Archiv für den Monat: April 2011

Nachbericht zur Social Media Sicherheitskonferenz 06.04.2011

Wie angekündigt fand am 06.04.2011 auf dem Petersberg im Gästehaus der Bundesrepublik Deutschland die erste Social Media Sicherheitskonferenz statt – hier nun endlich der versprochene Nachbericht zu der Konferenz, die sich ausdrücklich auch mit den Risiken der Social Media Nutzung beschäftigte.

Die Referenten trafen – bis auf den Verfassungsschützer Reinhard Vesper -  am frühen Vorabend auf dem Petersberg ein. Zur Vorbesprechung des nächsten Tages ging es dann in ein uriges Lokal direkt am Rheinufer in Königswinter, das ich hier gerne weiterempfehlen würde, dessen Namen ich jedoch leider nicht weiß… Wie dem auch sei, aus der “Vorbesprechung” entwickelte sich ein äußerst interessanter Diskurs zwischen Klaus Eck (Eck Kommunikation), Candid Wüest (Senior Security Engineer, Symantec) und Thorsten zur Jacobsmühlen (Personalberater) sowie meiner Person hinsichtlich der Frage, wohin und wie es denn mit der ganzen Social Media Nutzung gehen würde (hier die Referenten im Überblick). Ganz beantwortet werden konnte diese komplexe Frage auch mit den anwesenden vier Fachrichtungen leider nicht (wir waren doch so kurz davor! ;)), da die charmante Wirtin doch gen Mitternacht um Feierabend bat.

So ging es mit den Fachdiskussionen erst am nächsten morgen um 9.15 Uhr, dem offiziellen Beginn der Konferenz, mit Kaffee in der Hand weiter. Um kurz nach zehn Uhr eröffnete Klaus Eck nach einleitenden Worten von Thorsten zur Jacobsmühlen die Vortragreihe. Der Kommunikationsberater eröffnete vor dem geneigten Publikum die schöne, bunte Welt der Social Media und zeigte auf, wie diese für Mitarbeiter von großen Unternehmen mittels Social Media Guidelines handhabbar (welch Wort) gemacht werden kann.  Dabei blieb auch der Hinweis auf die Gefahr möglicher Kommunikations-Krisen und entsprechender Gegenstrategien nicht aus. In der Sache von mir die volle inhaltliche Zustimmung, wenn ich auch – wohl qua Berufsstand – die rechtswirksame Implementierung von Social Media Guidelines für zwingend notwendig halte. Präsentiert wurde von Eck übrigens mittels des eleganten Prezi-Programms. Da staunt der Jurist, der allenfalls durchschnittlich mit Power-Point umzugehen weiß… Aber während Klaus Eck für die Darstellung der schönen Social Media Welt bzw. der Kommunikation über diese zuständig war und ist, lag es dann nachfolgend an mir, über die möglichen rechtlichen Stolpersteine aufzuklären, die eine Employer Brand Kampagne so mit sich bringen kann und warum die rechtssichere Implentierung von Social Media Guidelines eben doch zu bevorzugen ist.  Es hätte noch viel länger mit dem Publikum und den anderen Referenten über dies und das diskutiert werden können, doch die Köche klapperten drohend mit den Löffeln – Zeit zum Mittagessen. Sofort wurden angeregt die bereits vergangenen Vorträge bzw. deren Inhalte diskutiert. Vielen Dank an meine Mittagsrunde – bei der denn des Öfteren der Satz fiel “Das ist jetzt aber off the record und nicht für Twitter bestimmt”. Mhm… wir befanden uns offensichtlich auf einer Social Media Konferenz. ;)

Schon war der Initiator des Ganzen, Thorsten zur Jacobsmühlen, dran. Er erläuterte, warum es nicht gerade sinnvoll ist, Social Media Anwendungen am Arbeitsplatz zu verbieten – gefacebooked wird per Smartphone im Zweifel ohnehin. Und ausweislich einer neuen Studie, die Thorsten zur Jacobsmühlen erstmals vorstellte, ist ein Großteil der Bewerber not amused, wenn sie an ihrem späteren Arbeitsplatz feststellen, dass Social Media Anwendungen gesperrt sind – insbesondere dann nicht, wenn sie selbst via Social Media rekrutiert wurden. Ich finde das nicht gerade verwunderlich – überraschenderweise zeigte sich jedoch ein Teil einer Kaffeerunde bei der Tagung Personalmanagement Online am Freitag dabei eher verständnislos und fand, dass Social Media Anwendung selbstverständlich gesperrt werden müssten und zwar gleich ob darüber auch rekrutiert wird. – Mir scheint, dass dies Thema doch noch sehr branchenspezifisch betrachtet wird und/oder indifferente Angst nach wie vor ein beherrschendes Thema dabei ist. So wurde zur Jacobsmühlen gefragt, ob es denn eine Studie gäbe, wieviel Zeit ein Arbeitnehmer im Durchschnitt mit Social Media “verschwende”. Eine solche gibt es wohl in profunder Art nicht, so jedenfalls der Personalberater.  Ich frage mich jedoch, ob es überhaupt die richtige Fragestellung ist, denn wieviel Arbeitszeit wird bei dem traditionellen Schwatz in der Kaffeeküche “vergeudet”? Und wie oft hat sich aus so einem Klönschnack die zündende Unternehmensidee ergeben? Man merkte jedenfalls deutlich, dass einige Teilnehmer aus den klassischen Branchen der Social Media Idee nach wie vor mit einer gehörigen Portion Skepsis und – meines Erachtens – leider auch Vorurteilen begegnen. (Ich hoffe, diese konnten auf der Konferenz entkräftet werden.)

Doch für Angst konnten die nachfolgenden Vorträge wahrlich sorgen. Mit schweizer Charme erläuterte der senior Security Engineer von Symantec, Candid Wüest, wie einfach bspw. Passwörter via der eigenen Äußerungen in sozialen Netzwerken entschlüsselt werden können. Und wie einfach letztlich jede – vermeintlich gut versteckte – Information über uns herauszubekommen ist. Zwischenzeitlich dachte ich, ich mach doch besser Schluss mit diesem Internet, dass soll – Gerüchten zur Folge – ohnehin keine Zukunft haben. Aber schlussendlich bemerkte Candid das, was ich meinen Zuhörern auch stets auf den Weg gebe, man solle sich mit gesundem Menschenverstand durch die Welt bewegen und diesen auch im Social Media Umfeld nicht vergessen. So macht es wenig Sinn sein Passwort Hasi2011 zu nennen, wenn man auf Facebook herumposaunt, dass man seit 2011 nun Hasi zu Hause immer kuscheln kann.

Spannend wurde es dann auch noch einmal mit Reinhard Vesper vom Verfassungsschutz NRW. Auch er machte sehr deutlich, wie einfach doch Wirtschaftsspionage sowohl von anderen Nationen als auch international agierenden Konzernen via Social Media erfolgen kann. Flugs über Xing die Mitarbeiter nebst den jeweiligen Stellen zusammengesucht und kurz deren verschiedenen Aussagen auf Blogs, Facebook und Twitter miteinander verglichen und analysiert und schwups steht das Unternehmensprofil und der deutsche Metallhersteller kann vom ausländischen Staatskonzern im Preis unterboten werden. Okay, zugegeben, ganz soo einfach geht’s für jedermann wohl doch nicht, aber wenn Wüest und Vesper Glauben zu schenken ist, dann geht es für jeden, der sich damit auskennt, eben doch ohne “größere” Anstrengung.

Und was lernen wir daraus? Den Zuffenhausenern nacheifern und Social Media abschalten? Wohl kaum, denn der private Gebrauch von Social Media ist nicht zu verbieten. Also bedarf es der Sensibilisierung der Mitarbeiter für potentielle Gefahren und der Stärkung des eigenverantwortlichen Umgangs mit diesen neuen Medien.

Das sehe ich zumindest nach wie vor so und ich denke, meine Mitreferenten der Social Media Sicherheitskonferenz würden dies ebenso unterschreiben.

Vielen Dank für 1,5 spannende Tage, neue Einblicke und interesssante Diskussionen!

In diesem Sinne,

weiterhin schön vorsichtig sein!

PS: Einen weiteren Bericht zur SOMESKO 2011 gibt es in der XING-Gruppe Monster Social Recruiting hier und hier.

Rechtliche Hinweise zum Bloggen I: Impressum und Datenschutz

Der eine oder andere wird es mitbekommen haben: Auf HRInside erschien von mir bislang eine dreiteilige Serie mit Tipps zum rechtssicheren Bloggen. Diese möchte ich meinen geneigten Lesern allerdings nicht vorenthalten und führe deswegen die Artikel hier mit einigem zeitlichen Abstand der Zweitverwertung zu. Da Google jedoch nicht weiß, dass ich die Urheberin der Texte bin und somit mit meinem Verwertungsrechten schalten und walten kann wie ich möchte, sind die Texte ein wenig umgewandelt – sonst hält mich schließlich Google für den ständigen Plagiator und senkt meinen Page-Rank. (Mhm… ich finde, da sollten die sich mal was einfallen lassen….). Here we go:

Rechtliche Hinweise zum Bloggen: Impressum und Datenschutz

Mittlerweile weiß fast jeder Blog-Betreiber, dass er – so er denn keinen rein privaten Blog betreibt (und privat meint p-r-i-v-at) – ein ordentliches Impressum vorhalten muss. Doch dass es neben der allgemeinen Impressumspflicht noch weitere Informationenpflichten und Datenschutzbestimmungen zu beachten gilt, wird immer noch gerne verdrängt, bzw. ganz offensichtlich als nicht so wichtig erachtet. Dabei lohnt es sich im wahrsten Sinne des Wortes, sich auch die nächsten Zeilen zu Gemüte zu führen.

Denn schließlich einmal stellen Verstöße gegen die Impressumspflicht oder bestimmte Datenschutzbestimmungen Ordnungswidrigkeiten dar, die mit Bußgeldern von bis zu 50.000 EUR (sic!) belegt sind.  Des Weiteren sind Wettbewerber und Verbraucherschutzverbände berechtigt, rechtswidrige Zustände abzumahnen. Voraussetzung hierfür ist allerdings, dass nicht nur eine Verletzung des Datenschutzrechts gegeben ist, sondern diese Rechtsverletzung muss auch einen Wettbewerbsbezug aufweisen können. Einen solchen Wettbewerbsbezug hat das LG Berlin (Az. 91 O 25/11) gerade jüngst bei der (unrechtmäßigen?) Verwendung des Facebook Like-Buttons verneint und damit die Abmahnung eines Mitbewerbers in diesem Fall als unberechtigt angesehen. (Mehr zur Abmahnung wegen eines Facebook Like-Buttons gibt es hier.)

Sollte dem (Unternehmens-) Blogger jedoch erstmal eine Abmahnung ins Haus flattern, ist es meines Erachtens zunächst einmal gleichgültig, ob diese wegen des möglichen mangelnden wettbewerbsrechtlichen Zusammenhangs unberechtigt ist oder nicht. Denn der Blog-Betreiber muss sich mit der eingegangenen Abmahnung auseinandersetzen. Das kostet neben der darauf zu verwendenden Zeit und den Nerven auch noch gegebenenfalls die Gebühren des eigenen Anwalts. Kostenlos bleibt allerdings die mit einem Bußgeldverfahren oder einer Abmahnung unter Umständen einhergehende negative PR-Kampagne, dass das Unternehmen ABC GmbH nicht sorgsam mit den Daten seiner User umgehe. Wie schnell sich solche „Informationen“, ob wahr oder unwahr bleibt zunächst vollkommen dahingestellt, über die modernen Kommunikationskanäle  verbreitet, ist jedem bewusst, der sich mit Social Media auch nur im Ansatz beschäftigt. Gerade für Unternehmen, die in äußerst datensensiblen Bereichen tätig sind – wie die HR-Branche – können solche Begleiteffekte äußerst unangenehm werden. Schon zur Vermeidung dieses datenschutzrechtlichen „Ärgers“ sollte die eigene Datenschutzerklärung mit der gebotenen Sorgfalt betrachtet werden (dazu sogleich noch mehr). Darüber hinaus sollten sich (nicht nur) Blogbetreiber vor Augen halten, dass Datenschutzerklärungen auch unter dem Aspekt der „vertrauensbildende Maßnahmen“ einen Gedanken wert sind.

Wie eingangs gesagt, sind die Blog-Betreiber in der Regel mit der Impressumspflicht vertraut und kennen daneben zum Teil auch die weiteren Unterrichtungspflichten. So muss bspw. in jedem Blog, der redaktionellen/journalistischen Charakter hat,  explizit der redaktionell Verantwortliche namentlich genannt werden. Die Nennung eines Unternehmens reicht hier nicht. Des Weiteren müssen die Unternehmen eine Umsatzsteuer-Identifikationsnummer angeben.

Hinsichtlich der Datenschutzerklärung und insbesondere dessen Umfangs herrscht jedoch oftmals leider die blanke Unwissenheit. So gilt es nicht nur über die eigene Datenerhebung und Verwendung, sondern auch die von Fremdanbietern, deren Dienste in Anspruch genommen werden, aufzuklären.

Dass es bspw. wenigstens der Hinweise zur Verwendung vom Google Analytics bedarf, ist schon noch einigen bekannt, da es den Nutzungsbedingungen von Google selbst zu entnehmen ist – was dort allerdings wie genau stehen muss und ob jetzt Google Analytics überhaupt datenschutzrechtlich konform einzusetzen ist oder aber der Dienst selber noch verändert werden muss, darüber streiten sich insbesondere der Hamburger Datenschutzbeauftragten und Google. Eine schöne chronologische Übersicht zur Streitentwicklung findet sich hier im Datenschutz-Blog. Und erst kürzlich hat das Innenministerium von Baden-Württemberg „Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z.B. Google Analytics“ herausgegeben. Diese sollten dringend gelesen und die weitere Entwicklung von all denjenigen, die Google Analytics (und andere Tracking-Tools) auf Ihren Webseiten verwenden, beobachtet werden.

Die datenschutzrechtliche Problematik des Facebook-Like-Buttons wird zwar schon seit längerem im Social Media Recht Blog und von anderen Kollegen sowie im Blog vonHamburg.de diskutiert, massiv wahrgenommen wurde dies von den Anwendern jedoch erst, als die Nachricht umging, dass die ersten Anwender von Facebook-Social-PlugInsabgemahnt worden wären bzw., dass die erste Gerichtsentscheidung ergangen sei. Der so-gut-wie Kollege Jens Ferner stellt hier übrigens ein PlugIn für WordPress zur Verfügung, mit dem sich seines Erachtens der Facebook-Like-Button datenschutzkonform einbauen lässt.

Und damit wären wir auch schon bei der von vielen Blog-Betreibern genutzten Software http://wordpress.com. WordPress verwendet jedoch wiederum das Anti-Spam-PlugIn Askimet. Dieser übermittelt eingegebene Daten der User an Server in die USA und dort werden diese Daten gespeichert. Auch über eine solche Datenweitergabe muss in der Datenschutzerklärung aufgeklärt werden.

Fazit

Die Datschutzerklärung sollte keinesfalls mit der Form der Stiefmütterlichkeit behandelt werden, die Aschenputtel erfahren durfte, bevor der Prinz sie heiratete…

In diesem Sinne , weiterhin viel Vergnügen beim Bloggen!

PS: Weitere Informationen zum Thema Datenschutz & Unternehmens-Communities sowie zu Datenschutz & Social PlugIns