Clearswift-Leitlinien für sichere Kommunikation in Unternehmen
Rechtliche Fallstricke der Web-2.0-Nutzung am Arbeitsplatz
Clearswift, Spezialist für inhaltsbezogene Sicherheitssoftware mit Hauptsitz in England, hat anhand der rechtlichen Rahmenbedingungen für Web 2.0 generelle Leitlinien für die Mitarbeiterkommunikation im Unternehmen entwickelt. Grundsätzlich gilt: Die Vorbildfunktion der Führungskräfte, klare Richtlinien, weitgehend automatisierte Sicherheitstechnologien und eine regelmäßige Kommunikation schaffen bei Mitarbeitern ein hohes Verantwortungsbewusstsein beim Umgang mit Daten und Informationen.
Die Bedeutung von Web 2.0 im Unternehmen sowie die Guidelines zur sicheren Kommunikation stehen
bei Clearswift auch auf der It-sa 2010 vom 19. bis 21. Oktober in Nürnberg im Fokus (Clearswift in
Halle 12, Stand 403).
"Für Web-2.0-Anwendungen gelten dieselben rechtlichen Regelungen bezüglich IT-Compliance,
Sicherheit und Datenschutz wie für Internet und E-Mail. Das kann in der Praxis allerdings zu
überraschenden Herausforderungen führen", erklärt Henning Ogberg, Sales Director Central &
Eastern Europe bei Clearswift. "Daher haben wir mit Rechtsexperten von Hanselaw Hammerstein und
Partner eine Übersicht zu den zentralen Rechtsfragen für Web 2.0 in Unternehmen erarbeitet. Dies
hat zusammen mit unseren Praxiserfahrungen aus IT-Security-Projekten dazu geführt, dass wir
Leitlinien für die interne Kommunikation gegenüber Mitarbeitern entwickelt haben. Die Gründe:
Inhaltsbezogene Sicherheitslösungen für Web- und E-Mail-Kommunikation wie unsere Gateways wehren
zwar zuverlässig und mit einem hohen Automatisierungsgrad Schadsoftware ab und sichern sensible
Inhalte vor Missbrauch durch Verschlüsselung, elektronische Signatur und rollenbasierte
Zugriffsrechte. Allerdings sind Unternehmen für ein rechtskonformes Sicherheitskonzept zusätzlich
verpflichtet, die Risiken elektronischer Kommunikation zu erfassen, Maßnahmen zur Abwehr zu
definieren und diese Richtlinien mit Konsequenzen bei Verstößen an die Mitarbeiter zu
kommunizieren."
Web-2.0-Herausforderungen aus rechtlicher Sicht
Wie heikel die Erarbeitung von Unternehmensrichtlinien zur IT-Sicherheit sein kann und wie
wichtig daher die Aufklärung der Mitarbeiter ist, zeigt die Anwaltskanzlei Hanselaw Hammerstein und
Partner anhand von gesetzlichen Regelungen, die nur wenigen bewusst sind (eine Übersicht der
rechtlichen FAQ von Hanselaw Hammerstein und Partner stehen zur Verfügung unter
www.clearswift.de/informationen-zum-download/resources/white-papers).
Verantwortungsbereiche für Web-2.0-Inhalte: Im November 2009 urteilte der Bundesgerichtshof
beispielsweise, dass Betreiber von Web-2.0-Plattformen für rechtsverletzende Inhalte auch für von
Dritten eingestellte Inhalte verantwortlich gemacht werden können, wenn sie sich diese zu eigen
machen, indem sie sie zum Beispiel redaktionell in die Internet-Seite einbinden.
Erfolgen rechtsverletzende Äußerungen durch einen Mitarbeiter im Rahmen eines privaten
Social-Media-Accounts – etwa Herabsetzung eines Wettbewerbers – droht eine Haftung des Unternehmens
nur im Ausnahmefall. Ein solcher könnte aber gegeben sein, wenn dieser Account auch laufend
geschäftlich genutzt wird und das Unternehmen dies billigend zur Kenntnis genommen hat.
Archivierung von Web-2.0-Inhalten: Die Pflichten zur Archivierung richten sich nach der
Branche und nach dem jeweiligen Inhalt der Kommunikation. Vereinfacht kann man sagen: Wenn eine
entsprechende Mitteilung als Brief oder E-Mail aufbewahrungspflichtig wäre, dann ist sie dies auch
als Forenbeitrag, Beitrag im Extranet oder per Instant Messaging. Wer hier seine
Aufbewahrungspflichten verletzt, kann sich Bußgeldern ausgesetzt sehen.
Eigentumsfragen bei Web-2.0-Inhalten: Die geschäftliche Nutzung privater Accounts birgt für die
Unternehmen erhebliche Risiken, wenn der Mitarbeiter ausscheidet und man die dort erfassten Daten
herausgegeben und gelöscht haben möchte. Hier ist dringend zu empfehlen, dass man mit den
Mitarbeitern ausdrückliche Vereinbarungen trifft und nach Möglichkeit Accounts genutzt werden,
welche auf das Unternehmen lauten und auch von diesem bezahlt werden.
Daher empfiehlt Clearswift folgende Guidelines rund um die Mitarbeiterkommunikation für
Unternehmenssicherheit. Ziel ist es, ein hohes Verantwortungsbewusstsein im täglichen Umgang mit
elektronischen Medien und Unternehmensdaten zu schaffen und so Risiken abzuwehren.
Guidelines zur Schaffung eines hohen Sicherheitsbewusstseins:
Demonstrieren Sie die hohe Bedeutung von Sicherheit im Unternehmen, indem Sie:
– rechtlich zentrale Vereinbarungen mit Mitarbeitern zu den Grenzen der Nutzung von Internet,
Web 2.0 und E-Mail für private und geschäftliche Zwecke schriftlich festhalten,
– einen Sicherheitsbeauftragten etablieren und mit Kompetenzen ausstatten,
– neue Mitarbeiter sofort in die geltenden Sicherheitsrichtlinien einführen,
– zeitliche und inhaltliche Standards für Sicherheitsschulungen und -informationen
festlegen,
– jeden Mitarbeiter – auch Vorgesetzte und das Management – zur Teilnahme an
Sicherheitsschulungen verpflichten,
– regelmäßig über Neuerungen in der internen Sicherheit sowie über neue Gefahren von extern
informieren sowie
– Konsequenzen bei Verstößen definieren.
Guidelines zur Gestaltung der Mitarbeiterkommunikation:
Keep it simple: Je einfacher und komfortabler Sicherheit einzuhalten ist, um so eher wird sie
umgesetzt. Trainings sollten kurz und auf den Arbeitsplatz abgestimmt sein, Informationen knapp und
verständlich, Ansprechpartner einfach erreichbar sein.
Lassen Sie Sicherheit nicht in Vergessenheit geraten: Definieren Sie klare
Sicherheitsrichtlinien mithilfe regelmäßiger Informations-Updates, beispielsweise dazu, was bei der
Nutzung von Internet und E-Mail erlaubt ist und was nicht. Diese Richtlinien sollten schriftlich an
zentraler Stelle zur Einsicht vorliegen, regelmäßig aktualisiert und an jeden Mitarbeiter
kommuniziert werden.
Erhöhen Sie die Kompetenzen im Umgang mit Sicherheitstechnik: Bieten Sie verständliche
Anleitungen und trainieren Sie die Mitarbeiter im Umgang mit IT-Security-Anwendungen wie
beispielsweise Verschlüsselung, elektronische Signatur, Passwort-Management, Datensicherung und
Archivierung.
Bleiben Sie am Puls der Zeit: Insbesondere die rasanten Entwicklungen bei Web 2.0 und
Social-Media-Anwendungen erfordern regelmäßige Informationen zu rechtlichen und unternehmenseigenen
Regelungen beim Umgang mit diesen Medien.
Machen Sie Sicherheit zur Gewohnheit: Bestehen Sie darauf, dass die IT-Security-Anwendungen
selbst bei weniger sensiblen Daten genutzt werden. Wenn die elektronische Signierung von E-Mails
beispielsweise auch bei unkritischen Informationen zur Gewohnheit wird, sinken im Ernstfall
mögliche Risiken aufgrund von Nachlässigkeit.
Schärfen Sie das Risikobewusstsein: Kommunizieren Sie anhand von praxisnahen Beispielen, wie
gefährliche Vorfälle zu erkennen sind, und geben Sie den Mitarbeitern klare und einfache
Richtlinien an die Hand, was in solchen Fällen zu tun ist.
Reagieren Sie schnell auf Sicherheitsfragen: Definieren Sie verantwortliche Ansprechpartner und
schaffen Sie für diese die Voraussetzungen, schnell und kompetent auf Fragen von Mitarbeitern zur
Sicherheit im Unternehmen antworten zu können.
Schaffen Sie Raum für Sicherheit: Etablieren Sie ein Sicherheitsforum – etwa im Intranet – um
den Dialog mit Mitarbeitern über Sicherheitsfragen, Probleme und Verbesserungsvorschläge zu
fördern.
Vergewissern Sie sich über den Stand des Sicherheitsbewusstseins: Befragen Sie Mitarbeiter
regelmäßig zur Sicherheit im Unternehmen, zu möglichen technischen oder organisatorischen Problemen
oder zu Verbesserungsvorschlägen. Dies hilft die Wirksamkeit der Sicherheitsmaßnahmen zu prüfen und
das Thema bei den Mitarbeitern aktuell zu halten.
Dulden Sie keine Ausreden: Lassen Sie sich die Kenntnisnahme von Sicherheitsrichtlinien und die
Konsequenzen bei Verstößen schriftlich bestätigen.
LANline/jos
Lesen Sie mehr zum Thema
