Hat ein Ex-Mitarbeiter Daten von seinen früheren Firmen-PC heruntergeladen, können sich Risiken nach der DSGVO und der Geheimnisschutz-Richtlinie ergeben.
Ein Mitarbeiter hat berechtigten Zugriff sowohl auf im Unternehmen verarbeitete personenbezogene Daten (Bewerber, Mitarbeiter, Kunden) als auch auf Geschäftsgeheimnisse (Produktentwicklungen, Preiskalkulationen). Er wechselt zu einem Mitbewerber seines Arbeitgebers. Nach seinem Abgang stellt sich heraus, dass er offenbar mit einem unternehmensfremden Datenträger auf seinen Firmencomputer zugegriffen hat. Welche Daten tatsächlich heruntergeladen wurden, ist nicht feststellbar, weil das Unternehmen kein System implementiert hat, das dokumentiert, von wem wann auf welche Daten zugegriffen wird. Nachweisbar sind nur die gehäuften Zugriffe auf seinen Computer kurz vor seinem Abgang. Eine Verwertung personenbezogener Daten und Geschäftsgeheimnisse durch den neuen Arbeitgeber ist nicht nachweisbar.
Was kann man tun, um das Risiko zu minimieren?
Abgesehen von arbeits-, wettbewerbs- und strafrechtlichen Themen können sich daraus auch nach der Datenschutz-Grundverordnung der EU (DSGVO) und der Geheimnisschutz-Richtlinie (EU) 2016/943 Risiken ergeben. In diesem Zusammenhang ist die Problematik dabei nicht wesentlich anders, wenn der Datenzugriff unberechtigt war, während des aufrechten Dienstverhältnisses entdeckt wurde und zur Entlassung geführt hat. Eine Verletzung der Datenschutzbestimmungen und der Regeln zum Schutz von Geschäftsgeheimnissen ist hier ebenfalls bereits erfolgt. Was tun im Fall solcher Rechtsverletzungen und zur Risikominimierung?
Zunächst zur DSGVO: Der Arbeitgeber ist Verantwortlicher nach der DSGVO, die Verarbeitung personenbezogener Daten muss nach den Grundsätzen der Rechtmäßigkeit (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, et cetera) erfolgen. Technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung wurden getroffen, die Mitarbeiter wurden auf das Datengeheimnis verpflichtet, und ein Kontrollsystem wurde eingerichtet. Trotzdem ist zu befürchten, dass eine rechtswidrige Entwendung von Daten passiert ist.
Wie bei Cyberattacken ist auch hier mittlerweile davon auszugehen, dass es sich um eine Art Standardrisiko handelt, bei dessen Eintritt ein gut implementierter Ablauf zur Erfüllung der gesetzlichen Verpflichtungen und Schadensminderung starten sollte. Wichtig ist vor allem, dass die Angelegenheit nicht als "peinlich" vertuscht wird, sondern wie zum Beispiel bei Arbeitsunfällen eine professionelle und transparente Reaktion des Unternehmens erfolgt.
Durch eine Entwendung von personenbezogenen Daten fällt die Rechtmäßigkeit der Verarbeitung weg, und es ist von einer Datenschutzverletzung auszugehen. Somit sind die Melde- und Benachrichtigungspflichten gemäß der DSGVO und dem österreichischen Datenschutzgesetz (DSG) einzuhalten. Die Datenschutzbehörde ist unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden der Verletzung zu verständigen, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Vom Bestehen eines solchen Risikos muss wohl im Zweifel ausgegangen werden. Verzögerungen bei der Meldung sind zu begründen. Die Meldung hat die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu enthalten.
Grundsätzlich sind auch die von der Verletzung betroffenen Personen unverzüglich zu benachrichtigen. Es sei denn, der Arbeitgeber hat als Verantwortlicher geeignete technische und organisatorische Sicherheitsvorkehrungen implementiert, die wie zum Beispiel durch eine Verschlüsselung den Zugang zu den personenbezogenen Daten unmöglich machen, oder nachfolgende risikominimierende Maßnahmen getroffen. Wenn die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, kann stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen.
Verstöße gegen die DSGVO und das DSG können nicht nur zu Geldbußen führen, sondern berechtigen auch die Personen, deren Rechte auf Datenschutz verletzt wurden, grundsätzlich zu Ersatzansprüchen aus materiellen und immateriellen Schäden gegen den Arbeitgeber als Verantwortlichen. Eine Haftungsbefreiung tritt nur dann ein, wenn der Nachweis gelingt, dass der Arbeitgeber in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden entstanden ist. Das zeigt deutlich, wie wichtig technische und organisatorische Sicherheitsmaßnahmen und ein Maßnahmenplan für den Fall eines "Datenschutzunfalls" sind, um Benachrichtigungspflichten und Schadenersatzansprüche aus Datenschutzverletzungen durch Mitarbeiter möglichst zu minimieren.
Zu den Geschäftsgeheimnissen: Die Geheimnisschutz-Richtlinie gilt in Österreich seit 9. Juni 2018 mangels Umsetzung direkt. Die Regierungsvorlage zur Umsetzung im Gesetz gegen den unlauteren Wettbewerb wird derzeit im Wirtschaftsausschuss des Parlaments behandelt und soll vor allem begriffliche Klarstellungen und auch eine Verbesserung des verfahrensrechtlichen Schutzes bringen.
Dem Arbeitgeber stehen bei der Entwendung von Geschäftsgeheimnissen zivil-, arbeits- und strafrechtliche Rechtsbehelfe zur Verfügung. Über eine einstweilige Verfügung kann die Unterlassung der Nutzung der entwendeten Geschäftsgeheimnisse erreicht werden. Eine rasche Beweissicherung läuft am besten über ein strafrechtliches Ermittlungsverfahren, erfordert aber Anhaltspunkte für den Verdacht der Weitergabe an Dritte zu Zwecken des Wettbewerbs beziehungsweise zur Verwertung.
Wenn wie im hier geschilderten Fall weder der Inhalt der entwendeten Daten noch die Verwertung durch den neuen Arbeitgeber oder sonstige Dritte zumindest bescheinigt werden können, fehlen die Grundlagen für die genannten Rechtsbehelfe einschließlich der für einen Schadenersatzanspruch notwendigen Nachweisbarkeit eines Schadens. Somit bleibt arbeitsrechtlich nur die Geltendmachung einer Vertragsstrafe, falls eine solche im Zusammenhang mit einer Konkurrenzklausel nach Vertragsende vereinbart wurde. Bei einer Konkurrenzklausel ohne Vertragsstrafe kann der Arbeitgeber die Erfüllung der Konkurrenzklausel durch ein Beschäftigungsverbot beim Mitbewerber verlangen.
Ein positives Betriebsklima kann helfen
Wesentlich ist, dass "angemessene Geheimhaltungsmaßnahmen" nachweisbar zum Schutz der Geschäftsgeheimnisse implementiert wurden, da sonst gemäß der Definition in der Richtlinie mangels Vorliegen eines Geschäftsgeheimnisses kein Schutz gegeben ist. Zu solchen Maßnahmen gehören unter anderen vertragliche Verpflichtungen zur Geheimhaltung und Einhaltung von Unternehmensrichtlinien zum Geheimnisschutz, Regeln zu Erteilung und Entzug von Zugriffsberechtigungen sowie die vertragliche Zustimmung zur Dokumentation der Zugriffe und deren Kontrolle.
Erfahrungsgemäß helfen neben den genannten Maßnahmen auch ein positives Betriebsklima und eine die Mitarbeiter wertschätzende Unternehmenskultur, die zu einer Identifizierung der Mitarbeiter mit dem Unternehmen beiträgt. Dann ist auch die Versuchung geringer, dem Arbeitgeber zu schaden, um sich selbst zu nützen.
Teresa Bogensberger ist selbständige Rechtsanwältin und unter anderem auf Arbeitsrecht und IP-Recht spezialisiert (Northcote Recht). Einer ihrer weiteren Schwerpunkte ist das Datenschutzrecht.