24.10.2016 von

Sieben Tipps gegen Datendiebstahl durch Mitarbeiter

Ob es nun enttäuschte Mitarbeiter oder echte „Maulwürfe“ sind: Ein Datendiebstahl durch Mitarbeiter passiert einfach, schnell und meist ohne großes Aufsehen. Der wirtschaftliche Schaden kann existenzbedrohend sein. Bei Bekanntwerden eines Datendiebstahls ist auch ein Reputationsverlust nahezu garantiert.

Datendiebstahl durch Mitarbeiter stellt Unternehmen vor enorme rechtliche und organisatorische Herausforderungen. Aber wie lässt sich ein Datenklau effizient vermeiden?

Geheimhaltungspflichten der Mitarbeiter

Die gute Nachricht zuerst: Das österreichische Recht verbietet während des aufrechten Dienstverhältnisses großflächig die Preisgabe von unternehmenseigenen Daten. So ergibt sich bereits aus den Treuepflichten eines Mitarbeiters eine Pflicht zur Verschwiegenheit über Geschäfts- und Betriebsgeheimnisse. Zu diesen zählen z.B. elektronische Warenverzeichnisse, Kalkulationsgrundlagen, Bilanzen, Kundenkarteien und Produktionsabläufe. Ein Verstoß gegen diese Verschwiegenheitspflicht kann zur Entlassung des Mitarbeiters und Schadenersatzansprüchen des Arbeitgebers führen.

Abgesehen davon macht sich ein Mitarbeiter strafbar, wenn er Geschäfts- oder Betriebsgeheimnisse mit dem Vorsatz auskundschaftet, diese zu verwerten oder der Öffentlichkeit preiszugeben („Wirtschaftsspionage“, § 123f StGB). Bekanntschaft mit dem Strafrichter kann ein Mitarbeiter auch dann machen, wenn er Unternehmensgeheimnisse während des aufrechten Dienstverhältnisses unbefugt anderen zu Zwecken des Wettbewerbs mitteilt (§ 11 UWG). In all diesen Fällen drohen dem Mitarbeiter neben der Entlassung eine Geldstrafe und sogar Gefängnis.

Unternehmenseigene Schutzmaßnahmen sind ein Muss

Nach dem Datenschutzgesetz müssen Unternehmen ihre Mitarbeiter vertraglich dazu verpflichten, Unternehmensdaten während und nach Ende des Dienstverhältnisses geheim zu halten („Datengeheimnis“, § 15 DSG 2000). Unternehmen sollten daher – als schutztechnischer Mindeststandard – bereits bei Beginn des Dienstverhältnisses Mitarbeiter im Dienstvertrag oder durch eine eigene Datenschutz-Policy zum Schutz von Unternehmensdaten verpflichten.

Bedauerlicherweise kommen Datendiebstähle trotz eines relativ engmaschigen Pflichtenkatalogs in der Praxis regelmäßig vor. Diese Tatsache ist für Unternehmen umso brisanter, als das Datenschutzgesetz (DSG 2000) sie ausdrücklich verpflichtet, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dazu kommt nach der (ab Mai 2018) geltenden EU-Datenschutz-Grundverordnung (DSGVO) die Verpflichtung, risikoangemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren. Das Unterlassen von technisch-organisatorischen Schutzmaßnahmen kann zu Verwaltungsstrafen und hohen Schadenersatzansprüchen von Kunden und Vertragspartnern führen. Unternehmensorgane haften sogar persönlich für sorgfaltswidriges Verhalten.

Unternehmen sollten sich daher ein umfassendes Konzept zum Schutz von Unternehmensdaten zurechtlegen, das neben vertraglichen auch technisch-organisatorische Maßnahmen umfasst. Die Schutzmaßnahmen sollten möglichst durch eine Betriebsvereinbarung mit dem Betriebsrat abgesichert werden. Gibt es keinen Betriebsrat, sollten Zustimmungserklärungen der Mitarbeiter eingeholt werden (z.B. im Dienstvertrag oder über eine IT-Sicherheits-Policy).

Checkliste gegen Datendiebstahl durch Mitarbeiter

Folgende sieben technisch-organisatorische Maßnahmen sind zu empfehlen, um Datendiebstahl durch Mitarbeiter zu vermeiden:

  1. Stellen Sie bereits im Bewerbungsverfahren sicher, dass Mitarbeiter mit erhöhtem Gefährdungspotenzial nicht eingestellt werden. Dazu können „Background-Checks“ wertvolle Informationen liefern. Neben Recherche in öffentlich zugänglichen Kanälen (insbesondere Google, Social Media) empfiehlt es sich, auch einen Auszug aus dem Strafregister zu verlangen (zulässig bei sensiblen Positionen) und – mit Zustimmung des Kandidaten – bei ehemaligen Arbeitgebern Informationen einzuholen.
  2. Installieren Sie eine Software, mit der Sie feststellen können, welche Datenflüsse für die unterschiedlichen Positionen im Unternehmen typisch bzw. standardisiert sind. So kann man einen Verhaltensstandard bei der Datenverwendung durch Mitarbeiter festlegen. Dadurch wird ein ungewöhnliches Zugriffsverhalten auf eine Datenbank (z.B. außerhalb gewöhnlicher Arbeitszeiten) oder das Herunterladen oder Versenden besonders großer Datenmengen leichter erkennbar.
  3. Bei verdächtigen Aktivitäten sollte der Systemadministrator eine Echtzeit-Warnung erhalten. Diese ermöglicht, einen Datendiebstahl unmittelbar zu stoppen. Ein solches Vorgehen setzt natürlich die Installierung einer geeigneten Sicherheits-Software voraus.
  4. Seien Sie besonders vorsichtig bei der Erteilung von Zugangsberechtigungen. Achten Sie auch darauf, dass die Zugangsberechtigungen eines Mitarbeiters bei der Änderung von Position oder Aufgabengebiet ebenfalls geändert wird. Zusätzlich ist ein technisches Monitoring hilfreich, das identifiziert, welcher Mitarbeiter von welchem System auf welche Daten zugreifen möchte. Dadurch können Zugriffe von nicht berechtigten Personen leichter erkannt werden.
  5. Legen Sie ein Prozedere fest, wie Vorgesetzte und Kollegen bei einem unüblichen Verhalten eines anderen Mitarbeiters zu reagieren haben (z.B. Information des Vorgesetzten oder des verantwortlichen Sicherheitsexperten, Einführung einer Whistleblowing-Hotline).
  6. Führen Sie regelmäßig IT-Sicherheitsschulungen durch, in denen die Mitarbeiter auf die Gefahren eines Datenverlusts und Datendiebstahls hingewiesen und auf die Pflichten zur Verschwiegenheit und zum Schutz von Unternehmensdaten aufmerksam gemacht werden. Dadurch wird auch die Sensibilität der Mitarbeiter für ein rechtswidriges Verhalten von Kollegen erhöht. Die Mitarbeiter sind oft besser darin, Übeltäter ausfindig zu machen als eine ausgeklügelte Software.
  7. Stellen Sie sicher, dass Mitarbeiter bei Beendigung des Dienstverhältnisses sämtliche unternehmenseigenen Datenträger (insb. USB-Sticks) zurückgeben und alle Daten auf privaten Datenträgern (z.B. Smartphone, Laptop) unwiederbringlich löschen.

Conclusio

Grundsätzlich verbietet die österreichische Rechtsordnung Mitarbeitern die Preisgabe von unternehmenseigenen Daten. Trotzdem gehört der Datendiebstahl durch Mitarbeiter zum betrieblichen Alltag – mit oft verheerenden Folgen. Unternehmen sind daher gut beraten, die oben beschriebenen technisch-organisatorischen Maßnahmen umzusetzen.

Whitepaper Rechtliche Cyber-Risiken

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.