21. Compliance Netzwerktreffen: „Mitarbeiter im (sozialen) Netz – Ein Thema für Compliance?“
03. Mai 2016 / Erschienen in Compliance Praxis 2/2016, S. 40
„Think! It’s not illegal yet.“ – Ein Plakat mit diesem Ratschlag hat der Rechtsanwalt Rainer Knyrim seinen Mitarbeitern an die Wand geklebt. Nachdenken, bevor man etwas über digitale Wege in die Welt hinausposaunt, sollte eigentlich selbstverständlich sein. Aber man müsse trotzdem öfter daran erinnern, denn über Soziale Medien werde „sehr viel Blödsinn“ gepostet. Das sagte der Datenschutzexperte am Podium des 21. Compliance Netzwerktreffens.
| |
|
|
V.l.n.r.: Alberto Sanz de Lama, GF LexisNexis; Mag. Andreas Wieselthaler, Direktor BAK |
Moderator Mag. Martin Eckel, Partner Taylor Wessing |
Auf Einladung von LexisNexis und dem Bundesamt für Korruptionsprävention und -bekämpfung (BAK) erläuterte dort eine Expertenrunde die Risiken durch und den Umgang mit Internet und Social Media am Arbeitsplatz. Moderiert von Mag. Martin Eckel, Partner der Kanzlei Taylor Wessing, diskutierten neben Dr. Rainer Knyrim noch Dr. Charlotte Eberl, Director Corporate Compliance Agrana, Mag. Leopold Löschl, Leiter des C4 Cybercrime Competence Center beim Bund und Mag. Maximilian Schrems miteinander. Letzterer ist Begründer der Initiative „Europe versus Facebook“. Mit seinem juristischen Kampf für die Durchsetzung von europäischem Datenschutzrecht auch gegen US-Konzerne hat er unter anderem das „Safe Harbor-Abkommen“ zwischen EU und USA zu Fall gebracht.
Cyberattacken: Das Dunkelfeld wächst
Gleich zum Auftakt sprach Cybercrime-Bekämpfer Leopold Löschl eine Warnung aus: Die Zahl der Cyberattacken nimmt zu. Die Methoden werden technischer, Phishing-Mails sind oft nicht mehr auf den ersten Blick als solche zu erkennen. Ein Grund für diese Entwicklung: Täglich steigt weltweit die Zahl der Internetnutzer – besonders auch in Ländern, wo es den Menschen nicht so gut geht. Internetkriminalität wird zu einer lukrativen Einnahmequelle.
Der neueste Trend ist Ransomeware, also Programme, die Unternehmensdaten verschlüsseln. Erst nach Zahlung eines „Lösegelds“ an die Angreifer werden die IT-Systeme wieder freigegeben. Daher sollten Mitarbeiter nur mit Geräten der Firma arbeiten, vor allem auch im Home Office. Und Firmen sollten sich bewusst sein, dass ein Smartphone für Ermittler das „Superbeweismittel“ schlechthin ist: Das gesamte Leben einer Person ist hier gespeichert: Kommunikation, Fotos, Suchabfragen… Für Ermittler „ganz toll“, so Löschl.
| |
|
||
|
Blick ins Publikum: Rund 180 Gäste besuchten das Netzwerktreffen.
|
V.l.n.r.: Mag. Leopold Löschl, Leiter C4 Cybercrime Competence Center; Dr. Rainer Knyrim, Partner Preslmayr RA
|
Kontrolle: Privates und Job trennen
Auch Rainer Knyrim sieht die Vermischung von Privat- und Firmensystemen als wichtigste Risikoquelle: Wenn Mitarbeiter etwas auf Facebook posten, sieht man es. Wenn Arbeitnehmer über ihren privaten WhatsApp-Account mit Kollegen oder Kunden kommunizieren, ist das für den Arbeitgeber unsichtbar. Die Behörden haben im Verdachtsfall jedoch das Recht, auch diese Kommunikation zu durchsuchen. Nicht so das Unternehmen, dem das Auslesen privater Mitteilungen verboten ist.
Überwachungstools oder technische Barrieren hält Knyrim zwar für sinnvoll. Allerdings nur dann, wenn Betriebsgeheimnisse wie etwa technische Zeichnungen geschützt werden sollen. Zur Frage, ob Mitarbeiter während der Arbeitszeit privat im Internet surfen dürfen, sei wohl die Judikatur zu privaten Telefonaten anzuwenden: Für Terminvereinbarungen mit Arzt, Behörden etc. wäre privates Surfen also absolut zulässig.
Charlotte Eberl sprach sich gegen die generelle Freigabe privater Internetnutzung am Arbeitsplatz aus. Duldet dies der Arbeitgeber über längere Zeit, gibt es bei Missbrauch kaum mehr eine Handhabe. Auch was Mitarbeiter auf den Social Media-Präsenzen der Agrana schreiben, wird von einer Kollegin stichprobenartig überwacht. Letztlich müsse sich eine Social-Media-Guideline aber an den Gegebenheiten des Unternehmens orientieren: „Eine Policy aus der Schublade gibt es nicht“, so Eberl. Bei der AUA, ihrem früheren Arbeitgeber, spielte der Kundenkontakt eine größere Rolle als bei der Agrana. Entsprechend genauer mussten die Leitlinien für die Kommunikation mit Konsumenten auf Facebook und Co. formuliert sein. Was Mitarbeiter aber privat auf Sozialen Medien treiben, gehe die Firma nichts an, so die Compliance-Verantwortliche der Agrana.
| |
|
V.l.n.r.: Mag. Maximilian Schrems, "Europe versus Facebook"; Dr. Charlotte Eberl, Director Corporate Compliance Agrana; Mag. Martin Eckel; Mag. Leopold Löschl |
Facebook: Wahrheit und Mythos
Maximilian Schrems gab dann Einblicke ins Innenleben von Facebook. Der Aktivist hatte sich vom US-Internetkonzern alle über ihn gespeicherten Userdaten zusenden lassen. Insgesamt bestand das Dokument aus 1.200 PDF-Seiten mit Konversationen, Postings und Aktivitäten aus zwei Jahren. Die meisten seiner eigenen Kommentare waren von Schrems selbst gelöscht worden. Facebook hatte aber, wie aus dem Konvolut ersichtlich, die gelöschten Datensätze nicht wirklich gelöscht, sondern bloß als „gelöscht“ gekennzeichnet. Warum aber gab Facebook diese an sich ja „gelöschten“ Daten überhaupt heraus (noch dazu an einen Prozessgegner)? Schrems erklärt es wie folgt: „Es gab einen Facebook-Mitarbeiter, der so blöd war, das auf eine CD zu brennen und mir zu schicken“ – und kratzt damit auch am Mythos vom unfehlbaren Internetgiganten.
Das Problematische an Facebook ist nach Ansicht des Juristen einerseits diese Datensammelwut, ohne dass irgendjemand wüsste, was mit den Daten geschieht und wer sie in die Hände bekommt. Andererseits aber auch die Monopolstellung des Konzerns. Unternehmen glauben, sie müssten dort unbedingt eine virtuelle Dependance aufbauen. Dabei genügt eine Änderung im Algorithmus der Facebook-Software und die Reichweite einer Firmenpräsenz bricht plötzlich ein. In diese Abhängigkeit müsse man sich nicht begeben, meinte Schrems. Denn auch die absolute Treffsicherheit von Werbung auf Facebook werde überschätzt. So glaubt der Facebook-Algorithmus zum Beispiel, dass sich der User Max Schrems für elektronische Sucher von Kameras, auf Englisch „Electronic View Finder“, kurz EVF, interessiert. Dabei ist „EvF“ die Abkürzung seiner Initiative Europe versus Facebook.
Chancen und Risiken auf dem relativ jungen Gebiet digitaler Technologien richtig einzuschätzen, ist also nicht ganz einfach. Das wurde an diesem Abend klar. Es wird aber für den Erfolg von Unternehmen künftig immer wichtiger. Denn, so hieß es abschließend: „Daten sind das Öl des 21. Jahrhunderts. Früher hat Öl die Wirtschaft geschmiert, jetzt sind es die Daten.“
Autoren
Mag. Klaus Putzer
Mag. Klaus Putzer war von 2010 bis 2023 Redakteur bzw. Chefredakteur der Compliance Praxis. Zuvor war er in mehreren Verlagen als leitender Redakteur im Magazinbereich tätig bzw. arbeitete als frei...