1. Minimierung von Risiken
in Social Media
ISSS Security Lunch
21. Juni 2011, Restaurant Certo, Zürich
Dr. Oliver Staffelbach, LL.M.
Rechtsanwalt, Wenger & Vieli AG, Zürich
Information Security Society Switzerland 1
2. Was ist Social Media? (1)
1:1-Kommunikation (individuelle Kommunikation)
Anbieter User
1:n-Kommunikation (klassische Massenkommunikation)
User
User
Anbieter
User
…
Information Security Society Switzerland ISSS2010XZ643293 2
3. Was ist Social Media (2)
n:n-Kommunikation (Social Media)
User User
User User
Anbieter User
… …
Information Security Society Switzerland ISSS2010XZ643293 3
4. Bedeutung von Social Media (1)
Information Security Society Switzerland ISSS2010XZ643293 4
5. Bedeutung von Social Media (2)
Quelle: http://www.google.com/adplanner/static/top1000/
Information Security Society Switzerland ISSS2010XZ643293 5
6. Bedeutung von Social Media (3)
Quelle: http://www.google.com/adplanner/static/top100countries/ch.html
Information Security Society Switzerland ISSS2010XZ643293 6
7. Bedeutung von Social Media (4)
Firmen mit mindestens einem Social Media Kanal
100%
90%
80% 88% 89%
86% 84%
70%
60% 67%
2010
50%
50%
2011
40%
Quelle: Burson-Marsteller
30%
20%
10%
0%
Asien Europa USA
Information Security Society Switzerland ISSS2010XZ643293 7
8. Bedeutung von Social Media (5)
Information Security Society Switzerland ISSS2010XZ643293 8
9. Übersicht
Minimierung
von Risiken
Rechtliche Andere
Risiken Risiken
Durch Arbeitnehmer Anderweitig
verursacht verursacht
Social Media Richtlinien
Schutz der Reputation
Weitere
Information Security Society Switzerland ISSS2010XZ643293 9
10. Arbeitnehmer in Social Media (1)
Quelle: http://www.blick.ch/news/schweiz/bern/bund-sperrt-facebook-127870
Information Security Society Switzerland ISSS2010XZ643293 10
11. Arbeitnehmer in Social Media (2)
Information Security Society Switzerland ISSS2010XZ643293 11
12. Risiken des Arbeitgebers
Schädigung der Reputation des Arbeitgebers
Haftungsrisiken
Verschwendung von Arbeitszeit
Verletzung von Geschäftsgeheimnissen
Viren, Würmer, trojanische Pferde etc.
Beanspruchung von Speicherkapazität
Weitere
Information Security Society Switzerland ISSS2010XZ643293 12
13. Chancen des Arbeitgebers
Informationsquelle
Teilweise Branchenüblichkeit
Promotion von Produkten und Dienstleistungen
Dialog mit Kunden, Geschäftspartnern und
Meinungsmachern
Weitere
Information Security Society Switzerland ISSS2010XZ643293 13
14. Minimierung von Risiken
Social Media Richtlinien
Präventiv Schulungen / Kontrollen
Berücksichtigung aktueller
Entwicklungen
Minimierung
von Risiken
Verwarnung
Kündigung
Repressiv
Zivilrechtliches Vorgehen
Strafrechtliches Vorgehen
Information Security Society Switzerland ISSS2010XZ643293 14
15. Social Media Richtlinien (1)
Social Media Richtlinien:
• Freiheiten aufzeigen
• Schranken setzen
Information Security Society Switzerland ISSS2010XZ643293 15
16. Social Media Richtlinien (2)
Sensibilisieren
Information Security Society Switzerland ISSS2010XZ643293 16
17. Social Media Richtlinien (3)
Aufklären
Information Security Society Switzerland ISSS2010XZ643293 17
18. Social Media Richtlinien (4)
Vorgaben machen
Information Security Society Switzerland ISSS2010XZ643293 18
19. Social Media Richtlinien (5)
Inhalt von Social Media Richtlinien
Einleitende Bemerkungen
Verantwortlichkeit
Allgemeine Verhaltensgrundsätze
Verhaltensgrundsätze bei geschäftlichen
Aktivitäten
Unzulässige Social Media
Arbeitszeit und Social Media
Anlaufstellen bei Fragen
Information Security Society Switzerland ISSS2010XZ643293 19
20. Social Media Richtlinien (6)
Beispiele und Checkliste
Beispiele: Daimler1, SAP2, SRF Schweizer
Radio und Fernsehen3
Checkliste: Checkliste für Social Media
Richtlinien4
1 http://www.daimler.com/Projects/c2c/channel/documents/1895106_Social_Media_Leitfaden_Final.pdf
2 http://www.sapweb20.com/blog/2009/07/sap-social-media-guidelines-2009/
3 http://medienwoche.ch/beta/wp-content/uploads/2011/02/Social-Media_Leitlinien_Mitarbeitende_v1.3.pdf
4 http://www.computerworld.ch/fileadmin/downloads/Checkliste-Social-Media.pdf
Information Security Society Switzerland ISSS2010XZ643293 20
21. Social Media Richtlinien (7)
Verantwortlich für Social Media Richtlinien
Ausarbeitung durch verschiedene Abteilungen
(insb. Kommunikation und Recht)
Beizug von externen Spezialisten
Genehmigt durch Top-Management
Information Security Society Switzerland ISSS2010XZ643293 21
22. Social Media Richtlinien (8)
Umsetzung von Social Media Richtlinien
Kurz und verständlich
Schriftliche Zustimmung durch Arbeitnehmer
Unter Umständen Schulungen und Kontrollen
erforderlich
Information Security Society Switzerland ISSS2010XZ643293 22
24. Persönlichkeitsverletzungen (2)
Fakten
Ein beträchtlicher Teil der öffentlichen
Meinungsbildung erfolgt im Internet
Informationen sind oft dauerhaft im Internet zu
finden
Die Informationen sind im Internet meist leicht
auffindbar
Information Security Society Switzerland ISSS2010XZ643293 24
25. Persönlichkeitsverletzungen (3)
Zivilgesetzbuch
Obligationenrecht
Rechtsgrundlagen
Strafgesetzbuch
Weitere
Information Security Society Switzerland ISSS2010XZ643293 25
26. Persönlichkeitsverletzungen (4)
besteht noch
(Variante A)
Arbeitsvertrag
wurde aufgelöst
(Variante B)
Information Security Society Switzerland ISSS2010XZ643293 26
27. Persönlichkeitsverletzungen (5)
Präventiv
Möglichkeiten des
Betroffenen
Verwarnung
Kündigung
Repressiv
Zivilrechtliches Vorgehen
Strafrechtliches Vorgehen
Information Security Society Switzerland ISSS2010XZ643293 27
28. Persönlichkeitsverletzungen (6)
Klage auf Unterlassung
Verwarnschreiben
Klage auf Feststellung
Zivilrechtliches
Klage auf Schadenersatz
Vorgehen
Möglichkeiten des
Klage auf Genugtuung
Betroffenen
Strafrechtliches
Weitere
Vorgehen
Weitere
Information Security Society Switzerland ISSS2010XZ643293 28
29. Persönlichkeitsverletzungen (7)
Tatsache:
falsche Tatsache
Behauptung
Werturteil:
unnötig verletzender und
beleidigender Angriff auf
Person des Betroffenen
Information Security Society Switzerland ISSS2010XZ643293 29
32. Persönlichkeitsverletzungen (10)
Provider als Mitverantwortlicher
Grundsatz: kommerzielle Provider kooperieren
oft
Ausnahme: Provider mit Sitz in den USA
Sonderfall Google: grundsätzlich ist ein
vollstreckbarer Entscheid erforderlich
Information Security Society Switzerland ISSS2010XZ643293 32
33. Persönlichkeitsverletzungen (11)
Häufigste Irrtümer von Betroffenen
Die Einleitung einer Klage vor einem Schweizer
Gericht löst meine Probleme immer
Ich kann meine Schadenersatzansprüche mit
wenig finanziellem Aufwand erfolgreich
einklagen
Meine Gerichts- und Anwaltskosten werden mir
immer zurückerstattet
Information Security Society Switzerland ISSS2010XZ643293 33
34. Persönlichkeitsverletzungen (12)
Konkretes Vorgehen
Fakten ermitteln
Rechtliche Einschätzung
Abmahn-Phase
Prozess-Phase
Online Reputation Management
Information Security Society Switzerland ISSS2010XZ643293 34
35. Übermässige Nutzung des Internets (1)
"[…]
Facebook während der Arbeitszeit
Individuelle Zahlen für die Facebook-Nutzung
liegen nicht vor. Den [recte: Der] Vorwurf, dass die
Mitarbeiter des Migrationsamtes während der
Arbeitszeit stundenlang auf Facebook
herumsurfen, scheint aber zuzutreffen. […]"
Quelle: http://www.tagesanzeiger.ch/zuerich/region/Migrationsamt-Die-Details-aus-dem-Untersuchungsbericht/story/18454783
Information Security Society Switzerland ISSS2010XZ643293 35
36. Übermässige Nutzung des Internets (2)
Kein zwingendes Recht des Arbeitnehmers auf
Nutzung des Internets am Arbeitsplatz
Verbot oder Beschränkung durch Arbeitgeber ist
zulässig (z.B. durch Social Media Richtlinien)
Wann ist eine Nutzung übermässig?
Information Security Society Switzerland ISSS2010XZ643293 36
37. Haftung des Arbeitgebers (1)
Quelle: http://www.20min.ch/finance/news/story/15534737
Information Security Society Switzerland ISSS2010XZ643293 37
38. Haftung des Arbeitgebers (2)
Art. 55 Abs. 1 OR1
Der Geschäftsherr haftet für den Schaden, den
seine Arbeitnehmer […] in Ausübung ihrer
dienstlichen oder geschäftlichen Verrichtungen
verursacht haben, wenn er nicht nachweist, dass
er alle nach den Umständen gebotene Sorgfalt
angewendet hat, um einen Schaden dieser Art zu
verhüten, oder dass der Schaden auch bei
Anwendung dieser Sorgfalt eingetreten wäre.
1 Schweizerisches Obligationenrecht (OR)
Information Security Society Switzerland ISSS2010XZ643293 38
39. Haftung des Arbeitgebers (3)
Grundsätze zu Art. 55 Abs. 1 OR
Eine Haftung ist möglich, wenn der
Arbeitnehmer seine Kompetenzen überschreitet
Eine Haftung ist möglich, wenn der
Arbeitnehmer eine Aufgabe in irrtümlicher
Annahme besorgt, er sei damit beauftragt
Entlastungsbeweis: Arbeitgeber hat zu
beweisen, dass er alle objektiv gebotenen
Massnahmen vorgekehrt hat
Information Security Society Switzerland ISSS2010XZ643293 39
42. Screening (2)
Quelle: http://www.tagesanzeiger.ch/leben/gesellschaft/Eine-Fundgrube-fuer-Personalchefs-/story/17153295
Wo sich Unternehmen über Stellenbewerber informieren
Firma Bei Google In sozialen In beruflichen
Netzwerken wie Netzwerken wie Xing
Facebook
ABB Nein Nein Nein
Adecco Ja* Ja* Ja*
Coop Ja* Ja* Ja*
Credit Suisse Nein Nein Nein
Migros Nein Nein Ja*
Nestlé Nein Nein Ja*
Novartis Ja* Ja* Ja*
Post Ja* Ja* Ja*
Roche Ja* Ja* Ja*
SBB Ja* Nein Ja*
UBS Ja* Nein Nein
Zürich Nein Nein Nein
* Je nach Bewerbung, nicht standardmässig
Information Security Society Switzerland ISSS2010XZ643293 42
43. Screening (3)
Zulässigkeit von Screening
Mit Internetsuchdiensten oder in sozialen
Netzwerken
Keine direkt anwendbare Rechtsgrundlage
Noch kein publiziertes Gerichtsurteil
Diverse Lehrmeinungen: unzulässig
Meinung des EDÖB1: grundsätzlich zulässig
1 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Information Security Society Switzerland ISSS2010XZ643293 43
44. Überwachung der Arbeitnehmer (1)
Quelle: http://www.faz.net/artikel/C30563/internet-das-buero-als-big-brother-container-30254398.html
Information Security Society Switzerland ISSS2010XZ643293 44
45. Überwachung der Arbeitnehmer (2)
Grundlagen
Rechtsgrundlagen: Art. 26 Abs. 1 Verordnung 3
zum Arbeitsgesetz, Art. 328 und 328b OR1,
datenschutzrechtliche Normen etc.
Grundsatz: Kontrollen des Arbeitnehmers durch
den Arbeitgeber sind nur beschränkt zulässig
Leitfaden des EDÖB2 über Internet- und E-Mail-
Überwachung am Arbeitsplatz
1 Schweizerisches Obligationenrecht (OR)
2 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
3 http://www.edoeb.admin.ch/dokumentation/00445/00472/00532/index.html
Information Security Society Switzerland ISSS2010XZ643293 45
46. Überwachung der Arbeitnehmer (3)
Leitfaden des EDÖB
Wichtige Orientierungshilfe
Kritisch hinterfragen
Musterreglement über die Internet- und E-Mail-
Überwachung am Arbeitsplatz
Information Security Society Switzerland ISSS2010XZ643293 46
48. Dokumentationspflicht (2)
Pflicht zur Führung von Geschäftsbüchern
Rechtsgrundlagen: insb. Art. 957 OR und
Geschäftsbücherverordnung1
Davon erfasst: Geschäftskorrespondenz2
Alle ein- oder ausgehenden oder auch intern
erstellten Schriftstücke, deren Inhalt sich in
irgendeiner Form bilanzmässig niederschlagen kann
Auch gewisse E-Mails und Nachrichten in Social
Media
1 Geschäftsbücherverordnung vom 24. April 2002 (GeBüV)
2 Vgl. Art. 957 Abs. 2 OR
Information Security Society Switzerland ISSS2010XZ643293 48
49. Praktische Tipps (1)
Schweizeri
Urheberrec sches
htsgesetz
Allgemeine
n
Geschäftsbedingunge
von Facebook
Staatsvert
räge
s
Schweizerische
Obli gationenrecht
cht
Ausländisches Re
Information Security Society Switzerland ISSS2010XZ643293 49
50. Praktische Tipps (2)
Der Umgang der Arbeitnehmer mit Social Media
sollte klar festgelegt werden
Die Festlegung kann in Social Media Richtlinien
erfolgen
Social Media Richtlinien sollten kurz und klar
sein
In der Regel sollten Schulungen und Kontrollen
Social Media Richtlinien abrunden
Information Security Society Switzerland ISSS2010XZ643293 50
51. Praktische Tipps (3)
Bei Rufschädigungen ist überlegt vorzugehen
Es besteht kein zwingendes Recht des
Arbeitnehmers auf Nutzung des Internets am
Arbeitsplatz
Eine Haftung des Arbeitgebers für Handlungen
des Arbeitnehmers ist recht weitgehend möglich
Screening von potentiellen Arbeitnehmern ist
grundsätzlich zulässig
Information Security Society Switzerland ISSS2010XZ643293 51
52. Praktische Tipps (4)
Die Überwachung von Arbeitnehmern am
Arbeitsplatz ist nur beschränkt zulässig
Die Pflicht zur Führung von Geschäftsbüchern
kann auch Nachrichten in Social Media erfassen
Information Security Society Switzerland ISSS2010XZ643293 52