung von Social Media können daher Gefahren für das Unternehmen entstehen. Im außerdienstlichen Bereich steht dem Arbeitgeber allerdings kein Weisungsrecht zu. 33Melot de Beauregard/Gleich in: DB 2012, S. 2044 m.w.N. Er kann daher auch keine verbindlichen Regelungen schaffen und ist vielmehr auf die Sensibilisierung seiner Arbeitnehmer angewiesen. 34Melot de Beauregard/Gleich in: DB 2012, S.2044, 2046. Empfohlen wird daher die Einführung von „Social Media Guidelines“. 35So etwa: Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 341 (die die Richtlinien aber ...continue Diese sollen eine Klausel enthalten, die den Arbeitnehmer zu Eigenverantwortlichkeit hinsichtlich der Social Media Nutzung verpflichtet und auf diese Weise sein Verantwortungsbewusstsein in Bezug auf die IT-Sicherheit stärkt. 36Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047. Außerdem wird dazu geraten in den Social Media Guidelines die Verwendung von Firmen-E-Mail-Adressen für die Anmeldung auf Social Media Platformen zu untersagen 37Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047. , um zu verhindern, dass Ansichten des Arbeitnehmers mit denen des Unternehmens gleichgesetzt werden und um Rückschlüsse auf den Arbeitsplatz des Nutzers zu erschweren. Daneben kann es sinnvoll sein einen Ansprechpartner zu benennen, an den sich die Arbeitnehmer bei Fragen wenden können. 38Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047. Insgesamt sollten die Guidelines jedoch individuell auf das Unternehmen zugeschnitten werden. 39Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 343.

Neben Social Media Guidelines kann der Arbeitgeber auch versuchen, die Mitarbeiter in einer IT-sicheren Social Media Nutzung zu schulen Eine solche Informationsveranstaltung unterfällt dem Mitbestimmungsrecht des Betriebsrates aus § 98 BetrVG. 40Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791. Zur Schulung der Mitarbeiter kann der Arbeitgeber unter Umständen auch auf Social Engineering Tests zurückgreifen. Hierbei prüfen spezialisierte Unternehmen das Verhalten der Mitarbeiter in meist unangekündigten Testszenarien. 41Vgl. Zimmer/Helle in: BB 2016, S. 1269. Solche Tests sind aufgrund des hierbei berührtem Allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG i.V.m. Art, 1 Abs. 1 GG) der Mitarbeiter aber nur zulässig, wenn konkrete Gefährdungen für das Unternehmen ersichtlich sind. 42Zimmer/Helle in: BB 2016, S. 1270. Ob in die Durchführung der Tests auch eingewilligt werden kann, ist noch nicht abschließend geklärt. 43Vgl. eher zweifelnd: Zimmer/Helle in: BB 2016, S. 1270. Auch hinsichtlich der Art der Durchführung von Social Engineering Tests sind einige Punkte zu beachten: So muss der Arbeitgeber aufgrund seiner Fürsorgepflicht sichergehen, dass der Test von einem vertrauenswürdigen Unternehmen durchgeführt wird und die Eingriffsintensität in das Allgemeine Persönlichkeitsrecht minimiert wird. 44Zimmer/Helle in: BB 2016, S. 1269, 1271. Zu empfehlen ist die vertragliche Festlegung klarer Tabuzonen und einer Geheimhaltungspflicht. 45Zimmer/Helle in: BB 2016, S. 1269, 1271. Daneben ist darauf hinzuweisen, dass der Arbeitgeber die Arbeitnehmer, die kontrolliert werden, anhand klarer Kriterien auswählen (etwa ein besonders sensibler Arbeitsplatz) und diesen vor Beginn des Tests sinnvolle Verhaltensanweisungen geben muss. 46Zimmer/Helle in: BB 2016, S. 1269, 1271. Außerdem sind bei der Durchführung von Social Engineering Tests die Beteiligungsrechte des Betriebsrates zu beachten. 47Hierzu: Zimmer/Helle in: BB 2016, S. 1269, 1272 f.

Fazit

Die Nutzung von Social Media erleichtert es Unternehmen mit ihren Kunden in Kontakt zu treten. Allerdings bestehen sowohl bei der beruflichen als auch bei der privaten Nutzung von Social Media-Plattformen IT-Sicherheitsrisiken. Um die IT- Sicherheit des Unternehmens zu gewährleisten sollte den Mitarbeitern gegenüber deutlich artikuliert werden, ob und ggf. unter welchen Rahmenbedingungen soziale Netzwerke dienstlich genutzt werden dürfen und was Mitarbeiter bei der Nutzung von sozialen Medien beachten sollten 48Vgl. BSI: Sichere Nutzung von sozialen Netzwerken (abrufbar unter: ...continue . Risiken lassen sich so zwar nicht ganz ausschließen, sie können aber wenigstens minimiert werden.

Referenzen   [ + ]

1. BITKOM (14.07.2017): https://www.bitkom.org/Presse/Presseinformation/Fast-jedes-zweite-Unternehmen-hat-im-Netz-schon-Gegenwind-bekommen.html zuletzt abgerufen am 31.07.2019.
2. BSI, Soziale Medien & Soziale Netzwerke, abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_044.pdf;jsessionid=9C5B6AA5F11FE2AAFB72CBD45A603C15.1_cid341?__blob=publicationFile&v=4, zuletzt abgerufen am 31.07.2019.
3. BSI, Soziale Medien & Soziale Netzwerke, Seite 2, abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_044.pdf;jsessionid=9C5B6AA5F11FE2AAFB72CBD45A603C15.1_cid341?__blob=publicationFile&v=4, zuletzt abgerufen am 31.07.2019.
4. BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: https://www.bitkom.org/Bitkom/Publikationen/Soziale-Netzwerke-dritte-erweiterte-Studie.html).
5. BITKOM: Social Media in Unternehmen, S. 10 (https://www.bitkom.org/sites/default/files/file/import/Social-Media-in-deutschen-Unternehmen4.pdf) zuletzt abgerufen am 31.07.2019.
6. BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: https://www.bitkom.org/Bitkom/Publikationen/Soziale-Netzwerke-dritte-erweiterte-Studie.html) zuletzt abgerufen am 31.07.2019.
7. Vgl. Melot de Beauregard/Gleich in: DB 2012, S. 2044.
8. Vgl. eRecht24: Social Media Guidlines: https://www.e-recht24.de/artikel/facebook/7803-social-media-guidelines-mitarbeiter-bei-facebook.html (zuletzt abgerufen: 31.07.2019).
9. Vgl. Oberwetter in: NJW 2011, S. 417, 418.
10. Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791 (ausdrücklich allerdings nur hinsichtlich einer arbeitsvertraglichen Bestimmung).
11. Melot de Beauregard/Gleich in: DB 2012, S. 2044; Lützeler/Bissels in: ArbRAktuell 2011, S. 499, 500.
12. Vgl. Tillmanns in: BeckOK Arbeitsrecht, GewO, § 106 Rn. 32.
13. Vgl. BSI: Tipps zum sicheren Umgang mit sozialen Medien (https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html) zuletzt abgerufen am 31.07.2019.
14. Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 345.
15. Vgl. Oberwetter in: NJW 2011, S. 417, 418.
16. Oberwetter in: NJW 2011, S. 417, 418.
17. Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
18. Vgl. Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
19. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
20. Zur Vertiefung vgl. etwa Oberwetter in: NJW 2011, S. 417, 420.
21. Vgl. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
22. Vgl. etwa hinsichtlich der Nichtbeteiligung bei einer möglichen Überwachung: LAG Hamburg, Beschl. v. 13.09.2018, Az.: 2 TaBV 5/18, NZA-RR 2018, 655 und BAG Beschl. v. 13.1.2016, Az.: 1 ABR 7/15, NZA 2017, 657.
23. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790.
24. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 790 mit Verweis auf ArbG Hamburg, Urt. v. 24.01.2013, Az.: 29 Ga 2/13, BeckRS 2013, 68150.
25. Ideen hierzu bei: Hoffmann-Remy/Tödtmann in: NZA 2016, S. 792, 797.
26. Vgl. BITKOM: Soziale Netzwerke 2013, Dritte erweiterte Studie (Berlin 31.10.2013), S. 22 (abrufbar unter: https://www.bitkom.org/Bitkom/Publikationen/Soziale-Netzwerke-dritte-erweiterte-Studie.html) zuletzt abgerufen am 31.07.2019.
27. BSI: Sichere Nutzung von sozialen Netzwerken (abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05157.html) zuletzt abgerufen am 31.07.2019.
28. BSI, Soziale Medien & Soziale Netzwerke, abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_044.pdf;jsessionid=9C5B6AA5F11FE2AAFB72CBD45A603C15.1_cid341?__blob=publicationFile&v=4, zuletzt abgerufen am 31.07.2019.
29. Ausführlich hierzu: BSI Social Engineering (abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html) zuletzt abgerufen am 31.07.2019.
30. Zum Trojanischen Pferd: BSI, Trojaner (abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/TrojanischePferde/trojaner.html) zuletzt abgerufen am 31.07.2019.
31. Vgl. BSI, Social Engineering (abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html) zuletzt abgerufen am 31.07.2019.
32. Vgl. Kaspersky: Was ist ein Trojaner? (abrufbar unter: https://www.kaspersky.de/resource-center/threats/trojans) zuletzt abgerufen am 31.07.2019.
33. Melot de Beauregard/Gleich in: DB 2012, S. 2044 m.w.N.
34. Melot de Beauregard/Gleich in: DB 2012, S.2044, 2046.
35. So etwa: Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 341 (die die Richtlinien aber auch für den betrieblichen Kontext nutzen); Lützeler/Bissels in: ArbRAktuell 2011, S. 499, 501; Melot de Beauregard/Gleich in: DB 2012, S. 2044, 2046; Solmecke in: Hoeren/Sieber/Holznage (Hrsg.) Handbuch Multimedia Recht, 48. EL (Februar 2019), Teil 21.1 Social Media, Rn. 83.
36. Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
37. Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
38. Melot de Beauregard/Gleich in: DB 2012, S.2044, 2047.
39. Conrad/Huppertz in: Auer-Reinsdorff/Conrad, Handbuch IT-und Datenschutzrecht, 2. Aufl. 2016, Teil F, § 37 Rn. 343.
40. Fuhlrott/Oltmanns in: NZA 2016, S. 785, 791.
41. Vgl. Zimmer/Helle in: BB 2016, S. 1269.
42. Zimmer/Helle in: BB 2016, S. 1270.
43. Vgl. eher zweifelnd: Zimmer/Helle in: BB 2016, S. 1270.
44. Zimmer/Helle in: BB 2016, S. 1269, 1271.
45. Zimmer/Helle in: BB 2016, S. 1269, 1271.
46. Zimmer/Helle in: BB 2016, S. 1269, 1271.
47. Hierzu: Zimmer/Helle in: BB 2016, S. 1269, 1272 f.
48. Vgl. BSI: Sichere Nutzung von sozialen Netzwerken (abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05157.html) zuletzt abgerufen am 07.08.2019.