Nutzung von UC und Social Media

Collaboration-Tools absolut rechtssicher?

IT-Verantwortliche sollten bei der Nutzung von Unified Communications (UC) und Social Media Vorsicht walten lassen: Denn werden hierbei wichtige Informationen nicht adäquat ­dokumentiert, kann man rechtlich schnell in die Bredouille geraten.

UC, Bildquelle: Proofpoint

Mehr als 37 Millionen Deutsche nutzen mindestens ein soziales Netzwerk. Das sind drei Viertel aller Internetnutzer, nahezu jeder unter 30 Jahren und verstärkt Menschen über 50. Der Austausch von Informationen und Inhalten geschieht jedoch nicht nur privat, sondern auch im geschäftlichen Umfeld, hier auch als Social Enterprise oder Social Business bezeichnet. Zahlreiche Firmen entwickeln und nutzen Analysen, Collaboration-Tools und Plattformen zur Verbesserung von Arbeitsabläufen und Innovationsförderung – dies auch zunehmend im Zusammenhang mit ihren Kunden und Anwendern in Form von „Open Innovation“ und Crowdsourcing.

Untersuchungen zufolge nutzt knapp die Hälfte aller deutschen Unternehmen Social Tools, unabhängig von der Firmengröße. Laut Gartner sind besonders im Handel Collaboration-Tools, soziale Netzwerke wie Yammer oder Instant Messenger wie Facebook-Chat im Einsatz. Firmen, die auf solche Tools verzichten, geben oft Unklarheiten über das Datenschutz- und Arbeitsrecht sowie rechtliche und technische Unsicherheiten über die Cloud als Grund an.

Was ist mit der Compliance?

Was bei Social Tools allerdings noch wenig beachtet wird, ist die rechtliche Bewertung der stattfindenden Kommunikation. Unternehmen mit vielen Standorten nutzen soziale Plattformen in einem Umfang, der die E-Mail als zeitverzögertes Tool verdrängt – aus eben diesem Grund. In Branchen, in denen im Minutentakt Entscheidungen getroffen werden, ist die E-Mail zu langsam und unflexibel. Ein Dialog per Instant Messenger ist schneller, ein internes Forum oder Wiki deutlich dynamischer.

Für den Fall einer Datenprüfung müssen jedoch selbstverständlich alle geschäftlichen Dokumente – ob digital oder in Papierform – umfassend archiviert werden. Das kann beispielsweise bei einer Finanzprüfung passieren, einem SOX-Audit oder einem Rechtsstreit. Der Vorwurf der Preisabsprache, des Insiderhandels oder illegaler Aktivitäten kann mit der lückenlosen Archivierung aller Kommunikationskanäle schlüssig entkräftet werden.

Rechtslage in den USA

In den USA sind aufgrund dieser notwendigen Nachverfolgbarkeit neben anderem Finanzunternehmen verpflichtet, jede elektronische Kommunikation bis zur Löschfrist zu archivieren. Die US-amerikanische Börsenaufsichtsbehörde (SEC) sowie die Regulierungsbehörde für die Finanzindustrie (FINRA) prüfen diese Aufbewahrungen strikt und bestrafen Unternehmen bei Missachtung der Bestimmungen mit empfindlichen Geldstrafen.

Erweitert wurden die Regularien nach der Wirtschaftskrise 2007, um wieder Transparenz bei der Entscheidungsfindung zu schaffen und das Vertrauen in Kreditunternehmen wiederherzustellen. Schließlich ist es das Geld privater Anleger, das für teils undurchsichtige Transaktionen genutzt wurde. Die Regularien zur Archivierung elektronischer Kommunikation sollen somit jegliche Form „verdeckter Finanzoperation“ von vornherein unterbinden oder nachweisbar machen.

Situation in Deutschland

In Deutschland sieht das Bundesdatenschutzgesetz (BDSG) eine allgemeine Formulierung vor und beschreibt die Pflichten zur Aufbewahrung, nicht jedoch die Umsetzung. Genau hier liegt leider auch das Pro-blem, da viele Firmen gar nicht wissen, was genau sie aufbewahren müssen. Das Unwissen entbindet sie jedoch nicht von der Pflicht. Es gelten im Grunde auch hier die von SEC und FINRA festgelegten Regularien.

Zusätzlich sind die Unternehmen seit 2009 per § 42a S. 4 des BDSG dazu verpflichtet, Verstöße selbst an die Datenschutzbehörde zu melden. Geschieht dies nicht oder ist keine präventive Maßnahme in Form eines archivierenden Systems im Einsatz, können daraus Schadenersatzansprüche entstehen. Diese Compliance-Aufgabe liegt rechtlich meist bei der Geschäftsführung. Folglich ist der Einsatz eines automatisierten Tools geradezu unabdingbar.

Wie und was archivieren?

Dass der eigentliche Archivierungsprozess in Echtzeit stattfindet, ist heute kein besonderes technisches Feature mehr, sondern Mindeststandard. Viel wichtiger ist es, dass neben Instant-Messaging-Aufzeichnungen auch an Collaboration-Projekte angehängte Dateien, Verweise im Intranet sowie Metadaten protokolliert werden. Die Bereitstellung mittels einer umfassenden und vor allem schnellen Suche wird heute mit Big-Data-Technologien ebenso umgesetzt wie die Aufbereitung von Statistiken über die Anzahl von Zugriffen auf Dateien mit bestimmten Geräten.

Bei Compliance ist ein Aspekt ebenso wichtig: die Unterscheidung zwischen privater und geschäftlicher Kommunikation. Entweder sieht das Unternehmen eine Trennung des Einsatzes der Tools vor, indem es Arbeitsgeräte und Zugriff beschränkt, oder es muss automatisch nach persönlichen und geschäftlichen Daten gefiltert werden. Private Nachrichten fallen unter das Persönlichkeitsrecht und wären zudem für die Nachverfolgung aus rechtlicher Sicht irrelevant. Es gilt eine Lösung zu finden, die sowohl Arbeitgeber und Arbeitnehmer als auch den Gesetzgeber zufriedenstellt.

 

Glossar – wichtige Rechtsbegriffe

Bundesdatenschutzgesetz (BDSG) – Das deutsche Bundesdatenschutzgesetz sieht Verordnungen zum Umgang mit Perso­nendaten vor, die mit IT-Systemen oder manuell verarbeitet werden. 2009 kamen drei Novellen hinzu, die die Auskunft, vor allen Dingen von Finanzinstituten, neu regeln.
Financial Industry Regulatory Authority (FINRA) Die Genehmigungsbehörde FINRA in Washington, D.C., beaufsichtigt Personen und Transaktionen in der Wertpapierbranche. Alle Unternehmen der Wertpapierbranche müssen Mitglied einer Regulierungsbehörde sein, um handeln zu dürfen.
Sarbanes-Oxley Act (SOX) – Das US-Bundesgesetz soll die Auskunft von börsennotierten Unternehmen transparent machen. Die Prüfungen (SOX-Audits) werden auch bei Zweigstellen US-amerikanischer Unternehmen im Ausland durchgeführt, um die vollständige Einhaltung der Regulierungen zu gewährleisten.
U.S. Securities and Exchange Commission (SEC) – Die Börsenaufsichtsbehörde kontrolliert den Wertpapierhandel in den Vereinigten Staaten. Entstanden nach der ersten Weltwirtschaftskrise 1934, hat sie nach der jüngsten die Regularien für Kommunikation und Auskunft angepasst.

Quelle: Proofpoint

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok