Immer mehr Unternehmen beschäftigen sich damit, die Tools des Web 2.0 auch im Unternehmensalltag nutzbar zu machen und entsprechende Anwendungen ins eigene Intranet zu integrieren. Neben Mitarbeiter- & Projektblogs, unternehmensinternen Wikis oder Social Networks, können auch Empfehlungs- oder Bewertungsfunktionalitäten, Social Bookmarking Anwendungen oder RSS-Reader wertvolle Dienste leisten.

Der oft auch als Enterprise 2.0 bezeichnete Einsatz von Werkzeugen des Web 2.0 im Unternehmen wird beispielsweise von Wikipedia wie folgt definiert:

Enterprise 2.0 bezeichnet den Einsatz von Sozialer Software zur Projektkoordination, zum Wissensmanagement und zur Innen- und Außenkommunikation in Unternehmen. Diese Werkzeuge fördern den freien Wissensaustausch unter den Mitarbeitern, sie erfordern ihn aber auch, um sinnvoll zu funktionieren. Der Begriff umfasst daher nicht nur die Tools selbst, sondern auch eine Tendenz der Unternehmenskultur – weg von der hierarchischen, zentralen Steuerung und hin zur autonomen Selbststeuerung von Teams, die von Managern eher moderiert als geführt werden.

Bereits diese Definition zeigt deutlich, dass gerade beim Einsatz der genannten Funktionalitäten im Unternehmen einige rechtliche Implikationen zu beachten sind. Neben urheberrechtlichen Gesichtspunkten haben die Unternehmen insbesondere auch arbeits- und datenschutzrechtliche Regelungen im Auge zu behalten. Neben elementaren Gesichtspunkten wie dem „loslassen können“ von Seiten der Unternehmensführung und dem Aufbau einer möglichst dezentralen Struktur ist ein rechtlich abgesichertes Konzept – nicht zuletzt um auch internen Bedenken Einzelner entgegenzuwirken – ein wesentlicher Erfolgsfaktor für die Integration von Enterprise 2.0 Lösungen im Unternehmen.

Den nachfolgenden Ausführungen zu weiteren Einzelheiten sei jedoch gleich vorausgeschickt, dass Unternehmen vor dem Einsatz solcher innovativer und effizienzsteigernder Werkzeuge und den jeweiligen kollaborative Möglichkeiten keinesfalls aufgrund (oft eher unspezifischer) rechtlicher Hindernisse zurückschrecken sollten.

Auch wenn in diesem Bereich einiges noch nicht abschließend geklärt ist, sind etwaige rechtliche Risiken bei Beachtung der wesentlichen Grundsätze, mit denen ich mich nachfolgend auseinandersetzen möchte, absolut kontrollierbar. Rechtlichen Einwänden, die bisweilen von einzelnen Mitarbeitern oder oft auch seitens des Betriebsrates geäußert werden, kann mit entsprechenden Regelungen und Sicherheitsvorkehrungen Sorge getragen werden und oft können vorherige Bedenken durch Aufklärung und entsprechende Erfahrungswerte ausgeräumt werden.

Zudem werden mittlere und größere Unternehmen früher oder später nicht umhin kommen, sich mit den neuen Tools zu beschäftigen (vielleicht sogar als besondere Chance in der derzeitigen Wirtschaftskrise). Berichte verschiedener Intranetverantwortlicher größerer Unternehmen (wie z.B. adidas, IBM oder der Deutschen Bank) zeigen, dass in vielen Unternehmen an der Integration von Enterprise 2.0 Anwendungen gearbeitet wird bzw. diese schon mehr oder weniger erfolgreich im Unternehmen eingesetzt werden. Aufgrund verschiedener Analysen kann man sagen, dass zahlreiche Unternehmen in Amerika offensichtlich schon deutlich weiter sind.

I. Rechtlich relevante Themen

Im Zusammenhang mit Enterprise 2.0 sind verschiedene Rechtsthemen von Relevanz, die bisweilen durcheinandergebracht werden.

Deshalb nun zunächst einmal eine Übersicht der Bereiche, die beachtet werden sollten und die in diesem Beitrag sowie in dem nächsten abgearbeitet werden sollen:

• Datenschutzrecht
• Datensicherheit
• Urheberrecht
• Recht am eigenen Bild
• Arbeitsrecht
• Praxishinweise und Zusammenfassung

Nach Erläuterung der jeweiligen Grundsätze werde ich am Ende der Beitragsreihe anhand der vorhergehenden Überlegungen auf einige Praxisfälle und deren rechtliche Bewertung näher eingehen.

1. Datenschutz

a) Grundlagen

Die im internationalen Vergleich mit einem hohen Schutzstandard ausgestatteten nationalen Datenschutzgesetze dienen dem Schutz eines jeden des Rechts auf informationelle Selbstbestimmung. Jeder soll also darüber bestimmen können, was mit sogenannten personenbezogenen Daten passieren darf.

Personenbezogene Daten sind jegliche Informationen, die einer bestimmten oder bestimmbaren natürlichen Person (ggfls. mit Hilfe Dritter) zugeordnet werden können. Dies sind neben Namen, Postadresse, eMail-Adresse, auch Beruf, Hobbies, Fehlzeiten, Informationen aus der Personalakte und noch vieles mehr. Im Gegensatz zum gesetzlich festgelegten Schutz von personenbezogenen Daten ist der Umgang mit sonstigen, also anonymen Daten grundsätzlich nicht beschränkt

Das Thema Datenschutz wird im Zusammenhang mit vielen Enterprise 2.0 Tools, wie z.B. der Einführung eines internen Social Networks oder eines internen Wikis relevant. Oft wird schon die Frage gestellt, ob man Informationen über die eigenen Mitarbeiter einfach im Intranet in Form von YellowPages oder eben eines entsprechenden internen Social Networks veröffentlichen darf.

Da es (jedenfalls derzeit) bis auf das Erforderlichkeitsprinzip des § 32 BDSG keine spezifischeren Regeln zum Arbeitnehmerdatenschutz gibt, ist datenschutzrechtlich ansonsten auf die allgemeinen Gesetze also das Bundesdatenschutzgesetz (BDSG), die Landesdatenschutzgesetze und das Telemediengesetz (TMG) zurückzugreifen.

Im Datenschutzrecht gilt ein Verbot mit einem sogenannten Erlaubnisvorbehalt. Personenbezogenen Daten (Definition siehe oben) darf man also grundsätzlich nicht speichern oder sonstwie verarbeiten, wenn dies nicht entweder von einer gesetzlichen Vorschrift ausdrücklich erlaubt ist oder der jeweilige Betroffene der jeweiligen Datennutzung ausdrücklich zugestimmt hat.

Im Bereich des Enterprise 2.0 kommen nur § 28 Abs.1 Nr.2 BDSG oder eben eine ausdrückliche Zustimmung des jeweiligen Arbeitnehmers (§ 4a BDSG) als Legitimation für eine entsprechende Datennutzung in Betracht.

§ 28 Abs.1 Nr.2 BDSG erlaubt eine Nutzung und Verarbeitung personenbezogener Daten des Arbeitnehmers, soweit es zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegen.

Diese Hürde ist für den Arbeitgeber nicht immer einfach zu nehmen. Hier erfolgt regelmäßig zunächst die Prüfung, ob die spezifische Datennutzung tatsächlich erforderlich ist, um dann zwischen den Kontrollrechten des Arbeitgebers und den Persönlichkeitsinteressen des jeweiligen Arbeitnehmers abzuwägen.

Legitime Unternehmensinteressen sind in aller Regel Kosten- und Wirtschaftlichkeitskontrolle. Während sich auf Grundlage der aktuellen Rechtsprechung ein „einfaches“ unternehmensinternes Expertenverzeichnis (sogenannte Yellow Pages oder BluePages bei IBM) mit unternehmensspezifischen Einzelangaben des jeweiligen Mitarbeites (Name, Vorname, Aufgabenbereich u.ä.) über die legitimen Unternehmensinteressen wohl gut rechtfertigen lässt, ist dies für ein unternehmensinternes Social Network mit den üblichen umfangreicheren Funktionalitäten eher fraglich. Hier werden die Gerichte im Interesse des Arbeitnehmerdatenschutzes ohne entsprechende Zustimmung des jeweiligen Betroffenen in der Regel von einer Unzulässigkeit der Datennutzung ausgehen. Im übrigen besteht in diesem Bereich oft ein Mitbestimmungsrecht des Betriebsrates, der – nach meiner Erfahrung – aber ohnehin frühzeitig mit ins Boot geholt werden sollte, um auch seine Interessen einzubringen (dazu aber im arbeitsrechtlichen Beitrag später mehr).

Da § 28 Abs.1 Nr.2 BDSG die Einführung eines entsprechend vielfältig einsetzbaren Social Networks in aller Regel nicht rechtfertigen können wird, sollte jeweils die Einwilligung der Arbeitnehmer zur Datennutzung eingeholt werden.

Die Einholung der Einwilligung zur Verarbeitung personenbezogener Daten kann z.B. zu Beginn eines Arbeitsverhältnisses im Zusammenhang mit dem Abschluss des Arbeitsvertrages, im Rahmen einer Betriebsvereinbarung eingeholt werden oder beim ersten Zugang zum jeweiligen Enterprise 2.0 Tool über die Zustimmung zu einer entsprechenden Datenschutzerklärung (so wie es eigentlich jeder bei der Anmeldung bei entsprechenden Plattformen im Internet kennt). Wichtig ist dabei, dass der Arbeitnehmer umfassend aufgeklärt wird, frei entscheiden kann und kein Zwang ausgeübt wird.

Bei Berücksichtigung dieser Voraussetzungen dürften jedenfalls aus datenschutzrechtlicher Sicht keine Bedenken bestehen.

b) Sonderproblem: Datenübertragung ins Ausland

Bei vielen Konzernen, die Standorte in verschiedenen Ländern haben, stellt sich bisweilen noch das Problem das personenbezogene Daten ins Ausland übertragen und teilweise auch dort verarbeitet werden. Auch dabei muss der Arbeitgeber natürlich die Vorgaben des BDSG beachten. Zum einen muss natürlich auch insoweit der Arbeitnehmer informiert werden. Ansonsten ist darauf zu achten, dass im Ausland ein entsprechendes Datenschutzniveau gilt. Während dies ist im EU-Ausland weitestgehend gewährleistet ist, sollte bei anderen Ländern (wie auch den USA) z.B. über eine entsprechende Vereinbarung die Einhaltung der sogenannten Safe Harbor Principles gewährleistet werden.

c) Datensicherheit

In Abgrenzung zum Datenschutz, dessen wesentliche Punkte oben abgehandelt wurden, sind bei Einsatz solcher Enterprise 2.0 Tools unter bestimmten Voraussetzungen auch bestimmte Vorgaben zur Datensicherheit, also dem (eher technischen) Schutz der Daten gegen unbefugten Zugriff, zu beachten.

Bei einer entsprechenden Mitarbeiterzahl bzw. wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden, sind gemäß § 9 BDSG die technischen und organisatorische Maßnahmen zur angemessenen Sicherung der Daten zu treffen.

Darunter fallen insbesondere Vorgaben bezüglich

? Zutrittskontrolle
? Zugangskontrolle
? Zugriffskontrolle
? Weitergabekontrolle
? Eingabekontrolle
? Auftragskontrolle
? Verfügbarkeitskontrolle
? Trennungskontrolle

aber auch die Beachtung bestimmter Löschungsfristen.

d) Zusammenfassung und Praxishinweise zum Datenschutz

Selbst wenn die oben stehenden Hinweise erst einmal so erscheinen, als stünden dem Einsatz von Werkzeugen wie Social Networks oder Wikis in Unternehmen eine Vielzahl datenschutzrechtlicher Bedenken im Wege, so zeigt sich in der Umsetzung, dass die meisten Themen sich bei der Beachtung einiger weniger Grundsätze und dem strukturierten Ablauf eines einführenden Projekts als absolut machbar darstellen. Die Vorteile wiegen den Aufwand aus meiner Sicht zumindest mittelfristig ohne weiteres auf.

Im Bereich des Datenschutzes empfiehlt sich aus meiner Sicht die Führung eines sogenannten Verfahrensverzeichnisses, also einer Dokumentation über die Art der Datenverarbeitung und etwaiger Datenschutzmaßnahmen. Die Erstellung eines solchen Verfahrensverzeichnisses führt zu einer sinnvollen Gesamtbetrachtung aller datenschutzrechtlich relevanten Vorgänge und sorgt damit nicht nur für eine entsprechende Selbstkontrolle, sondern auch für Transparenz gegenüber den eigenen Arbeitnehmern und dem Betriebsrat und nicht zuletzt für eine rechtliche Absicherung des Unternehmens, der Geschäftsleitung und des Datenschutzbeauftragten.

Meine Empfehlungen zu diesem Themenkomplex sind also

• Aufklärung und Einholung der Zustimmung der Arbeitnehmer über Nutzungsbedingungen oder Arbeitsvertrag
• Frühzeitige Einbindung des Betriebsrates
• Beachtung der technischen und organisatorischen Vorgaben zur Datensicherheit
• Transparenz und Dokumentation durch Führung eines Verfahrensverzeichnisses

Siehe auch:

Enterprise 2.0 & Recht – 2.TEIL Urheberrecht und Recht am eigenen Bild
Enterprise 2.0 & Recht – 3.TEIL Arbeitsrecht und Zusammenfassung