Hinweis: Mit Aktivierung des Videos wird YouTube im erweiterten Datenschutzmodus abgespielt. Mit der Aktivierung stimmen Sie den Datenschutzbestimmungen von YouTube und den Datenschutzbestimmungen der Mammut Aktenvernichtung zu.
Unerlaubte Datenmitnahme durch ausgeschiedene Mitarbeiter: Was tun bei Verdacht?
Der Schutz sensibler Unternehmens- und Kundendaten ist ein zentrales Anliegen für jedes Unternehmen. Doch was passiert, wenn der Verdacht besteht, dass ein ausgeschiedener Mitarbeiter solche Daten unerlaubt auf private Geräte übertragen hat?
Das unerlaubte Mitnehmen von Daten kann schwerwiegende Konsequenzen haben – von rechtlichen Sanktionen bis hin zu möglichen Datenschutzvorfällen, die das Unternehmen zur Meldung verpflichten.
Im folgenden Video erläutert Thomas Rosin, Berater für Daten- und Informationsschutz, welche Schritte Sie bei einem solchen Verdacht unternehmen sollten und wie Sie rechtlich sowie organisatorisch vorbeugen können.
Transkript des Videos:
Moin, ein Mammut-Kunde fragt: „Was müssen wir unternehmen, wenn wir den Verdacht haben, dass ein ausgeschiedener Mitarbeiter Kunden- und Unternehmensdaten auf private Geräte übertragen und behalten hat?“
Mein Name ist Thomas Rosin. Ich bin Berater für Daten- und Informationsschutz.
Dienstliche Daten gehören natürlich dem Arbeitgeber. Solche Daten zum Ende seines Arbeitsverhältnisses mitzunehmen oder auch währenddessen, kann einen Verstoß gegen verschiedene Gesetze darstellen. Das führt bis hin zu strafrechtlichen Konsequenzen.
Zur Erinnerung: Strafrechtliche Konsequenzen, das sind typischerweise Geldstrafen oder Freiheitsentzug. Aus einem solchen Verhalten können sich aber auch Schadensersatzforderungen oder Bußgelder ergeben.
Im Klartext: Die Mitnahme von Unternehmensdaten, das ist kein Kavaliersdelikt.
Wenn ein Verdacht geäußert wird, dass ein Mitarbeiter unerlaubt Unternehmensdaten entwendet hat, dann sollte die Situation zunächst unternehmensintern bewertet werden.
Besteht nur eine vage Vermutung oder gibt es ganz konkrete Anhaltspunkte?
Wenn es Beweise gibt, sollten diese sichergestellt werden. Aber damit solche Beweise später auch gerichtlich genutzt werden können, ist das der richtige Moment darüber nachzudenken, sich fachliche Unterstützung zu holen.
Typische nächste Ansprechpartner im Umfeld, vor allem kleiner und mittelständischer Unternehmen, sind der Fachanwalt für Arbeitsrecht oder der eigene Datenschutzbeauftragte. Beide helfen bei der Bewertung solcher Situationen und begleiten die nächsten Schritte.
Aber auch wenn die Beweislage noch unklar ist oder nur ein vager Verdacht besteht, können diese Experten dabei helfen, die Situation aufzuklären.
Der Verlust, das unbefugte Mitnehmen bzw. Weitergeben von personenbezogenen Daten, stellt in jedem Fall datenschutzrechtlich einen Datenschutzvorfall dar. An der Stelle ist das Unternehmen verpflichtet, das Risiko für die betroffenen Personen zu bewerten, also für die Menschen, um deren Daten es hier geht.
Besteht voraussichtlich ein Risiko, dann muss das Unternehmen den Datenschutzvorfall der zuständigen Aufsichtsbehörde melden. Ist sogar ein hohes Risiko anzunehmen, dann kann auch die Pflicht bestehen, die betroffenen Personen aktiv darüber zu informieren.
Sie werden sehen, solche Melde- und Informationspflichten verursachen eine hohe und nicht unbedingt immer angenehme Sichtbarkeit für das Unternehmen. Daher sollten Sie sich hier unbedingt von Ihrem Datenschutzbeauftragten beraten lassen. Der Datenschutzbeauftragte kann auf Grundlage seines Fachwissens und seiner Erfahrung das Risiko professionell bewerten und findet meist auch passendere Worte gegenüber den Behörden oder den betroffenen Personen.
Keine gute Option ist es, die Melde- und Informationspflichten ganz zu ignorieren. Die Nichterfüllung ist mit einem Bußgeld bewehrt.
Sie können in Ihrem Unternehmen aber auch durch bestimmte Maßnahmen Vorsorge betreiben.
Mitarbeiter sollten im Arbeitsvertrag oder in einem separaten Dokument schriftlich zur Vertraulichkeit verpflichtet werden. Dazu gehört aber nicht einfach nur ein unterschriebener Zettel, sondern auch eine angemessene Schulung, regelmäßige Sensibilisierung und Erinnerung und in wichtigen Bereichen auch Kontrollen.
Dazu gibt es eine ganze Reihe von technischen Maßnahmen, mit denen sich eine Mitnahme von Daten mindestens erschweren lässt und Ihnen eine gewisse Nachvollziehbarkeit ermöglicht, wenn es dann doch mal passiert.
Auch dazu berät Sie Ihr Datenschutzbeauftragter oder Ihre Datenschutzbeauftragte.
Bis zum nächsten Mal, Tschüss
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit