Im Juni/Juli 2018 wird die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft treten und die bisherigen Datenschutzgesetze der Mitgliedsstaaten der Europäischen Union ersetzen. Davon betroffen sind praktisch alle Firmen, die Waren oder Dienstleistungen anbieten. Unternehmen haben noch knapp ein Jahr Zeit, um sich auf die neuen rechtlichen Rahmenbedingungen einzustellen. Die bisher massgebende Richtlinie 95/46/EG wird mit Inkrafttreten der EU-DSGVO definitiv aufgehoben. Die wichtigsten Aspekte der Neuregelung im Überblick sind:

Ende des Adresshandels
Es entfällt das sogenannte Listenprivileg, nach dem Adressen zu Werbezwecken weitergegeben werden dürfen. Künftig ist hierfür eine ausdrückliche Genehmigung der betroffenen Person erforderlich.

Beweislastumkehr
Bei Verstössen standen bisher die Behörden in der Nachweispflicht. Künftig gilt das umgekehrte Prinzip. Die Unternehmen müssen beweisen, dass sie rechtskonform arbeiten.

Dokumentationspflicht
Unternehmen müssen künftig dokumentieren, weshalb sie persönliche Daten verarbeiten. Sie sind zudem verpflichtet, die Sicherheitsmassnahmen konkret nachzuweisen.

Mehr Transparenz
Wer einem Unternehmen Daten überlässt hat künftig ein Recht zu erfahren, wie diese verarbeitet und verwendet werden. Unternehmen sind verpflichtet, ihre Kunden aktiv zu informieren, wenn die Daten beispielsweise für Werbezwecke verarbeitet werden. Die Auskunft muss dabei klar und verständlich formuliert sein.

​Datenmitnahme
Wer einen bestimmten Dienst wechselt, soll bei Bedarf seine Daten mitnehme können.

Recht auf Vergessen
Künftig gibt es ein gesetzlich verbrieftes «Recht auf Vergessen». Die EU-DSGVO regelt dazu, wann nicht mehr benötigte Daten gelöscht werden müssen.

Meldeauflagen
Datenschutzverletzungen müssen der Europäischen Union und den betroffenen Personen in einem einheitlichen Verfahren gemeldet werden. Unternehmen sind stärker als zuvor verpflichtet, schnell zu reagieren.

Erweiterte Definition von personenbezogenen Daten
Als personenbezogene Daten gelten ausdrücklich IP-Adressen und andere «Online-Identifier». Es wurde eine Definition für das sogenannte Profiling eingeführt. Jegliche Form von automatisierter Datenbearbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden, fällt unter Profiling. Zur vermeintlichen Erleichterung und im selben Zusammenhang wurde die «Pseudonymisierung» eingeführt. Dies bedeutet, dass die entsprechenden Daten ohne zusätzliche Informationen nicht mehr einer identifizierbaren Person zugeordnet werden können. Für Anbieter von e-Health Dienstleistungen ist dies von besonderer Relevanz.

Bei Verstössen drohen hohe Geldbussen
Es geht jetzt neben einer gründlichen Bestandsaufnahme vor allem darum, Prozesse mit Blick auf den Datenschutz zu vereinheitlichen und Compliance-Regeln aufzustellen beziehungsweise anzupassen. Auch das Sicherstellen einer hohen Qualität personenbezogener Daten sollte auf der Tagesordnung der Unternehmen stehen.

Bei Verstössen gegen die EU-DSGVO steht den Betroffenen ein Schadensersatzanspruch zu. Zusätzlich sind empfindliche Bussgelder vorgesehen. Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten erzielen Jahresumsatzes im vorangegangenen Geschäftsjahr. Bei international agierenden Unternehmen wird der weltweite Jahresumsatz für die Bemessung der Geldbusse zugrunde gelegt.

Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz innerhalb der Europäischen Union. Die Verordnung findet aber auch Anwendung, wenn personenbezogene Daten von EU-Bürgern durch ein Unternehmen mit Sitz ausserhalb der EU bearbeitet werden, sofern folgende Voraussetzungen erfüllt sind:

• die Bearbeitung dient der Verhaltensüberwachung
• die Verarbeitung der Daten erfolgt im Zusammenhang mit dem Angebot von Waren und Dienstleistungen, auch in unentgeltlicher Form

Das neue EU-Datenschutzrecht hat auch für Schweizer Unternehmen grosse Relevanz. Sobald ein Schweizer Unternehmen in der EU geschäftstätig ist oder mit Unternehmen in der EU Personendaten austauschen, ist die neue DSGVO anwendbar.

Heute bewegen sich Unternehmen ganz selbstverständlich in den sozialen Medien wie Facebook, Twitter, LinkedIn oder Xing. Umso wichtiger ist es, den Mitarbeitern praktikable Leitlinien an die Hand zu geben, die ihnen im richtigen Umgang mit den sozialen Medien in Bezug auf das Unternehmen helfen. Solche Leitlinien sind Social Media Guidelines.

Aufgaben von Social Media Guidelines
In erster Linie sollen Social Media Guidelines allen Mitarbeitern des Unternehmens Sicherheit im Umgang mit den sozialen Medien geben. Darüber hinaus helfen sie Kommunikationskrisen zu vermeiden sowie rechtlichen Problemen verschiedenster Art vorzubeugen.

Social Media nutzen fast alle Mitarbeiter, doch nur die wenigsten machen sich Gedanken um die Auswirkungen ihrer dort getätigten Äusserungen und veröffentlichten Inhalte. Wie schnell Aussagen, Bilder oder sonstige Inhalte den privaten Rahmen verlasen und an die Öffentlichkeit gelangen, darüber ist sich oft gar nicht bewusst, wer auf Facebook mit dem eigenen Freundeskreis kommuniziert. Social Media Guidelines geben hier konkrete Handlungsanweisungen.

Social Media Kommunikation im Sinne der Unternehmensziele
Bei den Mitarbeitern ein Bewusstsein für die Bedeutung der sozialen Medien zu erzeugen, dazu tragen Social Media Guidelines im Allgemeinen bei. Nicht nur in der Einschränkung von Äusserungen der Mitarbeiter - sofern überhaupt gewollt und rechtlich zulässig - sondern auch die Förderung einer aktiven Social Media Kommunikation im Sinne der Unternehmensziele ist die Aufgabe von Guidelines. Sollen Mitarbeiter auch Markenbotschafter sein, bieten Social Media Guidelines eine gute Möglichkeit sie zu effektiveren und positiveren Botschaftern zu machen.

Im Einzelnen lassen sich die Aufgaben von Social Media Guidelines wie folgt zusammenfassen:

• Mitarbeiter informieren
• Sicherheit schaffen
• Fehler vermeiden
• Risiken begrenzen
• Grenzen aufzeigen
• Zur Nutzung motivieren
• Auf eine gemeinsame Strategie einstimmen

Die Inhalte solcher Social Media Guidelines sollten sich an den Eigenschaften und Gegebenheiten des jeweiligen Unternehmens orientieren. Wenig zielführend und häufig zu beobachten in der Praxis ist das blosse Kopieren fremder Guidelines. Eigene Inhalte und einen eigenen Stil zu entwickeln ist von Vorteil. Aus einer Vielzahl von bereits eingesetztes Social Media Guidelines lässt sich ein grobes Grundgerüst extrahieren. Immer wiederkehrende Inhalte sind:

Kurze Einführung in das Thema
Was sich hinter den einzelnen Begriffen verbirgt, welche Kanäle eine Rolle spielen oder wie grundlegende Wirkungsmechanismen funktionieren, ist manchen Mitarbeitern vielleicht nicht ganz klar. Es lohnt sich daher immer eine kurze Einführung in das Thema und eine Standortbestimmung.
 
Ziele und Strategie der Aktivitäten
Damit alle Mitarbeiter wissen, weshalb sich das Unternehmen im Social Media Bereich engagiert, sollten auch die groben Ziele und die Strategie, die das Unternehmen mit den Aktivitäten verfolgt, noch einmal kurz dargestellt werden.
​
Auftreten des Unternehmens
Will das Unternehmen auf eine bestimmte Weise auftreten, sollte dies in den Social Media Guidelines festgehalten sein. Dazu gehören zum Beispiel die Ansprache mit »Sie« oder »Du« als auch ein bestimmtes Wording.

Verhaltensregeln
Social Media Guidelines dienen dazu, dass Verhalten von Mitarbeitern zu regeln, die im Namen des Unternehmens in den sozialen Kanälen agieren. Im Besonderen sollten auch Hinweise zur privaten Nutzung enthalten sein, so lange diese sich auf das Unternehmen auswirken kann. Das Kenntlichmachen von privaten Meinungen oder Äusserungen gehört beispielsweise dazu oder auch die Formulierung »ich« anstatt »wir«.

Nutzung für private Zwecke
Von grundlegender Bedeutung ist die Frage, ob eine private Nutzung von Social Media Kanälen am Arbeitsplatz erlaubt sind oder nicht. Erlaubt das Unternehmen die Nutzung (auch) zu privaten Zwecken, empfiehlt es sich Grenzen und Regeln zu definieren, zum Beispiel hinsichtlich Dauer, Datenschutz und Sicherheit.

Umgang mit rechtlichen Fragen
Die meist vielfältigen rechtlichen Fragestellungen zum Social Web bilden einen Schwerpunkt. Der Umgang mit Geheimhaltungserklärungen und geheimhaltungspflichtigen Inhalten, gewünschte und unerwünschte Verhaltensweisen, Urheberrechte, Datenschutz sowie Konsequenzen bei Verstössen spielen beispielsweise eine Rolle. Werden die Social Media Guidelines Bestandteil des Arbeitsvertrages, erhalten sie auch rechtliche Verbindlichkeit. Verstösse können damit zu Abmahnungen oder gar berechtigten Kündigungen führen.

Corporate Guidelines
Dass jeder einfach drauflos kommuniziert, ist eine der grössten Gefahren im Social Web. Richtlinien wie Corporate Identity und Corporate Wording oder die Unternehmenswerte müssen auch im Netz eingehalten werden. Es empfiehlt sich deshalb in den Social Media Guidelines Verweise auf die jeweils einschlägigen sonstigen Regelungen zu geben. Hilfreich sind auch Beispiele, die Auswirkungen dieser Regelungen konkret auf die Social Media Kommunikation aufzeigen können.

Beispiele für Social Media Kommunikation
Ebenfalls sinnvoll ist es auch, einige positive sowie negative Beispiele anzuführen. Insbesondere die No-Gos machen abstrakte Verbote greifbar und zeigen Grenzen auf. Vieles, was eigentlich gut gemeint war, kann sich hinterher negativ auswirken. 

Umgang mit Kritik
Hinweise in verschiedenster Form mit Kritik umzugehen sind ebenfalls hilfreich. In der täglichen Praxis Unsicherheiten und Missverständnisse vermeiden helfen klare Linien, wann eine Löschung eines Kommentars angebracht ist, welche Kommentare einer Antwort bedürfen und welche einfach ignoriert werden dürfen oder sollen.

Ansprechpartner und Zuständigkeiten
Abschliessend sollte in den Social Media Guidelines ein Ansprechpartner mit Kontaktdaten definiert sein, an den sich jeder Mitarbeiter bei Fragen oder Anliegen wenden kann.

Es ist ein gewisses Fingerspitzengefühl nötig, um die Akzeptanz von Social Media Guidelines im Unternehmen sicherzustellen. Gerade bei alteingesessenen Mitarbeitern stösst die Einführung neuer Richtlinien oftmals auf wenig Gegenliebe. Entsteht der Eindruck der Beschneidung ihrer privaten Social Media Nutzung, baut sich auch bei jüngeren Mitarbeitern Widerstand auf.

Es empfiehlt sich daher schon bei der Erstellung der Social Media Guidelines keinen Top Down Ansatz durchzusetzen, sondern Vertreter der Belegschaft mit ins Boot zu holen. Die spätere Akzeptanz erhöht sich deutlich, wenn Guidelines in einem gemeinsamen Workshop erarbeitet und Stimmen der Mitarbeiter gehört werden.