- © Adobe/everythingpossible
- © Adobe/everythingpossible

Ein Mitarbeiter hat berechtigten Zugriff sowohl auf im Unternehmen verarbeitete personenbezogene Daten (Bewerber, Mitarbeiter, Kunden) als auch auf Geschäftsgeheimnisse (Produktentwicklungen, Preiskalkulationen). Er wechselt zu einem Mitbewerber seines Arbeitgebers. Nach seinem Abgang stellt sich heraus, dass er offenbar mit einem unternehmensfremden Datenträger auf seinen Firmencomputer zugegriffen hat. Welche Daten tatsächlich heruntergeladen wurden, ist nicht feststellbar, weil das Unternehmen kein System implementiert hat, das dokumentiert, von wem wann auf welche Daten zugegriffen wird. Nachweisbar sind nur die gehäuften Zugriffe auf seinen Computer kurz vor seinem Abgang. Eine Verwertung personenbezogener Daten und Geschäftsgeheimnisse durch den neuen Arbeitgeber ist nicht nachweisbar.

Was kann man tun, um das Risiko zu minimieren?

Abgesehen von arbeits-, wettbewerbs- und strafrechtlichen Themen können sich daraus auch nach der Datenschutz-Grundverordnung der EU (DSGVO) und der Geheimnisschutz-Richtlinie (EU) 2016/943 Risiken ergeben. In diesem Zusammenhang ist die Problematik dabei nicht wesentlich anders, wenn der Datenzugriff unberechtigt war, während des aufrechten Dienstverhältnisses entdeckt wurde und zur Entlassung geführt hat. Eine Verletzung der Datenschutzbestimmungen und der Regeln zum Schutz von Geschäftsgeheimnissen ist hier ebenfalls bereits erfolgt. Was tun im Fall solcher Rechtsverletzungen und zur Risikominimierung?

Zunächst zur DSGVO: Der Arbeitgeber ist Verantwortlicher nach der DSGVO, die Verarbeitung personenbezogener Daten muss nach den Grundsätzen der Rechtmäßigkeit (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, et cetera) erfolgen. Technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung wurden getroffen, die Mitarbeiter wurden auf das Datengeheimnis verpflichtet, und ein Kontrollsystem wurde eingerichtet. Trotzdem ist zu befürchten, dass eine rechtswidrige Entwendung von Daten passiert ist.

Wie bei Cyberattacken ist auch hier mittlerweile davon auszugehen, dass es sich um eine Art Standardrisiko handelt, bei dessen Eintritt ein gut implementierter Ablauf zur Erfüllung der gesetzlichen Verpflichtungen und Schadensminderung starten sollte. Wichtig ist vor allem, dass die Angelegenheit nicht als "peinlich" vertuscht wird, sondern wie zum Beispiel bei Arbeitsunfällen eine professionelle und transparente Reaktion des Unternehmens erfolgt.

Durch eine Entwendung von personenbezogenen Daten fällt die Rechtmäßigkeit der Verarbeitung weg, und es ist von einer Datenschutzverletzung auszugehen. Somit sind die Melde- und Benachrichtigungspflichten gemäß der DSGVO und dem österreichischen Datenschutzgesetz (DSG) einzuhalten. Die Datenschutzbehörde ist unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden der Verletzung zu verständigen, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Vom Bestehen eines solchen Risikos muss wohl im Zweifel ausgegangen werden. Verzögerungen bei der Meldung sind zu begründen. Die Meldung hat die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu enthalten.