DATEN- UND GEHEIMNISSCHUTZ IM DREIECK MITARBEITER/-INNEN, ORGANISATION UND RECHT

Die Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen, sich intensiv mit der Erfassung und dem Schutz von personenbezogenen Daten auseinanderzusetzen. Die massiven Strafdrohungen, aber auch der Druck von Kundenseite erfordern eine neue Kultur im Umgang mit Daten – Schutz von Daten ist zur Chefsache geworden.

Anfang des Jahres 2019 erfuhr man aus den Medien, dass die Österreichische Post personenbezogene Daten im Hinblick auf eine parteipolitische Orientierung speichert und verkauft. Zahlreiche Organisationen haben Betroffenen Unterstützung angeboten und diese aufgefordert, ihr Recht auf Auskunft und Löschung der Daten geltend zu machen. Die Datenschutzbehörde hat massive Geldstrafen gegen die Österreichische Post verhängt. Der Druck der Öffentlichkeit auf Unternehmen ist erheblich gestiegen. Ein rechtswidriger Umgang mit Daten oder ein Vertuschen von Datenlecks ist für viele Kunden/Kundinnen Grund genug, dem Unternehmen für immer den Rücken zu kehren.

Jedes Management eines Unternehmens ist daher gefragt, Datenschutz-Compliance proaktiv zu betreiben und zu verstehen, dass diese auf gelebten internen Strukturen aufbauen muss. Ein wesentlicher Aspekt ist die Anleitung und Schulung der MitarbeiterInnen, eine Verpflichtung zum Datengeheimnis im Dienstvertrag allein ist nicht ausreichend. MitarbeiterInnen müssen die internen Regeln im Umgang mit Daten, aber auch mit Anfragen von Betroffenen und Behörden kennen. Sie müssen wissen, an wen sie sich intern wenden können, wenn z.B. eine E-Mail mit personenbezogenen Daten an die falsche Adresse geschickt wurde oder ein Auskunftsbegehren einlangt. Es muss im Unternehmen kommuniziert werden, dass MitarbeiterInnen eine umgehende Meldepflicht auch nur bei befürchteten Datenverletzungen trifft und dass das Unterlassen einer derartigen Meldung zu massiven Nachteilen für das Unternehmen führen kann. Eine zumindest jährliche Schulung unter Einbindung der IT-Abteilung, die MitarbeiterInnen auf die Gefahren wie Phishing Mails, Social Engineering etc. aufmerksam macht und trainiert, ist dabei unumgänglich.

Eine weitere Neuerung trat im Zusammenhang mit „geheimen Daten“ am 1.2.2019 in Kraft. Die zivilrechtlichen Bestimmungen zum Schutz von Geschäftsgeheimnissen wurden durch die Novelle des Gesetzes gegen den unlauteren Wettbewerb (UWG-Novelle 2018) neu geregelt. Unternehmen können seither Verletzungen von Geschäftsgeheimnissen nur dann gerichtlich verfolgen, wenn sie zuvor angemessene Maßnahmen zu deren Schutz getroffen haben. Auch wenn die Behörden gegenüber Unternehmen keine Geldstrafen verhängen, wenn sie ihre geheimen Daten nicht schützen, haftet der/die GeschäftsführerIn den GesellschafterInnen gegenüber jedenfalls für den Verlust der sogenannten Kronjuwelen eines Unternehmens, wenn zuvor keine entsprechenden Schutzmaßnahmen getroffen werden. Zu einem Wertverlust kommen üblicherweise auch Einbußen in der Reputation und allfällige Schadenersatzforderungen von VertragspartnerInnen, sodass eine proaktive und gelebte Unternehmenskultur zum Schutz von geheimen Daten unumgänglich ist.

Die Strukturen, die Unternehmen im Zusammenhang mit der DSGVO eingerichtet haben, lassen sich durchaus auch für den Schutz von geheimen Daten nutzen. Sobald das geheime Know-how des Unternehmens identifiziert und klassifiziert wurde, sind die entsprechenden organisatorischen Maßnahmen festzulegen und im Unternehmen zu kommunizieren. Dabei sind wiederum Schulungen der MitarbeiterInnen unter Einbindung der IT-Abteilung ein wesentlicher Bestandteil für einen effizienten Schutz von Geschäftsgeheimnissen. Für beide Bereiche ist die sorgfältige rechtliche Begleitung und Vertragsgestaltung unerlässlich. Eine weitere Synergie im Bereich Datenschutz und Schutz von Geschäftsgeheimnissen findet sich in der Erstellung eines Notfallplans für den Fall eines Datenverlusts. Dieser muss zumindest die Mitglieder des Notfallteams samt Handynummern sowie die Meldepflichten – idealerweise bereits mit Vorlagen – enthalten. Nur wenn Unternehmen auf diese Gefährdungslage ausreichend vorbereitet sind, richtig reagieren und kommunizieren, können Geldstrafen abgewendet und Schäden begrenzt werden.