Arbeitsrecht, Datenschutz, Schleichwerbung: Was Markenbotschafter und Unternehmen wissen müssen

Großer Ratgeber in 23 Fragen, beantwortet von Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks

Markenbotschafter, also Köpfe aus dem Unternehmen, die für dessen Werte einstehen und für Sichtbarkeit von Inhalten sorgen, gewinnen in Zeiten der Informationsüberflutung immer weiter an Bedeutung. Doch immer dann, wenn Menschen sich – ob digital oder in physischen Auftritten – sichtbar machen, hat dies auch rechtliche Aspekte. Arbeitsrecht, Datenschutz und Persönlichkeitsrechte gehören dazu. Worauf müssen Unternehmen achten, wenn sie auf sichtbare Vertreter setzen? Welche juristischen Informationen brauchen Führungskräfte und alle anderen Mitarbeiterinnen und Mitarbeiter, wenn sie sich für ihren Arbeitgeber stark machen? Wo droht Gefahr? Was wird häufig vergessen? Welchen Risiken kann man gut vorbeugen? Rechtsanwältin Nina Diercks hat mir insgesamt 23 Fragen ausführlich beantwortet.

Frage: Ein Unternehmen will seine Mitarbeiterinnen und Mitarbeiter ermutigen, sich aktiv als Markenbotschafter zu engagieren. Dazu gehören beispielsweise Mitarbeiter-Autor(inn)en im Corporate Blog, aber auch Sichtbarkeit in sozialen Netzwerken. Beispielsweise wird der Arbeitgeber im Facebook-Profil genannt. Postings von der Firmen-Website und der Facebook-Fanpage werden im eigenen Profil geteilt. Es werden vielleicht auch Fotos von Veranstaltungen des Unternehmens gepostet oder von einer Messe berichtet. Welche rechtlichen Aspekte sind dabei unbedingt zu beachten?

Nina Diercks: Tatsächlich sind bei einer ordentlichen Umsetzung des Themas wesentlich mehr Aspekte zu betrachten als dem Arbeitgeber beziehungsweise den für die Digitalstrategie Verantwortlichen regelmäßig bewusst ist. Unternehmen müssen sich mit verbindlichen Richtlinien (beziehungsweise Betriebsvereinbarungen) auseinandersetzen. Dazu gehören etwa die folgenden:

  • IT-, E-Mail-, Internet-Richtlinien
  • Social Media Richtlinien
  • Geräte-Richtlinien
  • BYOD-Device („Bring your own device“ – also die berufliche Nutzung eigener Geräte, etwa Smartphones)

Daneben muss natürlich dringend ein Blick in die

  • Arbeitsverträge geworfen

und sich mit den

  • wettbewerbsrechtlichen Grundlagen zur Kennzeichnungspflicht von Werbung sowie den
  • Grundsätzen des Urheberrechts

auseinander gesetzt werden.

Frage: Dass bestimmte betriebliche Regeln im Web genauso eingehalten werden müssen wie anderswo in der Öffentlichkeit, sollte jedem klar sein. So gelten ja beispielsweise Geheimhaltungsvereinbarungen aus dem Arbeitsvertrag unabhängig von Medien. Und viele andere Regelungen ergeben sich aus dem Gesetz, beispielsweise im Urheberrecht oder im Persönlichkeitsrecht. Zum Beispiel darf niemand einfach Kollegen im Unternehmen fotografieren und die Bilder in Social Media Accounts beispielsweise zu Zwecken des Employer Brandings posten. Kann ich es denn als Arbeitgeber dem Mitarbeiter oder der Mitarbeiterin selbst überlassen, betriebliche Regeln und Vereinbarungen aus dem Arbeitsvertrag auf das Agieren in sozialen Netzwerken zu übertragen? Oder ist der Arbeitgeber verpflichtet, hier aktiv zu informieren?

Nina Diercks: Damit sollte der Arbeitgeber die Mitarbeiter im eigenen Interesse nicht alleinlassen. Das Beispiel mit den Fotos von Kollegen ist sehr schön. Regelmäßig wissen die Mitarbeiter eben zu wenig über die rechtlichen Grundlagen im Bereich digitaler Kommunikation und holen hier zum Beispiel nicht die notwendige Einwilligung von Mitarbeitern ab. Eine solche ist aber zwingend.

Ebenso kann das Unternehmen für Rechtsfehler eines Mitarbeiters voll umfänglich in die Verantwortung genommen werden, wenn das Unternehmen nicht nachweisen kann, dass es den Mitarbeiter über Schulungen und/oder Richtlinien hinsichtlich der Rechtslage aufgeklärt hat. So entschied zum Beispiel das LG Freiburg (Urteil vom 04. November 2013, Az. 12 O 83/13), dass ein Autohaus für eine wettbewerbswidrige Werbung eines Mitarbeiters für das Autohaus auf dessen privatem Profil einzustehen hatte, da der Mitarbeiter die Kontaktdaten des Autohauses im Posting angegeben hatte und das Posting damit nicht rein privat war, die Werbung in dem Posting dem Autohaus zu Gute kam und da das Autohaus nichts unternommen hatte, um eine solche Handlung von vornherein zu unterbinden.

Frage: Worauf müssen Unternehmen aus rechtlicher Sicht achten, wenn sie Regelwerke wie beispielsweise Social-Media-Guidelines erstellen?

Nina Diercks: Die meisten Arbeitgeber denken bei dem Thema „Mitarbeiter als Markenbotschafter“ an eine Social-Media-Guideline, also eine Übersicht, die etwa die „10  Do’s and Don’ts der Social-Media-Kommunikation erläutert. Darunter befinden sich zumeist Hinweise darauf, dass Geschäftsgeheimnisse natürlich auch im Social Web zu bewahren und geltende Gesetze, wie etwa das Urheberrecht, zu achten sind.

Diese Guidelines werden in das Firmenintranet gestellt oder jedem Mitarbeiter per E-Mail als pdf oder in Form eines kleinen Videos übermittelt. Als Beispiel mag hier die Social Media Guideline von DHL (Link zum PDF) dienen. Und das wohl bekannteste Video stammt von Tchibo und heißt „Herr Bohne geht ins Netz“.

Solche Guidelines sind als leicht verständliche Orientierung für die Mitarbeiter auch sehr gut und hilfreich – allein jedoch nicht genug. Denn hinter der digitalen Kommunikation von Mitarbeitern liegt die Nutzung der IT-Strukturen des Unternehmens. Und damit stellen sich Fragen zu arbeitsrechtlichen Belangen, zum Datenschutz und zur IT-Sicherheit die nicht getrennt voneinander zu betrachten sind und die sich auch nicht über eine unverbindliche Social-Media-Guideline lösen lassen.

Wichtiger Hinweis: Bitte haben Sie Verständnis dafür, dass wir hier in den Kommentaren unter diesem Beitrag keine einzelnen Rechtsfragen beratend beantworten können. Bitte wenden Sie sich für die Einzelfallberatung an eine Rechtsanwältin oder einen Rechtsanwalt Ihres Vertrauens. Am Schluss des Beitrags finden Sie auch die Kontaktdaten von Nina Diercks.

Frage: Das klingt sehr komplex, und nach meiner Erfahrung scheuen manche Entscheider den Aufwand, insbesondere in Unternehmen, in denen den sozialen Netzwerken (noch) keine große Bedeutung zugemessen wird. Ich höre daher oft die Frage: „Geht das nicht auch einfacher?“ 

Nina Diercks: Ich weiß, es wird nicht gern als solches wahrgenommen, aber digitale Unternehmenskommunikation ist ein handfestes Compliance-Thema. Das war es immer schon, bekommt aber mit der EU-Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 Geltung erlangt, noch einmal eine vollkommen neue Bedeutung. Es geht also gar nicht nur um Social Media, sondern alle Unternehmen sollten sich mit dem Thema digitale Kommunikation, auch im Zusammenhang mit Mitarbeiterinnen und Mitarbeitern auseinandersetzen. Das gilt unabhängig davon, wie sehr sie zum gegenwärtigen Zeitpunkt das Markenbotschafter-Thema aktiv nach vorne bringen. Du hast ja an anderer Stelle schon mehrfach beschrieben, dass Mitarbeiter ohnehin immer dann als Markenvertreter wahrgenommen werden, wenn man sie einem Arbeitgeber zuordnen kann. Da sich dies also gar nicht immer kontrollieren oder gar verhindern lässt, sind im Grunde alle Unternehmen betroffen.

Wir gehen jetzt mal der Reihe nach vor. Zunächst erläutere ich, warum verbindliche IT- und SocialMedia–Richtlinien gerade auch in der Arbeit mit Markenbotschaftern höchst relevant sind, um anschließend die Verbindung zur DSGVO herzustellen. – Hinweis: Bitte unbedingt weiterlesen. Es geht um mögliche Bußgelder von bis zu 10 beziehungsweise 20 Millionen EUR und eine persönliche Haftung der geschäftsführenden Organe!

Frage: Gut. Also als erstes: Was haben IT-Richtlinien mit Markenbotschaftern zu tun?

Ein Markenbotschafter soll bekanntermaßen authentisch agieren. Eine „persönliche“ Unternehmenskommunikation ist aber nicht möglich, wenn dem Mitarbeiter eine ausschließlich dienstliche Nutzung der IT-Infrastruktur (E-Mail, Internet, Server) erlaubt ist. Ich denke, wir alle wissen, dass eine Trennung von dienstlicher und privater Nutzung im Bereich der digitalen Kommunikation kaum mehr trennscharf möglich ist.

Als Beispiel mag hier eine öffentliche Äußerung eines Mitarbeiters über sein persönliches Facebook-Profil dienen, welche zwar keinen konkreten Unternehmensbezug aufweist, aber dennoch die Reputation des Mitarbeiters in der Öffentlichkeit aufgrund der Inhalte schärft. Eine solche Äußerung ist im Sinne der Markenbotschaft gewünscht und kaum als „privat“ einzustufen, auch wenn das Posting über den persönlichen Account erfolgte.

Daneben ist es nicht außergewöhnlich, dass eben dieser Mitarbeiter noch einmal schnell die letzten Punkte zum anstehenden Meeting mit dem Agenturchef per Facebook-Messenger klärt. Bei diesen Nachrichten kann es sich jedoch – ebenso wie bei E-Mails und sonstigen elektronischen Nachrichten – um Handels- und Geschäftsbriefe im Sinne des HGB handeln, welche der Aufbewahrungspflicht unterliegen und damit im Interesse der Revision liegen können.

Und da sind wir mittendrin in der Frage der dienstlichen und privaten Nutzung der IT-Infrastruktur eines Unternehmens.

Frage: Wo genau entsteht ein Problem, wenn die dienstliche wie private Nutzung nicht über IT-Richtlinien geregelt ist?

Nina Diercks: Das Problem liegt darin begründet, dass einerseits Persönlichkeitsrechtsverletzungen der Mitarbeiter im Raum stehen und andererseits das Unternehmen seinen Aufbewahrungs- und Revisionspflichten eben deswegen nicht nachkommen kann. (Achtung: Wieder das Thema Compliance!)

Ich nannte eben schon Beispiele für das Verschwimmen von privater und dienstlicher Nutzung. Das geht aber natürlich noch weiter. Schnell wird sich per E-Mail mit dem besten Freund auf ein Bier verabredet. Und der mittels des Firmenkopierers gezogene Scan vom Arztbericht wird auf dem Server-Platz des Mitarbeiters (sowie automatisch über den Scanner) gespeichert.

Aus Sicht der IT und damit des Arbeitgebers liegen damit private und dienstliche Daten auf den Servern nebeneinander. Wie praktisch, da kann die Personalabteilung den Mitarbeiter aufgrund des Arztberichtes ja gleich auf die anstehende Kur ansprechen! Aber ganz so einfach ist es natürlich nicht. Denn ein Arbeitnehmer gibt sein Persönlichkeitsrecht nicht am Firmentor ab.

Frage: Was muss der Arbeitgeber in Sachen Persönlichkeitsrecht beachten? Hat nicht der Mitarbeiter selbst die Verantwortung, wenn sie oder er private Daten in der Firma herumliegen lässt, ob nun digital oder auf Papier?

Zu diesem Persönlichkeitsrecht gehört auch das Recht auf informationelle Selbstbestimmung, also das Recht auf Datenschutz. Und dieses Recht hat der Arbeitgeber, aus gutem Grund, auch zu respektieren. Schließlich geht den Arbeitgeber der gesundheitliche Status erst einmal gar nichts an. Eine Sichtung dieser privaten Unterlagen stellte eine Persönlichkeitsrechtsverletzung des Mitarbeiters dar. Doch natürlich hat ein Unternehmen demgegenüber das Recht, seine eigenen Arbeitsunterlagen sichten, nutzen und eben archivieren zu können. Allerdings kann es diese Rechte beziehungsweise diesen Obliegenheiten aber bei einer ständig drohenden Persönlichkeitsrechtsverletzung des Arbeitnehmers nicht wahrnehmen respektive nicht im erforderlichen Rahmen nachkommen.

Relevant werden derartige Szenarien zum Beispiel, wenn ein Mitarbeiter unerwartet und/oder länger krankheitsbedingt ausfällt und Kollegen dringend an diese Arbeitsunterlagen gelangen müssen.

Wer nun denkt, hier werden gerade potemkinsche Drohkulissen aufgebaut, dem sei ein Blick etwa in die Entscheidung des LAG Berlin-Brandenburg vom 16.02.2011 – 4 Sa 2132/10 empfohlen, in dem eine Mitarbeiterin gegen den Zugriff des Arbeitgebers auf ihren E-Mail-Account und ihre Serverspeicherplätze klagte. Hier verlor die Mitarbeiterin den Prozess – aber nur weil das Unternehmen die private Nutzung von E-Mail, Internet und IT-Struktur hinreichend geregelt hatte.

Anders ausgedrückt: Die ungeregelte private Nutzung von IT-Infrastrukturen und Social Media ist ein Problem!

Frage: Was passiert, wenn ein Unternehmen diese Fragestellungen nicht über verbindliche Richtlinien oder Betriebsvereinbarungen regelt?

Nina Diercks: An dieser Stelle kommen – neben möglichen Verstößen gegen Archivierungspflichten – das BDSG und ab Mai 2018 vor allem die DSGVO ins Spiel. Zwischen Compliance, Arbeitsrecht und IT-Richtlinien existiert nämlich eine prägnante juristische Klammer. Diese nennt sich „technisch und organisatorisch Maßnahme“, kurz TOM. Sie findet sich in § 9 BDSG bzw. in Art. 32 DSGVO. Dort heißt es:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

IT-Richtlinien (ebenso wie Social Media, Geräte- und BYOD-Richtlinien) sind Teil der organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO. Sie verpflichten Mitarbeiter eines Unternehmens, Vorgaben zu IT-Sicherheitsstandards einzuhalten. Dazu gehören dann unter anderem Vorgaben zur privaten und dienstlichen Nutzung der Infrastruktur, zum Speichern von privaten und dienstlichen Daten, zum Anschluss von ungeschützten privaten Geräten (oder gar fremden USB-Sticks!) an das Firmennetzwerk.

Aber genauso sind hier – sinnvollerweise über Social-Media-Richtlinien – Fragestellungen zu behandeln, wie welche (gestaffelt nach Vertraulichkeitsstufen) Daten über (welche) Social Media Anwendungen verarbeitet werden dürfen, wie Reaktionsprozesse im Fall Empörungswellen aussehen müssen oder wie der Umgang von und mit Fehlern seitens des Mitarbeiters in der Kommunikation zu handhaben sind. Im Hinblick auf digitale Kommunikation wäre es übrigens auch denkbar unterschiedliche Richtlinien mit unterschiedlichen Freiräumen für die normalen Mitarbeiter und für vom Unternehmen ausgewählte Markenbotschafter vorzuhalten.

Derartige organisatorische Maßnahmen zur Datensicherheit müssen seitens des Unternehmens aufgrund der aus Art. 5 Abs. 2 DSGVO fließenden Rechenschaftspflicht nachgewiesen werden können. Und damit sind wir bei der Frage, was passiert, wenn man diese Fragestellung nicht über Richtlinien einer Regelung zuführt:

Frage: … nämlich?

Nina Diercks: Werden keine technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO getroffen und/oder können diese nicht nachgewiesen werden, drohen Bußgelder nach Art. 83 Abs. 4 a DSGVO in Höhe von bis zu 10 Millionen EUR oder bis zu 2 Prozent des weltweiten Jahresumsatzes und nach Art. 83 Abs. 5 in Höhe Höhe von bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Daneben haben betroffene Personen (wie etwa der Mitarbeiter) bei Persönlichkeitsrechtsverletzungen einen Anspruch auf materiellen wie immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO. Last but not least, die geschäftsführenden Organe stehen hier (auch) in der persönlichen Haftung.

Es ist wichtig zu verstehen, dass die digitale Kommunikation ein Thema ist, das unmittelbar mit der (digitalen) Compliance verbunden ist. IT-Sicherheit, Datenschutz und Arbeitsrecht müssen hier zusammen betrachtet werden. Schließlich nützt keinem Unternehmen eine Richtlinie, die arbeitsrechtlich nicht verbindlich implementiert und/oder im Ergebnis unwirksam ist. Denn das Unternehmen muss im konkreten Fall zur eigenen Entlastung nachweisen können, dass die Mitarbeiter entsprechende Richtlinien kannten und nachweislich zu befolgen hatte.

Frage: Das klingt nach sehr viel Arbeit für die Unternehmen. Ich frage sicherheitshalber noch einmal: Das muss alles sein, ganz gleich, ob Mitarbeiter(innen) aktiv zu Markenbotschaftern aufgebaut werden sollen, richtig?

Richtig. Das, was ich hier beschrieben habe, sind die Compliance-technischen Grundlagen, über die jedes Unternehmen schon nach der jetzt geltenden Rechtslage verfügen müsste. Dies gilt insbesondere dann, wenn die private Nutzung der IT-Infrastruktur in irgendeiner Form im Unternehmen erlaubt ist. Der Normalzustand ist allerdings immer noch, dass viele Unternehmen sich dieser Themenkomplexe nicht oder nur unzureichend angenommen haben. Zumeist wird die private Nutzung in irgendeiner Form geduldet, nicht weiter geregelt und nicht weiter problematisiert.

Das ändert sich meist erst dann, wenn das Kind schon einmal in den Brunnen gefallen ist. Etwa, weil es erhebliche Probleme mit der Kommunikation eines Mitarbeiters gegeben hat und es für diesen Fall keinerlei belastbare Regelungen gab. Oder weil – wie im oben genannten Fall des LAG Brandenburg – Streit über Zugriffe auf Daten der Mitarbeiter aufkommen. Im besseren Fall begegnen Unternehmen diesen Fragestellungen präventiv, etwa wenn sie die digitale Kommunikationsstrategie ausbauen und Mitarbeiter hierbei einbinden möchte. Denn in diesem Zusammenhang wird zumeist relativ schnell klar, dass es mit einer Liste von „Dos und Don’ts“ alleine nicht getan ist.

Daneben sorgt die anstehende DSGVO aus den genannten Gründen dafür, dass das Thema IT- (und Social Media) Richtlinien in den Fokus rückt.

Frage: Mancher kleine oder mittelständische Unternehmer sucht nun vielleicht nach einem Ausweg, um sich diesen ganzen Aufwand zu sparen. Ist das überhaupt möglich?

Nina Diercks: Ich muss hier mal eine positive Lanze brechen. Also, ganz davon abgesehen, dass die Gesetze – wie ausgeführt –  nun einmal entsprechende Richtlinien erfordern und man als Unternehmen ja auch kaum auf die Idee käme, die Abgabenordnung nicht zu beachten, nur weil man diese für zu bürokratisch hält, gibt es ganz praktisch Gründe sich mit dieser Art von Richtlinien auseinanderzusetzen.

Je intensiver sich ein Unternehmen mit der gewollten Nutzung von digitaler Kommunikation im Unternehmen auseinandersetzt, desto höher ist die Wahrscheinlichkeit, dass Richtlinien entstehen, die den konkreten Bedürfnissen der jeweiligen Unternehmen zupass kommen, die eine hohe Akzeptanz unter den Mitarbeitern finden und die somit Mitarbeitern wie Unternehmensführung Leitplanken und Sicherheit in der Arbeit geben. Anders formuliert: Gute Richtlinien sorgen dafür, dass von allen Seiten täglich frei aufgespielt werden kann!

Vor diesem Hintergrund ist die intensive Befassung mit Richtlinien im Hinblick auf IT- und Social Media Nutzung eben nicht „Arbeit“ aufgrund „bürokratischen Unsinns“, sondern schlichte Grundlagenarbeit zur Frage „Wie wollen wir mit unserem Unternehmen kommunizieren und wie sollen unsere Mitarbeiter kommunizieren können?“ Es geht also um Fragen der Kommunikation. Diese Ergebnisse des Unternehmens in belastbare, praxisnahe Richtlinien zu gießen, das ist dann Aufgabe des beratenden Anwalts.

Dass neben den notwendigen juristischen Dokumenten daneben leicht verständliche Leitfäden und Videos herausgegeben werden, sowie gegebenenfalls auch praxisnahe Schulungen erfolgen, sollte selbstverständlich sein.

Frage: Ich habe jetzt verstanden, dass diese Grundlagenarbeit wichtig ist. Aber kannst du für meine Leser nochmal konkreter erläutern, was bei der Arbeit mit Markenbotschaftern noch zu beachten ist?

Nina Diercks: Natürlich. Kommen wir mal auf den Fall zurück, in dem ein Mitarbeiter einen Corporate-Blog startet und/oder regelmäßig Beiträge dazu schreibt. In diesem Fall muss als allererstes ein Blick in den Arbeitsvertrag geworfen werden und zwar im Hinblick auf diese Fragen:

  • Was steht in der Tätigkeitsbeschreibung des Mitarbeiters?
  • Existiert eine Klausel zu den Rechten an Arbeitsergebnissen und wenn ja, was umfasst diese?

Arbeitsverträge erhalten regelmäßig Klauseln, die besagen, dass die Rechte an Arbeitsergebnissen, die im Rahmen des Arbeitsverhältnisses erbracht wurden, dem Arbeitgeber zu stehen und in das ausschließliche Recht des Arbeitgebers übergehen. Weiter gibt es eine dementsprechende Klausel in Bezug auf urheberrechtliche geschützte Arbeitsergebnisse.

Dreh- und Angelpunkt ist hier neben der Klausel zu den Rechten an Arbeitsergebnissen, ob das Schreiben von Blogbeiträgen zu Tätigkeit des Arbeitnehmers gehört. Ist das der Fall, so ist die Rechtefrage damit geklärt. Aber wenn nicht … dann gehen die Rechte ohne gesonderte Vereinbarung auch nicht auf den Arbeitgeber über.

Frage: Das heißt, es kann hier sogar zu einem Urheberrechtsstreit kommen?

Genau. Die Sache wird dann hochproblematisch, wenn ein Mitarbeiter erst im Laufe seiner Tätigkeit „on the way“ mit der Aufgabe des Schreibens von Blogbeiträgen begann, möglicherweise aufgrund intrinsischer Motivation, und diese Tätigkeit nie Gegenstand der offiziellen Tätigkeitsbeschreibung wurde. In diesen Fällen ist die Erstellung der Blogbeiträge dann nämlich nicht vollständig mit der Arbeitsvergütung abgegolten und die Rechte nicht vollständig auf den Arbeitgeber übergegangen.

Zum Streit darüber kommt es selbstverständlich regelmäßig erst bei der Auflösung des Arbeitsverhältnisses. Und in diesem Fall kann der Arbeitnehmer hierfür nachträglich Lizenzgebühren oder – schlimmer noch – die Unterlassung der weiteren Veröffentlichung verlangen.

Frage: Wahrscheinlich sieht es dann ähnlich mit Social-Media-Accounts aus, die von Mitarbeitern in Eigeninitiative angelegt wurden?

Nina Diercks: Ja. Man sollte zwar meinen, dass dies heutzutage so nicht mehr vorkommt, sondern dass alle Unternehmen mittlerweile über vernünftige Konzepte zur digitalen Kommunikation verfügen. Dies ist aber tatsächlich noch immer nicht durchgehend der Fall. Oft reicht die Geschichte auch einfach länger zurück. In etlichen Unternehmen bestehen – inzwischen sehr erfolgreiche – Accounts nur aufgrund der Eigeninitiative von einzelnen Mitarbeitern, und die Zugangsdaten dieser Firmenaccounts liegen teilweise immer noch ausschließlich in der Hand dieser Personen. Das sollte geändert werden.

Über die oben viel besprochene Social-Media-Richtlinie sollte auch geregelt werden, dass Zugangsdaten zu Firmenaccounts nicht nur singulär, sondern zentral gespeichert werden. Ebenso müssen auch über die Social-Media-Richtlinien Vorkehrungen dafür getroffen werden, dass nicht ein Mitarbeiter die Administrationsrechte an sich reißt und einen florierenden Account löscht (das ist alles schon vorgekommen!).

Frage: Dass ein Unternehmen seine Mitarbeiter nicht zwingen kann, in privaten Profilen für die Firma sichtbar zu sein, versteht sich. Wenn aber alle Entscheidungsträger in einem Business-Netzwerk, wie beispielsweise XING oder LinkedIn präsent sein sollen: Kann man das verpflichtend für alle (oder für einen bestimmten Personenkreis im Unternehmen) vorschreiben?

Nina Diercks: Verpflichtend für alle Mitarbeiter ist das kaum denkbar. Für einen einfachen Sachbearbeiter in der Lohnbuchhaltung oder eine Dreherin in der Werkshalle lässt sich arbeitsrechtlich keine Verpflichtung begründen, weswegen diese/r in einem Netzwerk mit seinem Namen und seinem Gesicht öffentlich für die Firma stehen muss.

Anders kann dies natürlich mit Mitarbeitern aussehen, die das Unternehmen qua Tätigkeitsbeschreibung nach außen repräsentieren, wie etwa PR-Manager oder Mitarbeiter mit vertrieblichen Tätigkeiten. Hier würde ich sagen, dass sich eine Verpflichtung zum repräsentativen Auftreten jedenfalls in Business-Netzwerken durchaus auch arbeitsrechtlich begründen lässt.

Frage: Manche Mitarbeiterinnen und Mitarbeiter würden sich gerne für ihren Arbeitgeber sichtbarer machen. Doch der will das nicht es. Was darf er überhaupt verbieten, was nicht? Muss er es begründen? Gibt es Unterschiede, ob es sich um Business-Netzwerke oder eher „private“ Netzwerke wie Facebook handelt?

Nina Diercks: Der Arbeitgeber darf vieles. Aber dem Arbeitnehmer zu sagen, wie er in seinem privaten Umfeld zu agieren hat, das darf er grundsätzlich nicht. Genauso wenig, wie der Arbeitgeber dem Arbeitnehmer verbieten dürfte, in einer Kneipe seinen Arbeitgeber zu nennen, kann er ihm verbieten, dies auf privaten Profilen auf XING oder Facebook kundzutun.

Wenn der Jurist „grundsätzlich“ sagt, folgt ja bekanntermaßen die Relativierung auf dem Fuße: Es kann natürlich besondere Tätigkeiten oder Stellungen geben, die dazu führen können, dass der Arbeitgeber eine Nichtnennung verlangen kann.

Oder zumindest kann der Arbeitgeber verlangen, dass bestimmte Tätigkeiten oder Qualifikationen nicht in sozialen Netzwerken benannt werden; so zum Beispiel, weil ansonsten anhand der Tätigkeitsbeschreibung/Qualifikationen der drei leitenden Ingenieure im Bereich XY für die Konkurrenz sichtbar werden könnte, an welchen Neuentwicklungen gerade gearbeitet wird – und der oben besagte, mit Spy-Software versehene, USB-Stick im Eingangsbereich des Unternehmens platziert wird.

Anders ausgedrückt: Eine Nichtnennung der Person oder bestimmter Tätigkeiten kann aus betriebssicherheitstechnischen Gründen gerechtfertigt sein. Wie so oft, kommt es auf den Einzelfall an.

Frage: Wie sieht es in Bezug auf Kontakte aus? Kann hier der Arbeitgeber zum Beispiel untersagen, die eigene Kontaktliste in XING öffentlich oder für die eigenen Kontakte sichtbar zu machen – etwa weil man die eigenen Kundenbeziehungen nicht offenlegen will?

Nina Diercks: Ja, das ist grundsätzlich denkbar. Allerdings lautet die ganz korrekte Antwort auch hier: Es kommt darauf an – nämlich darauf, was mit „eigene Kontaktliste“ gemeint ist.

Nehmen wir einmal den klassischen Key-Accounter oder Talent Relationship Manager. Und dann entsinnen wir uns der Zeiten, als Kontakte auf dem Rolodex auf dem Schreibtisch gesammelt wurden. Verließ ein Vertriebsmitarbeiter wie die hier genannten den Betrieb, dann musste der Rolodex wo bleiben? Genau. Auf dem Schreibtisch. Es handelt sich um Unternehmensdaten, und mit denen muss der oder die Nachfolgerin schließlich auch arbeiten können.

Gleiches gilt, wenn die Daten zwar virtuell, aber mit einem unternehmensinternen System verwaltet werden. Die Daten bleiben beim Unternehmen.

Wenn die Daten nun über ein externes System – wie zum Beispiel XING – verwaltet werden, wird die Betrachtung schon schwieriger. Hier kommt es nämlich zunächst darauf an, ob der geführte Account als dienstlich oder privat zu betrachten ist und dann weiter ob die darin enthaltenen Kontakte„bei einer Geschäftsbesorgung erlangt“ (das heißt im Rahmen der Tätigkeit entstanden) sind, oder ob es sich um „private“ Kontakte handelt.

Frage: Was ist der Unterschied zwischen einem dienstlichen und einem privaten Account?

Nina Diercks: Handelt es sich um einen dienstlichen Account, zum Beispiel weil der Arbeitgeber den Premium-Account zahlt, dann kann der Arbeitgeber im Rahmen seines Weisungsrechts auch die (Nicht-)Veröffentlichung von Kontaktdaten anweisen.

Regelmäßig handelt es sich aber um Mischaccounts. Diese werden privat geführt, aber dienen selbstverständlich auch dazu, Kontakte, die im Rahmen der beruflichen Tätigkeit für das Unternehmen geknüpft wurden, zu pflegen.

In Bezug auf diese Kontakte hat der Arbeitgeber ein Herausgaberecht. Und in Bezug auf diese Kontakte ist es auch denkbar, dass diese aus Gründen der Betriebssicherheit und des Wahrung von Geschäftsgeheimnissen nicht öffentlich anzuzeigen sind.

Auch hier gilt der Rat an die Unternehmen: Machen Sie sich dazu im Vorwege Gedanken und bilden Sie diese Gedanken in verbindlichen Richtlinien ab. Denn wenig ist unerquicklicher, als sich spätestens beim Lösen eines Arbeitsverhältnisses um – unternehmensrelevante! – Kontaktdaten streiten zu müssen.

Frage: Gelten unterschiedliche Regeln, je nachdem, ob ein Unternehmen selbst in Social Media aktiv ist, etwa mit einer Facebook-Fanpage?

Nein. Zwischen der Frage wie das Unternehmen selbst kommuniziert und wie die Mitarbeiter kommunizieren dürfen, ist klar zu unterscheiden. Wenig sinnvoll, aber denkbar wäre, dass das Unternehmen offiziell über Facebook und Twitter kommuniziert, aber außer der damit betrauten Person niemand sonst im Unternehmen Social Media zur Kommunikation nutzen darf.

Frage: Ein Unternehmen hat eine Markenbotschafter-Strategie entwickelt und möchte Mitarbeiter stärker einbinden. Bei welchen Fragestellungen muss der Betriebsrat gefragt werden?

Nina Diercks: Entscheidend sind hier die Mitbestimmungsrechte nach § 87 BetrVerfG. Nach Nr. 1 hat der Betriebsrat mitzubestimmen „über Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb“ und nach Nr. 6 bei „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“.

In Bezug auf digitale Kommunikation mag das für das ungeschulte Ohr irrelevant klingen. Schließlich wird dabei doch nicht über das Verhalten des Arbeitnehmers im Betrieb entschieden und überwacht wird er auch nicht … Aber so einfach ist es leider nicht.

Bei den hier genannten IT- und Social-Media-Richtlinien hat der Betriebsrat regelmäßig ein Mitbestimmungsrecht, da eben durchaus Fragen der Ordnung des Betriebes (dienstliche/private Nutzung) und auch des Verhaltens des Mitarbeiters geregelt werden.

Daneben muss man wissen, dass es bei der Einführung von zur Überwachung bestimmten technischen Einrichtungen entgegen des Wortlautes nicht darauf ankommt, ob diese zur Überwachung „bestimmt“ sind, sondern nur darauf ob sie zur Überwachung geeignet wären. Und damit kommen Unternehmen in die Situation regelmäßig den Einsatz ihrer beziehungsweise die Neuanschaffung von IT- und Softwareanwendungen mit dem Betriebsrat abstimmen zu müssen.

Was das mit Unternehmenskommunikation zu tun hat? Nun, abgesehen davon, dass Richtlinien wie Software im Unternehmen benötigt werden, hat im letzten Jahr das BAG entschieden, dass der Betrieb einer Facebook-Seite mitbestimmungspflichtig ist. Ja, so habe ich auch geguckt. Aber das ist nun höchstrichterlich entschieden. Von daher müssen sich Unternehmen auch an dieser Stelle definitiv mit dem Betriebsrat auseinandersetzen.

Frage: Nochmal zurück zur Eingangsfrage, wer für Äußerungen und Fehler in digitalen Medien haftet. In vielen Unternehmen befürchtet die Geschäftsleitung, dass eine Markenbotschafter-Strategie erhebliche Kommunikationsrisiken mit sich bringt – etwa weil Mitarbeiter etwas Falsches behaupten oder sogar einen Shitstorm auslösen könnten. Tatsächlich werden ja aber Mitarbeiter häufig als Markenvertreter wahrgenommen, wenn man sie einem Unternehmen zuordnen kann, ob sie sich dessen nun bewusst sind oder nicht. Daher ist es meiner Ansicht nach sicherer und konstruktiver, dies bewusst zu gestalten als es dem Zufall oder der individuellen kommunikativen Kompetenz der Einzelnen zu überlassen. Aber wer ist denn verantwortlich, wenn ein Mitarbeiter-Markenbotschafter einen Fehler in der Außendarstellung oder im direkten Kontakt mit anderen macht? Kann (oder muss man) Regelungen treffen, um die Mitarbeiter zu schützen?

Nina Diercks: Klassische Juristen-Antwort: Das kommt darauf an. Bevor ich aber erläutern kann, worauf, müssen zunächst einmal die Grundsätze der arbeitsrechtlichen Haftung des Arbeitnehmers bekannt sein. Als Arbeitnehmer handelt man

  • auf Weisung des Arbeitgebers
  • im Rahmen der betrieblichen Tätigkeit
  • ohne Einfluss auf betriebliche Abläufe und Gefahren
  • und ist regelmäßig nicht in der Lage, Schäden, die im Rahmen der Tätigkeit entstehen können, über das eigene Gehalt zu regulieren.

In Folge dessen ist die Pflicht des Ar­beit­neh­mers zum Scha­dens­er­satz ge­genüber Arbeitgeber durch die Rechtsprechung erheblich begrenzt worden. In Folge dessen gelten bei allen Schäden, die ein Arbeitnehmer durch eine (Achtung!) „betrieblich veranlasste Tätigkeit“ rechtswidrig verursacht, die folgenden Haftungsregeln:

  1. Handelt der Arbeitnehmer leicht fahrlässig, so haftet er gar nicht.
  2. Handelt der Arbeitnehmer fahrlässig, so wird der Schaden unter Berücksichtigung sämtlicher Umstände des Einzelfalls zwischen AG und AN aufgeteilt.
  3. Handelt der Arbeitnehmer gro­be Fahrlässig­keit, haf­tet der Ar­beit­neh­mer „in der Re­gel“ voll, d.h. er haf­tet in den meis­ten Fällen auf Er­satz des ge­sam­ten Scha­dens, doch gibt es auch Aus­nah­mefälle, in de­nen die Er­satz­pflicht ge­min­dert ist.
  4. Handelt der Arbeitnehmer vorsätzlich, so haftet der Arbeitnehmer voll (selbstverständlich).

Frage: Wie stellt man fest, ob ein Mitarbeiter fahrlässig oder grob fahrlässig handelt?

Nina Diercks: Auch das kommt immer auf den Einzelfall darauf an. Je klarer aber die Regeln zu einem Tätigkeitsbereich im Unternehmen definiert sind, um so klarer ist ersichtlich, ab wann eine fahrlässige Handlung vorliegt.

Definieren Social-Media-Richtlinien etwa, dass ein Mitarbeiter in dem Fall, in dem er erkennt, dass ein Kommunikationsfehler passierte (zum Beispiel weil etwas gepostet wurde, was noch nicht hätte veröffentlicht werden sollen), umgehend die weitere Vorgehensweise mit dem Vorgesetzten oder der Kommunikationsabteilung abzustimmen hat und unterlässt er dies, woraufhin sich aufgrund der dann nachfolgend sehr misslungenen Kommunikation ein immenser Reputationsschaden ergibt, dann wäre das Verhalten als mindestens grob fahrlässig einzustufen.

Gäbe es eine solche Richtlinie nicht, und der Mitarbeiter hätte das Posting einfach gelöscht – jedoch letztlich mit den gleichen Folgen für die Reputation des Unternehmens –, dann wäre an dieser Stelle das Verhalten wohl nicht zu beanstanden, da eine Löschung ein gangbarer Weg hätte sein können.

Der Vorteil von klar definierten Social Media Richtlinien, die auch über Schulungen vermittelt werden, ist einfach der, dass damit alle Seiten wissen, nach welchen Regeln und anhand welcher Leitplanken gespielt werden soll. Im besten Falle kommt es damit eben gar nicht zu solchen Vorkommnissen. Wie du schon sagst, es macht einfach mehr Sinn, die Kommunikation aktiv zu steuern und zwar auf rechtlicher wie kommunikativer Ebene.

Frage: Stichwort Schleichwerbung: Wenn ich Werbung für irgendein Unternehmen mache und dafür bezahlt werde oder eine Gegenleistung erhalte, muss ich das kennzeichnen. Wie sieht es denn mit Mitarbeitern eines Unternehmens aus, die ja schließlich von diesem bezahlt werden, wenn auch nicht direkt für Werbung oder Produktplatzierung? Was ist zum Beispiel, wenn sie Postings des Arbeitgebers teilen oder Produkte abbilden: Müssen sie das kennzeichnen? Wenn ja: Reicht es, das ins Profil zu schreiben, oder muss man es bei jedem Posting dazuschreiben? Gibt es Abstufunge oder Unterschiede nach Art des Postings?

Nina Diercks: Hier bin ich jetzt ganz ehrlich: Die Frage ist einfach toll! Aber ich habe sie noch nie gestellt bekommen und noch nie drüber nachgedacht. Also folgt die Antwort mittels lautem Nachdenken:

Der Mitarbeiter wird ja für seine Tätigkeit entlohnt. Tritt ein Mitarbeiter nun neben seiner Tätigkeit auch als eine Art Markenbotschafter auf, zum Beispiel weil er von den Produkten überzeugt ist und/oder sein Fachwissen irgendwann auch für das Unternehmen steht, dann ist diese Tätigkeit ja gerade nicht vom Unternehmen mit einer Gegenleistung versehen. Und somit auch nicht um kennzeichnungspflichtige Werbung. Es handelt sich also nicht um unzulässige Schleichwerbung.

Und wenn ein Mitarbeiter speziell für die Kommunikation eingesetzt wird – dann wird er eben dafür entlohnt und dies ist auch allen Empfängern klar. Da kann es doch keinen Unterschied machen, ob derjenige als Pressesprecher oder Markenbotschafter bezeichnet wird. Ich würde sagen, hier mangelt es am Tatbestandsmerkmal der Verschleierung.

So, das war jetzt laut gedacht. Und ich denke, das Ergebnis lautet, dass man beim Thema Mitarbeiter als Markenbotschafter das Thema „Schleichwerbung“ zur Seite packen kann. 😉

Nina Diercks, M.Litt (University of Aberdeen) führt die Anwaltskanzlei Diercks, bloggt auf Diercks-Digital-Recht (ehemals: Social Media Recht Blog) und ist anerkannte Datenschutz-Sachverständige (genau genommen: „Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich)“). In ihrer täglichen Arbeit beschäftigt sie sich mit all den juristischen Fragen, mit denen sich Unternehmen im Zusammenhang mit der digitalen Welt auseinandersetzen müssen. Ihre Tätigkeitsschwerpunkte liegen in der Beratung, Vertragsgestaltung und Vertretung auf dem Gebiet des IT-, Medien-, Datenschutz- und Arbeitsrechts.


Gefällt Ihnen dieser Beitrag? Teilen Sie ihn mit anderen. Sie machen uns damit eine große Freude!

Dr. Kerstin Hoffmann

Hier im PR-Doktor teile ich mein Wissen und meine Erfahrung aus mehr als 20 Jahren in der Unternehmenskommunikation. – Ich berate und unterstütze Unternehmen sowie Persönlichkeiten des öffentlichen Lebens in Kommunikationsstrategien, Content-Marketing und Social Media. Ich halte Vorträge, schreibe Bücher und lehre an einer deutschen Universität.

Nehmen Sie Kontakt auf:
Tel. 02151 970785
anfrage@kerstin-hoffmann.de
Beratungs- und Vortragsangebot

RSS-Feed abonnieren Facebook Kerstin Hoffmann Twitter pr_doktor Dr. Kerstin Hoffmann auf Youtube LinkedIn Kerstin Hoffmann XING Kerstin Hoffmann

Stand des Beitrags: Februar 2018.

Hinweis: Die hier vertretenen Ansichten stellen die Meinung der Interviewpartnerin dar und können in diesem sich permanent entwickelnden Rechtsbereich keinen Anspruch auf absolute Rechtssicherheit erheben. Ebenso dient der Beitrag einer Übersicht über die Problematik und stellt keine umfassende Darstellung aller möglichen rechtlichen Details und Probleme dar, zumal jeder Fall einzeln beurteilt werden muss. 

  1 comment for “Arbeitsrecht, Datenschutz, Schleichwerbung: Was Markenbotschafter und Unternehmen wissen müssen

  1. 15. Februar 2018 at 08:10

    Liebe Autorinnen,

    was für eine tolle und wichige Idee! Dass Ihr Euch so viel Arbeit damit gemacht habt, ist aller Ehren wert. Ich selbst brauche davon nur einen Bruchteil, werde die Seite aber sicher oft in meinem Netzwerk weiterverteilen. Schließlich sprecht Ihr darin drängende Fragen an, bei denen derzeit – auch mit Blick auf die neue DSGVO – viel Unsicherheit herrscht. Vor allem auch die Vermischung persönlicher (privater?!) Posts mit beruflichen und unternehmerischen Belangen wird uns juristisch sicher lang begleiten. Ihr habt mit diesem differenzierten, wohl durchdachten Interview den Anfang gemacht. Danke dafür!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.