Grundsätzlich sind auch die von der Verletzung betroffenen Personen unverzüglich zu benachrichtigen. Es sei denn, der Arbeitgeber hat als Verantwortlicher geeignete technische und organisatorische Sicherheitsvorkehrungen implementiert, die wie zum Beispiel durch eine Verschlüsselung den Zugang zu den personenbezogenen Daten unmöglich machen, oder nachfolgende risikominimierende Maßnahmen getroffen. Wenn die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, kann stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen.

Verstöße gegen die DSGVO und das DSG können nicht nur zu Geldbußen führen, sondern berechtigen auch die Personen, deren Rechte auf Datenschutz verletzt wurden, grundsätzlich zu Ersatzansprüchen aus materiellen und immateriellen Schäden gegen den Arbeitgeber als Verantwortlichen. Eine Haftungsbefreiung tritt nur dann ein, wenn der Nachweis gelingt, dass der Arbeitgeber in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden entstanden ist. Das zeigt deutlich, wie wichtig technische und organisatorische Sicherheitsmaßnahmen und ein Maßnahmenplan für den Fall eines "Datenschutzunfalls" sind, um Benachrichtigungspflichten und Schadenersatzansprüche aus Datenschutzverletzungen durch Mitarbeiter möglichst zu minimieren.

Zu den Geschäftsgeheimnissen: Die Geheimnisschutz-Richtlinie gilt in Österreich seit 9. Juni 2018 mangels Umsetzung direkt. Die Regierungsvorlage zur Umsetzung im Gesetz gegen den unlauteren Wettbewerb wird derzeit im Wirtschaftsausschuss des Parlaments behandelt und soll vor allem begriffliche Klarstellungen und auch eine Verbesserung des verfahrensrechtlichen Schutzes bringen.

Dem Arbeitgeber stehen bei der Entwendung von Geschäftsgeheimnissen zivil-, arbeits- und strafrechtliche Rechtsbehelfe zur Verfügung. Über eine einstweilige Verfügung kann die Unterlassung der Nutzung der entwendeten Geschäftsgeheimnisse erreicht werden. Eine rasche Beweissicherung läuft am besten über ein strafrechtliches Ermittlungsverfahren, erfordert aber Anhaltspunkte für den Verdacht der Weitergabe an Dritte zu Zwecken des Wettbewerbs beziehungsweise zur Verwertung.

Wenn wie im hier geschilderten Fall weder der Inhalt der entwendeten Daten noch die Verwertung durch den neuen Arbeitgeber oder sonstige Dritte zumindest bescheinigt werden können, fehlen die Grundlagen für die genannten Rechtsbehelfe einschließlich der für einen Schadenersatzanspruch notwendigen Nachweisbarkeit eines Schadens. Somit bleibt arbeitsrechtlich nur die Geltendmachung einer Vertragsstrafe, falls eine solche im Zusammenhang mit einer Konkurrenzklausel nach Vertragsende vereinbart wurde. Bei einer Konkurrenzklausel ohne Vertragsstrafe kann der Arbeitgeber die Erfüllung der Konkurrenzklausel durch ein Beschäftigungsverbot beim Mitbewerber verlangen.

Ein positives Betriebsklima kann helfen

Wesentlich ist, dass "angemessene Geheimhaltungsmaßnahmen" nachweisbar zum Schutz der Geschäftsgeheimnisse implementiert wurden, da sonst gemäß der Definition in der Richtlinie mangels Vorliegen eines Geschäftsgeheimnisses kein Schutz gegeben ist. Zu solchen Maßnahmen gehören unter anderen vertragliche Verpflichtungen zur Geheimhaltung und Einhaltung von Unternehmensrichtlinien zum Geheimnisschutz, Regeln zu Erteilung und Entzug von Zugriffsberechtigungen sowie die vertragliche Zustimmung zur Dokumentation der Zugriffe und deren Kontrolle.

Erfahrungsgemäß helfen neben den genannten Maßnahmen auch ein positives Betriebsklima und eine die Mitarbeiter wertschätzende Unternehmenskultur, die zu einer Identifizierung der Mitarbeiter mit dem Unternehmen beiträgt. Dann ist auch die Versuchung geringer, dem Arbeitgeber zu schaden, um sich selbst zu nützen.