Trend Logo

Datendiebstahl durch Mitarbeiter: Unternehmen in der Pflicht

IN KOOPERATION MIT ERGO VERSICHERUNG
Subressort
Recht
Aktualisiert
Lesezeit
10 min

©Shutterstock.com
  1. home
  2. Finanzen
  3. Recht

Ein unsichtbares Verbrechen mit schwerwiegenden Folgen

Während der Diebstahl physischer Gegenstände wie Firmenlaptops oder Smartphones schnell bemerkt wird, bleibt der Diebstahl von Unternehmensdaten oft lange unentdeckt. Häufig wird ein solcher Vorfall erst bemerkt, wenn die Daten bereits missbräuchlich verwendet wurden – sei es durch unbefugten Zugang, Verkauf oder Weitergabe von Geschäftsgeheimnissen. Besonders betroffen sind Unternehmen, in denen sensible Kundendaten oder Betriebsinterna verarbeitet werden.

Datendiebstahl vs. Datenmissbrauch

Datendiebstahl geht oft mit Datenmissbrauch einher. Während der Diebstahl selbst die unbefugte Entwendung von Daten bedeutet, beginnt der Missbrauch, wenn diese Daten für unerlaubte Zwecke verwendet werden. Besonders das Darknet dient als Umschlagplatz für gestohlene Informationen, die dort an Cyberkriminelle, Wettbewerber oder andere Interessenten verkauft werden.

Nicht nur externe Hacker sind Täter – auch aktuelle oder ehemalige Mitarbeiter können sich Daten widerrechtlich aneignen. Während aktive Mitarbeiter oft fahrlässig handeln, sind Ex-Mitarbeiter häufig bewusst auf Datendiebstahl aus. Unternehmen müssen daher präventive Maßnahmen treffen, um Missbrauch zu verhindern.

Wichtige Bestandteile der DSGVO für Österreich

In Österreich gelten neben der EU-DSGVO zusätzliche nationale Regelungen, die für Unternehmen von besonderer Bedeutung sind:

  1. Datengeheimnis (§ 6 DSG): Mitarbeiter und Verantwortliche sind zur Wahrung des Datengeheimnisses verpflichtet. Ein Verstoß kann nicht nur arbeitsrechtliche, sondern auch strafrechtliche Konsequenzen nach sich ziehen.

  2. Besondere Regelungen für Mitarbeiterdaten (§ 11 DSG): Arbeitgeber dürfen personenbezogene Daten ihrer Mitarbeiter nur im Rahmen der arbeitsrechtlichen Bestimmungen verarbeiten. Eine darüber hinausgehende Nutzung, etwa zur Leistungsüberwachung, ist nur unter strengen Voraussetzungen erlaubt.

  3. Sanktionen bei Verstößen: Neben den in der DSGVO vorgesehenen Geldbußen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes können in Österreich zusätzlich Verwaltungsstrafen durch die Datenschutzbehörde verhängt werden.

  4. Meldepflicht von Datenschutzverletzungen: Unternehmen müssen Datenschutzverstöße innerhalb von 72 Stunden der Datenschutzbehörde melden. Falls ein hohes Risiko für betroffene Personen besteht, müssen auch diese informiert werden.

  5. Privacy by Design und Privacy by Default (Art. 25 DSGVO): Unternehmen müssen technische und organisatorische Maßnahmen implementieren, um den Datenschutz von Beginn an sicherzustellen. Dies umfasst z. B. Zugriffsrechte, Verschlüsselung und Pseudonymisierung.

  6. Rechte betroffener Personen (Art. 12–22 DSGVO): Unternehmen müssen sicherstellen, dass Betroffene ihre Rechte – etwa das Recht auf Auskunft, Berichtigung oder Löschung – einfach und ohne Verzögerung ausüben können.

Rechtliche Folgen und Unternehmenshaftung

Cybersecurity, Cyberattacken, Data Breach und IT-Sicherheit – Begriffe und Konzepte, die spätestens seit der DSGVO und der NIS-Richtlinie allen Unternehmen bekannt sind. Doch meinen nach wie vor viele Unternehmen, ein paar technischen Schutzmaßnahmen zu Abwehr von Gefahren von außen, allenfalls unterstützt durch generische Schulungen, stellten bereits angemessene Cybersicherheitsmaßnahmen dar. Dabei werden regelmäßig organisatorische Aspekte, vor allem in Bezug auf die eigenen Mitarbeiter:innen, übersehen.

Allerdings kann auch der einzelne Mitarbeiter in die Haftung genommen werden – insbesondere bei grober Fahrlässigkeit oder vorsätzlichem Datenmissbrauch. Die DSGVO und nationale Datenschutzgesetze sehen strenge Sanktionen für Datenschutzverstöße vor. In Österreich drohen Verwaltungsstrafen bis zu 50.000 Euro für den Verstoß gegen das Datengeheimnis. In schwerwiegenden Fällen können sogar strafrechtliche Konsequenzen folgen.

 

Art. 4 Nr. 12 DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ (data breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Daher sieht die DSGVO für den Fall einer solchen Verletzung des Schutzes personenbezogener Daten folgende Melde- und Benachrichtigungspflichten vor: 

  1. Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie

  2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Meldung an die Aufsichtsbehörde

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde (in Österreich ist dies die Datenschutzbehörde) muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.

Benachrichtigung der betroffenen Person

Die betroffene Person ist im Falle eines voraussichtlich hohen Risikos unverzüglich von der Datenschutzverletzung zu benachrichtigen. Diese Benachrichtigung muss zumindest Folgendes beinhalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten in klarer und einfacher Sprache,

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,

  • eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung,

  • eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Präventive Maßnahmen: Technischer und organisatorischer Schutz

Unternehmen müssen proaktiv Maßnahmen ergreifen, um Datendiebstahl zu verhindern. Dazu gehören:

  1. Zugriffsmanagement und Berechtigungen: Die DSGVO fordert eine klare Dokumentation der Zugriffsrechte, um unbefugten Zugang zu vermeiden. Besonders im „Leaver“-Prozess, also bei ausscheidenden Mitarbeitern, müssen Zugriffsrechte sofort entzogen werden.

  2. Datenverschlüsselung und Überwachung: Eine starke Verschlüsselung und Monitoring-Mechanismen helfen, verdächtige Aktivitäten frühzeitig zu erkennen.

  3. Geheimhaltungs- und Wettbewerbsklauseln: Arbeitsverträge sollten entsprechende Klauseln enthalten, um wirtschaftliche Schäden durch Datenmissbrauch zu minimieren.

  4. Schulungen und Sensibilisierung: Mitarbeiter sollten regelmäßig über den sicheren Umgang mit Daten aufgeklärt werden, insbesondere im Homeoffice.

Fazit: Datenschutz als Unternehmensverantwortung

Datendiebstahl durch Mitarbeiter ist ein ernstzunehmendes Risiko für Unternehmen. Die Verantwortung liegt nicht nur bei der IT-Abteilung, sondern erfordert einen umfassenden organisatorischen und rechtlichen Schutz. Durch technische Sicherheitsmaßnahmen, klare interne Richtlinien und konsequente Schulung der Mitarbeiter kann das Risiko erheblich reduziert werden. Die Einhaltung der DSGVO ist dabei nicht nur eine gesetzliche Pflicht, sondern auch ein essenzieller Bestandteil des Unternehmenserfolgs.

Weitere Rechtsinformationen und alles rund um Ihre rechtliche Absicherung finden Sie unter ergo-versicherung.at/das-rechtsschutz

Info-Hotline: 0800 224422
Mail: service@ergo-versicherung.at
Facebook | Instagram | LinkedIn I Blog I Podcast

ERGO Versicherung AG:
Die ERGO Versicherung AG ist mit ihrer weit über 100-jährigen Erfolgsgeschichte eines der führenden Versicherungsunternehmen auf dem österreichischen Markt. Als Tochtergesellschaft der ERGO Austria International AG ist sie Teil der ERGO Group und somit der Munich Re, einem der weltweit führenden Rückversicherer und Risikoträger. Im Rahmen strategischer Kooperationen mit den Partnern UniCredit/Bank Austria und Volksbanken sowie über den eigenen Außendienst, angeschlossene Makler, Agenturen und den Direktvertrieb bietet sie ein kundenorientiertes, bedarfsgerechtes Produktsortiment an Lebens-, Kranken- und Schaden-/Unfall- sowie Rechtsschutzversicherungen für den privaten sowie betrieblichen Bereich an.

Infos unter ergo-versicherung.at

Haftungsauschluss:
Antworten auf Fragen und bereitgestellte Texte haben lediglich Informationscharakter. Sie wurden von den Rechtsexperten der D.A.S. bzw. durch deren Partneranwälte gründlich recherchiert. Trotzdem übernehmen trend.at und die ERGO Versicherung AG keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen.

Rechtsschutz
Logo
Jetzt trend. ab € 14,60 im Monat abonnieren!
Jetzt abonnieren
Ähnliche Artikel
Kostenvoranschlag und Co.
Kooperation
Kostenvoranschlag und Co.