Aus dem Unterricht vom CAS Mobile Business & Ecosystems mit Oliver Staffelbach berichtet Andrea-Peter Schlegel.

Mit den Cloud Lösungen und den mobilen Endgeräten steht den Anwendern eine Vielzahl von Informations- und Austauschplattformen zur jeder Zeit und an jedem Ort zur Verfügung. Für die Anwender stellt dies die Erfüllung der Träume dar: auf die Information kann von überall und zu jederzeit zugegriffen werden, Aktivitäten können kommentiert werden und Daten auf einfachste Weise weitergereicht werden. Für die Unternehmungen jedoch generiert diese Freiheit zwei grundlegende Problemstellungen:

  1. Die Informationsströme sind vielseitig und durch die Unternehmungen nicht mehr kontrollierbar
  2. Die eigentliche Relevanz der Datenströme hat zugenommen

Die Unternehmungen stehen dabei vor der Herausforderung, alle präventiven Massnahmen zur Verhinderung von Ereignissen zu ergreifen. Gleichzeitig sind auch repressive Massnahmen notwendig, welche nach dem Eintreten eines Ereignisses angewendet werden können.

Dabei definieren die Social Media Richtlinien die verbindlichen Nutzungsregeln hinsichtlich dem gewährten bzw. gewünschten Freiraum und den notwendigen Einschränkungen. In der Definition des Erlaubten/Unerlaubten ist unbedingt der Konsens des Management einzufordern! Mit Social Media Richtlinien sollen:

  • die Schädigung des guten Rufes des Arbeitgebers verhindert werden
  • Haftungsrisiken minimiert oder ausgeschlossen werden
  • die Verletzung von Geschäftsgeheimnisse verhindert werden
  • die Verschwendung von Arbeitszeit verhindert werden

Das Device Management ist dazu ausgelegt, die Nutzung von privaten Geräten in Unternehmen bzw. die Nutzung von Unternehmensgeräten im privaten Umfeld zu regeln. Das Device-Management kann sowohl reglementarische, wie auch technische Komponenten beinhalten und definiert:

  • die Zugriffsarten und Zugriffsberechtigungen
  • die Datenablagen und Datenspeicherorte
  • die Nutzung von Services und Softwaren (inkl. Lizenzierung)
  • die erlaubten Gerätetypen
  • die Überwachungs- und Kontrollaktivitäten

Regelmässige Schulungen schaffen bei den Anwendern das notwendige Bewusstsein und Kontrollen prüfen die Einhaltung der Richtlinien. Es gilt zu beachten, dass Kontrollen nur stichprobenartig und nur in Verdachtsfällen durchgeführt werden dürfen.

Fremde Inhalte

Die Nutzung fremder Inhalte zu eigenen Zwecken untersteht den drei Rechtsquellen:

  • Persönlichkeitsschutzrecht
    Es gilt prinzipiell immer das Recht am eigenen Bild: die abgebildeten Personen entschieden wie ein Bild aufgenommen und veröffentlich werden darf. Aus diesem Grund dürfen nur Fotos veröffentlicht werden, wenn die darauf abgebildeten ihr Einverständnis gegeben haben. Ausnahmen bilden Personen des öffentlichen Interesses, welche aber nicht in Zusammenhang mit Produkten oder Dienstleistungen gebracht werden dürfen.
  • Urheberrecht
    Das Urheberrecht gilt, sobald ein individueller, kreativer und schöpferischer Charakter besteht und umfasst die folgenden Werkkategorien:
    1. Bilder
    2. Photo
    3. Texte
    4. Musik
    5. Videos
    6. Weitere
  • Markenschutzgesetz
    Umfasst den Schutz von eingetragenen Marken

Content auf eigenen Plattformen

Verfügt eine Unternehmung über eigene Daten-Plattformen, auf welchen der User Generated Content abgelegt wird, ist entscheidend, wie die Verantwortlichkeiten und Nutzungsbedingungen geregelt sind. Folgende Grundvoraussetzungen sind zu schaffen:

Eigene Plattform

  1. Ansprechstelle/Meldestelle für Verstösse und zur Löschung von Content schaffen
  2. Nutzungsbedingungen erstellen, in welchen Besitz- und Nutzungsrecht geregelt werden (welche Inhalte gehören dem Ersteller, dem Plattformbetreiber und welche dem Auftraggeber)
  3. Verantwortlichkeit des Plattformbetreibers definieren, bei groben Verletzungen kann der Plattformbetreiber allenfalls zur Rechenschaft gezogen werden

Content auf Drittplattformen

Bei der Nutzung von Drittplattformen (u.a. Cloud-Lösungen) ist zusätzlich entscheidend:

Drittplattform

  1. Welche Daten dürfen das Unternehmen verlassen? Es ist Compliance notwendig bezüglich Speicherort der Daten, Klassifizierung der Daten und Einhaltung regulatorischer Vorgaben
  2. Vertragsverhältnisse und Vereinbarungen zwischen Nutzern und Plattformbetreibern und deren Rahmenbedingungen

Persönlichkeitsschutzrecht

Die Anonymität und die Distanz zur physischen Welt erwecken noch immer den Eindruck, dass das Internet als ein rechtsfreier Raum empfunden wird. Im Internet gelten aber dieselben Regeln wie in der analogen Welt. Die Rechtsquellen für Persönlichkeitsverletzungen im Internet bilden in der Schweiz:

Persönlichkeitsverletzungen unterschieden sich in zwei Teilbereiche:

  • Falsche Tatsachen: eindeutige und nachweisbare Fakten
  • Werteurteil: unnötige verletzende und beleidigende Angriff auf eine Person
    (Wichtige Differenzierung: das Werteurteil ermöglicht gleichzeitig die freie Meinungsäusserung. aber: Bereits Kraftausdrücke können trotz Meinungsäusserungsfreiheit bereits eine Persönlichkeitsverletzung darstellen)

Den Betroffenen von Persönlichkeitsverletzungen stehen mehrere Instrumente zur Verfügung:

  1. Verwarnschreiben
  2. Zivilrechtliche Klage: Klagen auf Unterlassung, Feststellung, Schadenersatz oder Genugtuung)
  3. Strafrechtliche Klagen

Grundsätzlich besteht das Recht auf Vergessen, es handelt sich aber nicht um ein absolutes Recht. Siehe auch: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/erlaeuterungen-zum-recht-auf-vergessen.html

Grosse Internet-Plattformen verpflichten sich, Einträge auf begründeten Anfragen hin zu löschen oder den Zugriff auf die entsprechenden Suchergebnisse zu unterbinden. Es gibt aktuell keine verbindliche gesetzliche Grundlage, welche eine vollständige Löschung von Einträgen durchsetzen könnte. Damit bleibt der Umfang der Löschung im Ermessenspielraum der entsprechenden Konzerne.

Datenschutzrecht

Das Datenschutzgesetz regelt den Umgang und die Bearbeitung von Personendaten. Die Bearbeitung unterliegt den Grundsätzen:

  1. Rechtmässigkeit: Rechtfertigungsgründe wie Gesetze, Einwilligung, überwiegendes Interesse
  2. Verhältnismässigkeit: soviel wie nötig, so wenig wie möglich (Umfang/Inhalt, Dauer/Zugang/Art der Bearbeitung)
  3. Zweckbindung: Zweck, der bei der Erhebung transparent war (Zweckänderung benötigt Rechtfertigungsgrund)
  4. Erkennbarkeit: Zweck der Datenbeschaffung muss erkennbar sein, bei Personendaten besteht Informationspflicht
  5. Verantwortlichkeit: die Datenbearbeitung muss nachvollziehbar sein, zugerechnet werden können, die Verantwortlichkeit muss geregelt sein (für die künstliche Intelligenz bedeutet dies: eine Verantwortlichkeit kann keiner Maschine zugeordnet werden)
  6. Informationssicherheit: Organisatorische und technische Massnahmen (müssen dem aktuellen Stand der Technik entsprechen und Verhältnismässig sein)
  7. Kontrolle: Auskunftsrecht und Widerspruchsrecht, Berichtigungen und Löschungen

Und wie finde ich heraus, ob ich Personendaten bearbeiten darf? Dieses Flowchart hilft bei der Beurteilung!

DSG

Danke Oliver für diesen Nachmittag! Du hast es geschafft Dein Fachgebiet spannend, unterhaltsam, äusserst kompetent und sehr praxisbezogen zu vermitteln! Gerne hätten wir Dir noch länger zugehört und Dich mit noch mehr Fragen gelöchert….!!