Soziale Medien verbreiten sich rasant in Deutschland und sind damit zu einem sehr wichtigen Kanal der Kreditinstitute geworden. 69 Prozent aller Internetnutzer sind täglich auf Mitmachplattformen aktiv. Speziell für die 14- bis 29-Jährigen sind Facebook, Twitter und Co. die bedeutendsten Kommunikationsmittel - laut Bitkom sind 91 Prozent von ihnen bei sozialen Medien angemeldet. Das wollen sich Kreditinstitute zunutze machen. Bereits 93 Prozent der Banken und Sparkassen betreiben eine Facebook-Fanpage oder planen deren Einsatz.
- Als Vorreiter gilt beispielsweise die Fidor Bank, die sich selbst als "erste Web-2.0-Bank" bezeichnet und in ihrer Community nach Firmenangaben 200 000 Kunden versammelt. Auf Facebook und Twitter agieren die Kunden verstärkt in Communities der Bank oder sorgen mit ihren Likes für niedrige Zinsen. Fidor belohnt den Kunden zum Beispiel für Weiterempfehlungen (Retweets) mit Gutschriften.
- Neue Unternehmensgründungen wie die Plattform "Moneymeets" bieten Anlageberatung 2.0, bei der im Austausch mit anderen Kunden die eigenen Anlagestrategien diskutiert und verbessert werden können. Hier profitiert der Kunden von geringeren oder keinen Aufgabeaufschlägen je stärker er sich engagiert.
Neben der Möglichkeit, sich auszutauschen und Finanztipps zu erhalten, dienen die Mitmachmedien Kunden vor allem als wichtiger Beschwerdekanal und als eine Plattform zur Beurteilung von Servicequalität. Gerade nach der Finanzkrise hat das Vertrauen in Bankberater stark nachgelassen. Kunden geben Ehrlichkeit und Fairness eine neue Bedeutung. Bankprodukte oder Serviceleistungen, die als schlecht empfunden werden, werden in den sozialen Medien schnell abgestraft.
Risiken und Compliance
Generell ist das Misstrauen in Banken seit dem Ausbruch der Finanzkrise gestiegen. Das gilt im erhöhten Maß, wenn im Internet Finanztipps gegeben werden. Wenn Finanzunternehmen in den sozialen Medien wie Facebook aktiv sind, müssen sie sich auch mit den Risiken und Gefahren in diesem Umfeld auseinandersetzen. Denn im Umgang mit den neuen Kommunikationskanälen sind auch neue Fallstricke entstanden. Die Gefahren betreffen regulatorische, technische und Imagefragen.
- Regulatorische Risiken beinhalten beispielsweise die Enthüllung vertraulicher Informationen durch Mitarbeiter und können Streitigkeiten, Gerichtsverfahren und erhebliche Kosten nach sich ziehen.
- Technisch können Spyware oder andere Viren eingeschleppt werden.
- Das Markenimage kann bewusst oder unbewusst durch Mitarbeiter in den sozialen Medien geschädigt werden und zum Vertrauensverlust bis zur Abwanderung von Kunden führen.
Längst sind Bankmitarbeiter, Kunden und Kapitalgeber im Netz aktiv, privat oder während der Arbeitszeit. Auch die große Mehrheit der Mitarbeiter hält dabei nicht immer Rücksprache mit dem Unternehmen. Doch dieses muss sicherstellen, dass Gesetze, Vorschriften und Standards im Web 2.0 eingehalten werden. Diese "Social Media Compliance" sollte stets durch organisatorische und technische Maßnahmen gewährleistet werden.
Auch wenn im Internet noch nicht alles konkret geregelt ist, wird es doch immer umfassender reguliert. Vorgaben aus der deutschen Rechtsordnung wie das Bundesdatenschutzgesetz (BDSG), das allgemeine Gleichbehandlungsgesetz (AGG), das Gesetz gegen den unlauteren Wettbewerb (UWG), das Ordnungswidrigkeitengesetz (OWiG), das Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) sowie bankspezifische Richtlinien wie das Wertpapierhandelsgesetz (WpHG) und das Kreditwesengesetz (KWG), konkretisiert durch die BaFin-Rundschreiben Mindestanforderung an das Risikomanagement (MaRisk) und an die Compliance MaComp müssen beachtet werden.
Konkrete Regelungen für Social Media bestehen oftmals noch nicht, werden aber zunehmend gestaltet. Beispielsweise erfolgt dies durch aktuelle Gerichtsurteile, die bestehende Gesetze ergänzen. So wurde der § 5 des Telemediengesetzes durch ein Urteil des Landgerichts Aschaffenburg auch auf die sozialen Medien ausgeweitet. Ein fehlendes Impressum bei Facebook wurde hier als Verstoß gegen die Informationspflicht gewertet und mit einem Ordnungsgeld bestraft.
"Like-Button" datenschutzrechtlich bedenklich
Viele der Risiken können verhindert oder eingedämmt werden. Wer noch keine Richtlinien für den Einsatz der neuen Kommunikationskanäle erstellt hat, sollte dringend damit beginnen. Dabei sind unterschiedliche Dimensionen der Social Media Compliance zu bedenken.
Im Front End muss beispielsweise der eigentliche Inhalt (Content) gesetzeskonform sein. Dazu gehört nicht nur der Text, sondern auch Bildelemente wie beispielsweise der Like-Button von Facebook. Klickt ein Kunde auf dieses Social Plug-in, gelangt er auf die damit verbundene Facebookseite. Dabei werden automatisch personenbezogene Daten an Facebook in den USA weitergeleitet, also an Dritte außerhalb der EU. Gerade bei Banken ist dies datenschutzrechtlich höchst bedenklich. Kreditinstitute sollten auf die automatische Weiterleitung ausdrücklich hinweisen und zuvor eine Einwilligung ihrer Kunden einholen.
In den Unternehmensprozessen sollte sichergestellt werden, dass kritische Inhalte vor Veröffentlichung intern freigegeben werden. Mitarbeiter können schnell unbewusst gegen das Wertpapierhandelsgesetz oder das Kreditwesengesetz verstoßen. Wenn es dabei sogar um die Veröffentlichung von Insiderinformationen geht, drohen sehr empfindliche Bußgelder. Schnell hat ein Mitarbeiter jedoch über Facebook oder Twitter ein paar Zeilen geschrieben und diese Gefahr nicht bedacht. Daher sollten Mitarbeiter, speziell solche, die potenziell über Insiderkenntnisse verfügen, entsprechend sensibilisiert und wenn möglich zu einer Freigabe vor Veröffentlichung durch den Compliance-Verantwortlichen verpflichtet werden.
Stolpersteine bei privaten Accounts der Mitarbeiter
Es gibt viele weitere Stolpersteine bei dem Versuch, als Finanzunternehmen alle Social-Media-Richtlinien einzuhalten. Beispielsweise kann ein interner Mitarbeiter mit seinem privaten Account unternehmensspezifische Inhalte verbreiten. Das kann Schaden anrichten, egal ob er dies beabsichtigt oder genau das Gegenteil im Sinn hatte.
Ein Beispiel: Ein Vertriebsmitarbeiter scheidet aus dem Unternehmen aus. Anschließend spricht er über Xing oder Facebook mit ihm verbundene Kunden an, um sie für das neue Unternehmen zu gewinnen. Dies kann jedoch das Geschäftsgeheimnis im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) verletzen.
In einem weiteren Beispiel will ein Mitarbeiter seinem Unternehmen eigentlich etwas Gutes tun. Er wirbt auf seiner privaten Facebook-Seite für ein neu herausgegebenes Aktienzertifikat seines Arbeitgebers. Doch auch hier drohen Risiken. Denn eigentlich müsste er auf Risiken dieses Bankproduktes hinweisen. Tut er dies nicht, verstößt er gegen die Richtlinie über Märkte für Finanzinstrumente (MiFID), Anlegerschutzgesetz und die Packaged Retail Investment Products (PRIPs). Denn seit 2011 müssen von Banken und Finanzvermittlern zu jedem Angebot Produktinformationsblätter ausgegeben werden. Anleger sollen so in wenigen Worten erfahren, was sich hinter einzelnen Produkten verbirgt und welche Risiken sie beim Kauf von Aktien, Fonds oder Zertifikaten eingehen.
Unbeabsichtigte Marktmanipulation
Noch mehr Gefahren bestehen bei Mitarbeitern, die für einen Unternehmens-Account verantwortlich sind. Veröffentlichen diese beispielsweise in einem Banken-Blog unternehmensinterne Wertpapierempfehlungen für Kunden, kann das einen Marktmissbrauch beziehungsweise eine Marktmanipulation darstellen.
Weil häufig an eine kurze Veröffentlichung im Internet bankintern nicht dieselben Maßstäbe angelegt werden wie bei einer wohlüberlegten gedruckten Werbebroschüre, ist auch eine Marktmanipu lation schneller passiert als gedacht. Im Sinne des § 20a Wertpapierhandelsgesetz (WpHG) ist eine Manipulation bereits "unrichtige oder irreführende Angaben über Umstände zu machen, die für die Bewertung eines Finanzinstruments erheblich sind". Die Marktmissbrauchsrichtlinie (MAD) ersetzt vermutlich ab 2016 diese Tatbestände und vereinheitlicht sie europaweit.
Social-Media-Richtlinien im Unternehmen einführen
Damit die Compliance-Abteilung den Überblick behält und Mitarbeiter mit den möglichen Gefahren vertraut sind, empfiehlt sich die Einführung einer Social-Media-Richtlinie. Darin sollten Handlungsempfehlungen und klare Vorgaben den Rahmen abstecken, in dem Mitarbeiter regelkonform in den sozialen Medien aktiv sein können.
Dabei müssen nicht nur Gesetze eingehalten werden, sondern es findet auch eine Sensibilisierung des Mitarbeiters statt sowie eine Erweiterung von bestehenden Regelungen zu IT-Risikomanagement, IT-Sicherheit, IT-Compliance und des Notfallmanagements für die Nutzung von Social-Media-Plattformen.
Um sicherzustellen, dass die Einhaltung aller Gesetze auch im Internet, und dort speziell auf Social-Media-Plattformen gewährleistet ist, muss ein Finanzunternehmen strategisch vorgehen. Geeignet sind sechs Phasen bis zur erfolgreichen Umsetzung.
In sechs Phasen zur Social Media Compliance
Beginnen sollte die Firma mit einer Bestandsaufnahme. Dann folgt die Definition einer Social-Media-Compliance-Strategie und anschließend in Phase drei die Erstellung der Richtlinie. Die Mitarbeiter müssen geschult und die Richtlinie im Unternehmen umgesetzt werden. In der letzten Phase wird dann die Social Media Compliance gesteuert (siehe Abbildung 2).
1. Die ehrliche Bestandsaufnahme soll die Ist-Situation im Finanzinstitut in allen Dimensionen zeigen. Diese Ausgangsposition im Social Web kann mit Hilfe von Monitoring Tools analysiert werden. Programme wie Topsy oder Argus ermöglichen einen Überblick, wie oft und in welchem Zusammenhang auf Twitter, Facebook, Foren oder Blogs über das Finanzunternehmen gesprochen wird. Eine Mitarbeiterbefragung kann helfen, den Grad der Nutzung von Social-Media-Angeboten durch die Mitarbeiter herauszufinden. Inwiefern beteiligen sich Mitarbeiter privat in Netzwerken oder auf unternehmenseigenen Seiten und Blogs. Anhand einer Swat-Analyse können auf Basis der vorherigen Informationen die Chancen und Risiken des Social Webs auf die konkreten Stärken und Schwächen des Finanzinstituts bezogen werden.
2. Für eine geeignete Strategie müssen zunächst Ziele der Social Media Compliance definiert werden. Dafür ist es wichtig, alle Betroffenen einzubinden, von der Geschäftsführung über die Kommunikationsverantwortlichen, die Entscheider in den Fachbereichen bis zur Personalleitung und dem Betriebsrat. In jedem Finanzunternehmen kann es unterschiedliche Prioritäten geben und auch die Unternehmenskultur hat einen bedeutenden Einfluss auf die individuelle Ausgestaltung.
3. Auch die Inhalte der Social-Media-Richtlinie sollten sich an den Eigenschaften und Gegebenheiten des jeweiligen Finanzinstituts orientieren. Wichtig ist auch hier die Einbindung der Mitarbeiter in die Erstellung der Richtlinie - entweder bereits vorab oder in einer Diskussion nach Fertigstellung. Um gegen potenzielle Risiken des Social-Media-Engagements abgesichert zu sein, müssen in der Richtlinie diverse Stränge zusammenfließen: Gesetzliche Vorgaben zu Datenschutz und Urheberrecht, branchenspezifische Gesetze, Regeln für das respektvolle Verhalten auf sozialen Plattformen, Erfahrungen der Kommunikationsabteilung, Regeln für die Nutzung von Social Media während der Arbeitszeit sowie eine klare Abgrenzung zwischen beruflicher und privater Nutzung.
4. Die fertige Richtlinie muss im Idealfall in einer durchdachten Kampagne im Unternehmen verbreitet werden, um das Bewusstsein der Angestellten für das Thema zu schärfen. In einer Schulung können Mitarbeiter über die Mechanismen im Internet und mögliche rechtliche Folgen zum Beispiel bei Verrat von Betriebsgeheimnissen aufgeklärt werden. Ihnen können Hinweise an die Hand gegeben werden, wie sich der Einsatz von Facebook und Twitter gewinnbringend statt schadenstiftend betreiben lässt. Das Minimum ist der Versand der Richtlinie per E-Mail. In einer Präsenzschulung kann jedoch genauer auf die Inhalte eingegangen werden, sie eignet sich besonders für kleinere Finanzinstitute. In größeren Firmen kann die Schulung auch regelmäßig online erfolgen. Perfekt ist eine Ergänzung durch beispielsweise Informationsstände in der Kantine oder konkrete Ansprechpartner in den Abteilungen oder Filialen.
5. Doch mit der Verbreitung der Richtlinie ist es nicht getan. Die Umsetzung im Unternehmen sieht Änderungen in den Strukturen und Prozessen vor. Zunächst ist wichtig, wo die Verantwortung für die Social Media Compliance liegt - in der Kommunikations-, der Compliance- oder einer neu geschaffenen Abteilung. Für die Kontrolle zur Einhaltung der Richtlinie müssen klare Abläufe, Zuständigkeiten und - im Fall eines Verstoßes - auch Sanktionen definiert werden. Dazu gehören ebenfalls ein Notfallplan und Eskalationsprozesse bei einem Shitstorm.
6. Eine kontinuierliche Steuerung und Überwachung ist erforderlich, um Probleme frühzeitig zu erkennen und führt dauerhaft zu einer Prozessverbesserung. Dies kann auch durch entsprechende Tools unterstützt werden, eine geeignete Softwareauswahl ist hierzu hilfreich. Mitarbeiterexpertengruppen sollten diese Phase weiterhin als informelles Gremium begleiten.
Als Fazit lässt sich festhalten: Banken wollen in sozialen Netzwerken aktiv werden, dort Meinungsführer werden und ihr Image verbessern. Auch die Vertriebsaktivitäten sollen durch Social Media unterstützt werden, Bekanntheitsgrad und Reichweite steigen. Als Risiken wird oft nur ein potenzieller Shitstorm der Kunden gesehen.
Doch auch in der privaten und beruflichen Nutzung von Twitter, Facebook und Co. durch Mitarbeiter oder andere Stakeholder des Finanzinstituts bestehen erhebliche Risiken. Diese können sogar gravierende rechtliche, technische oder imageschädigende Auswirkungen haben. Um dies zu vermeiden muss eine zu dem speziellen Finanzinstitut passende Social-Media-Richtlinie erstellt werden. Vor allem muss aber das Bewusstsein aller Beteiligten im Unternehmen geschärft werden und die gewinnbringende Nutzung und Überwachung des Web 2.0 in die Ablauf- und Aufbauorganisation mit ihren Prozessen fest integriert werden.