Social-Media- und externe Kommunikationsrichtlinie – SME

Die Social-Media- und externe Kommunikationsrichtlinie (P36S) legt ein umfassendes, praxisorientiertes Rahmenwerk fest, um kleine und mittlere Unternehmen (KMU) bei öffentlichkeitswirksamer Kommunikation zu schützen. Sie umfasst alle externen Bezugnahmen auf das Unternehmen, einschließlich Social-Media-Aktivitäten, Blogbeiträgen, Event-Teilnahmen, Medienkontakt sowie dem öffentlichen Teilen von Bildern aus Arbeitsumgebungen, um die besonderen Compliance-, Rechts- und Reputationsrisiken digitaler Kommunikation zu adressieren. Diese Richtlinie ist ausdrücklich als KMU-Richtlinie ausgestaltet. Das zeigt sich daran, dass die Rolle des General Managers als primärer Richtlinienverantwortlicher und Compliance-Lead vorgesehen ist – statt dedizierter IT-Führungskräfte oder Sicherheitsbeauftragter. Dieser Ansatz stellt sicher, dass auch Organisationen ohne CISO oder Security Operations Center (SOC) robuste Kontrollen umsetzen können, die an die Anforderungen der ISO/IEC 27001:2022 ausgerichtet sind. Sämtliche zugehörigen Personen – einschließlich Mitarbeiter, Auftragnehmer, Freelancer, Lieferanten und temporäres Personal – fallen in den Geltungsbereich. Die Regeln gelten zudem für die Nutzung privater Konten oder Geräte, innerhalb und außerhalb der Arbeitszeiten. Das ist besonders relevant für KMU mit begrenzter Aufsicht sowie vielfältigen und flexiblen Arbeitsmodellen. Die Kernziele der Richtlinie sind klar definiert: Vermeidung von Reputationsschäden durch nicht genehmigte oder irreführende Aussagen, Schutz sensibler Unternehmens- und Kundendaten, fortlaufende Einhaltung rechtlicher Anforderungen (z. B. DSGVO) sowie Förderung professioneller und verantwortungsvoller Online-Interaktion. Die Governance-Anforderungen sind konkret umsetzbar; sie definieren z. B. klare Regeln für zulässige und verbotene Inhalte, verpflichtende Genehmigungen für öffentliche Auftritte, die Nutzung von Disclaimern bei Kommentaren zu Branchenthemen sowie starke Zugangskontrollen, wie Multi-Faktor-Authentifizierung (MFA), für offizielle Konten. Drittanbieter für Marketing oder PR müssen dies unter expliziten vertraglichen Vereinbarungen strikt einhalten und dürfen ohne Genehmigung des GMs keine Inhalte veröffentlichen. Die Umsetzung ist für KMU praxisnah gestaltet: Jährliche Auffrischungsschulungen und Onboarding-Schulungen sind für alle Mitarbeitenden erforderlich; vorgeschlagene öffentlichkeitswirksame Inhalte müssen dem GM zur Genehmigung mit Dokumentation vorgelegt werden; außerdem gibt es Leitlinien zur Archivierung von Beiträgen und zur Protokollierung von Genehmigungen – auch mittels Tabellenkalkulationen. Die Richtlinie fordert aktives Risikomanagement, einschließlich regelmäßiger Überprüfungen durch den GM hinsichtlich Expositionen im Zusammenhang mit sozialer Kommunikation, Anforderungen zur Bewältigung und Vorfallsmeldung unbeabsichtigter Offenlegungen (mit Verweisen auf die dedizierte Incident-Response-Richtlinie) sowie einen strukturierten Prozess für Ausnahmen und Änderungen. Die Durchsetzung ist robust und zugleich verhältnismäßig: Verstöße lösen klare Disziplinarmaßnahmen aus und werden proportional zu Schweregrad und Absicht behandelt. Alle Stakeholder, einschließlich Lieferanten, sind abgedeckt, was eine ganzheitliche und konsistente externe Präsenz unterstützt. Die Richtlinie wird durch direkte Verknüpfungen zu verwandten KMU-Kontrollen, zur Richtlinie zur zulässigen Nutzung, Security-Awareness-Schulungen, Datenschutz, Incident Response sowie rechtlichen Anforderungen ergänzt und stärkt damit eine integrierte Compliance-Haltung.