Cyberangriffe von außen auf Unternehmen sind immer wieder im Fokus der Aufmerksamkeit. Dabei gerät manchmal fast in Vergessenheit, dass statistisch gesehen jedes fünfte Unternehmen Opfer von Datenklau aus dem Inneren des Betriebes wird – das ist nicht nur geschäftsschädigend, sondern kann schnell zu einer Datenschutzverletzung werden, wenn sensible personenbezogene Daten vom Diebstahl betroffen sind. Oft sind die Akteur:innen bei Datendiebstahl dabei Mitarbeiter:innen, vor allem ehemalige, die bei ihrem Weggang Daten der früheren Arbeitgeber:innen mitnehmen. Kann man sich gegen diesen Datendiebstahl durch Mitarbeiter und Mitarbeiterinnen schützen? Und wenn ja, wie geht man am besten gegen Datenklau in der Firma vor?
Ein bekanntes Szenario: Entlassene Mitarbeiterin oder gekündigter Mitarbeiter stiehlt Daten
Die Szenen sind bekannt, denn sie spielen sich täglich so oder so ähnlich in Unternehmen ab: eine entlassene Mitarbeiterin oder ein gekündigter Mitarbeiter wechselt zur Konkurrenz. Dort kommt sie / er allerdings nicht mit leeren Händen an. Denn sie / er hat vorher bei dem / der ehemaligen Arbeitgeber:in wertvolle interne Daten abgezogen – Datenklau von innen stellt eine wachsende Bedrohung für Unternehmen dar. Sobald der Datendatendiebstahl erkannt wird, beginnt eine schwierige Aufarbeitung in dem betroffenen Betrieb: können wir den / die Täter:in juristisch verfolgen? Hätten wir das verhindern können?
Datenschutzverletzungen durch Mitarbeiterschulungen vermeiden
Datenschutzverletzungen, wie beispielsweise Datenklau, kommen in Unternehmen leider nicht selten vor. Umso wichtiger ist es, hier präventiv vorzugehen und Mitarbeiter im Vorhinein zu schulen.
Rechtliche Maßnahmen gegen den Datendieb: Welche Strafe gibt es bei Datendiebstahl?
Die juristische Verfolgung von ehemaligen Mitarbeiter:innen gestaltet sich meist schwierig. Das liegt zum einen daran, dass der Datenklau häufig erst spät entdeckt wird, etwa dann, wenn kaum erklärliche rückläufige Auftragszahlen und Umsatzrückgänge den Verdacht aufwerfen, dass jemand über Daten verfügt, die ihm nicht zustehen. Nach längerer Zeit Beweise für den Datendiebstahl zu erbringen, ist vielfach schlicht nicht mehr möglich. Zwar kann sich der / die Datendieb:in strafbar gemacht haben und könnte bei eindeutiger Beweislage auch zivilrechtlich auf Schadensersatz in Anspruch genommen werden, jedoch muss die Tat dann auch tatsächlich nachweisbar sein. Die klauende Person müsste schon auf frischer Tat beim Datenklau in der Firma ertappt werden, um eine klare Beweislage zu haben. Auch vorsorglich in den Arbeitsvertrag aufgenommene, nachvertragliche Wettbewerbsverbote sind, wie beispielsweise im Falle einer nicht vereinbarten Zahlung einer Karenzentschädigungen durch den Arbeitgeber, nicht immer wirksam.
Kann einem ehemaligen Mitarbeiter bzw. einer ehemaligen Mitarbeiterin ein Datendiebstahl nachgewiesen werden, können Arbeitnehmer:innen sowohl straf- als auch zivilrechtlich dagegen vorgehen. Strafrechtlich kann es dabei für den / die Täter:in von Geldstrafen bis hin zu Haftstrafen bei besonders schweren Fällen kommen. Zivilrechtlich bedeutet ein Verfahren für den / die Dieb:in vor allem die mögliche Verurteilung auf Zahlung von Schadensersatzansprüchen.
Gefahr durch Datenklau erkannt und gebannt
Der erste Schritt im Unternehmen sollte sein, sich bewusst zu werden, welche Gefahr vom Datendiebstahl durch (ehemalige) Mitarbeiter und (entlassene) Mitarbeiterinnen ausgeht. Zusammen mit Ihrem Datenschutzbeauftragten können die für das Unternehmen passenden technischen Maßnahmen sondiert und eingeführt werden. Insbesondere der IT-Bereich sollte hier stark mit einbezogen werden:
Datenklau durch Mitarbeiter und Mitarbeiterinnen vorbeugen
Es gibt bestimmte Verhaltensweisen und Routinen in der IT, die den Datendiebstahl durch Mitarbeiter und Mitarbeiterinnen erheblich begünstigen. Dazu zählen beispielsweise:
unklare Zugriffsstrukturen auf geheime Daten,
der vermehrte Einsatz mobiler Geräte, von denen ebenfalls auf hoch sensible Daten zugegriffen werden kann und die solche Daten auch abspeichern
sowie der legere Umgang mit Passwörtern.
Moderne IT-Technik bietet aber eine Reihe von Möglichkeiten sensible Unternehmensdaten vor dem Zugriff arglistiger Mitarbeiter:innen zu schützen. Stichworte sind hier die Einführung von Zugangsberechtigungskarten, Festplattenverschlüsselungen, die Verschlüsselung von Daten, die sich durch das Netzwerk bewegen (Data-in-Motion-Verschlüsselung), Stealth-Produkte, die nur den Datenaustausch innerhalb bestimmter Gruppen erlauben und ansonsten verschlüsseln, sowie vieles weitere.
Wichtig ist zudem ein akkurates Passwort- und Zugangsmanagement. Passwort-Diebstahl sollte unmöglich gemacht werden. Es sind inzwischen sogar Softwarelösungen in der (Weiter-)Entwicklung, die Datenlecks und verdächtige Datenübertragungen während des Prozesses selbst aufspüren sowie analysieren. Auch ein effektives Log-Daten-Management gehört in die Kategorie der Schutzmaßnahmen gegen Datenklau durch Mitarbeiter und Mitarbeiterinnen.
Effektives Datenschutzmanagement schützt vor Datenklau durch Mitarbeiter
Im Grunde handelt es sich bei allen geschilderten Maßnahmen um solche, die ein qualifiziertes Datenschutzmanagement in einem Betrieb umfassen sollte. Dabei ist es mit Blick auf den Datenschutz und möglichen Datendiebstahl unverzichtbar, diese technischen Schutzvorrichtungen gegen Datenklau und Passwort-Diebstahl immer wieder an den neuesten Stand der Technik anzupassen.
Stehlende (Ex-)Mitarbeiter:innen profitieren häufig von entsprechenden innerbetrieblichen Nachlässigkeiten. Zwar macht ein aktuelles und effektives Datenschutzmanagement die unbefugte Mitnahme von Unternehmensdaten sowie Passwörtern nicht völlig unmöglich. Dem / der potenziellen Täter:in wird es aber dadurch erschwert, mit den Betriebsdaten die Konkurrenz zu versorgen, weil er / sie aufgrund gesteigerter Kontrollmechanismen große Befürchtungen haben muss, bei der Tat ertappt zu werden.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 26.11.2020
