Der durch die Coronavirus-Krise in weiten Teilen notwendige Umstieg des Bürobetriebs auf Homeoffice musste unter großem Zeitdruck erfolgen. Die veränderten Arbeitsweisen eröffnen Schwachstellen und bergen Risiken im Umgang mit personenbezogenen Daten und Geschäftsgeheimnissen.

Anders als bei Immaterialgüterrechten – wie Patenten, Urheber- oder Datenbankrechten – bietet das Rechtssystem für Daten und Know-how keine gesetzlichen Exklusivrechte an. Unternehmen sind darauf angewiesen, die im Betrieb verwendeten wesentlichen Daten und Informationen durch entsprechende Sicherungsmaßnahmen zu schützen und geheim zu halten.

Die Einrichtung angemessener Schutzmaßnahmen wird von Unternehmen auch nach europäischem und österreichischem Recht zum Schutz von personenbezogenen Daten und Geschäftsgeheimnissen gefordert. Neben irreparablen Wettbewerbsnachteilen, Reputationsschäden und Schadenersatzansprüchen kann ein fahrlässiger Umgang mit Daten und Geschäftsgeheimnissen hohe DSGVO-Strafen auslösen. Geschäftsgeheimnisse können ihren besonderen Rechtsschutz verlieren, wenn diese nicht ausreichend geschützt werden.

Das war schon bisher eine Herausforderung, im Umfeld der Corona-Krise ist es das aber erst recht: Aus wirtschaftlichen Gründen wurden Unternehmen dazu gezwungen, binnen kurzer Zeit und massiv auf Homeoffice zu setzen. Oberste Priorität ist dabei die "business continuity". Der Schutz kritischer (personenbezogener) Daten und Geschäftsgeheimnisse droht dabei vernachlässigt zu werden.

Homeoffice ist anders

Das Risikoprofil im Homeoffice unterscheidet sich von jenem im Bürobetrieb: Mitarbeitern fehlen im Homeoffice die aus dem Bürobetrieb vertrauten Strukturen. Zugangskontrollen und Sicherungsmaßnahmen für Dokumente und Unterlagen fehlen, gearbeitet wird oftmals mit eigener, unternehmensfremder Hardware (bring your own device, BYOD).

Mitarbeiter sind dazu verleitet, fehlende Performance durch überlastete Firmennetzwerke durch Versenden vertraulicher Informationen an private E-Mail-Adressen oder auf ungeschützte Endgeräte auszugleichen.

Schon nach wenigen Wochen in der Coronavirus-Krise zeichnet sich ab, dass sich Homeoffice als "the new normal" langfristig in einigen Bereichen als Alternative etablieren dürfte. Unternehmen sind daher gut beraten, ihre Prozesse zur Sicherstellung der Einhaltung datenschutzrechtlicher Vorgaben und zur Geheimhaltung von Know-how und Geschäftsgeheimnissen zu evaluieren und an die geänderten Umstände anzupassen.

Risiko von Cyberattacken

Was also tun? BYOD, neue Software (etwa für Videokonferenzen) und das eigene Wifi-Netzwerk: Die Verwendung ungesicherter Schnittstellen im Homeoffice erhöht das Risiko von Cyberattacken und Industriespionage. Eine kontinuierliche Evaluierung der IT-Sicherheit mittels Penetrationstests, das Herstellen eines gesicherten Zugangs über VPN-Software zum Unternehmensnetzwerk, das Verbot der Nutzung öffentlicher oder ungesicherter drahtloser Netzwerke, die Sperrung des Zugriffs auf besonders heikle unternehmensinterne Daten und Informationen aus dem Homeoffice und die Unterbindung von Downloads unautorisierter Programme und Anwendungen auf unternehmenseigenen Geräten ohne Freigabe der IT-Abteilung können hier Abhilfe schaffen.

"Datentonnen" oder Schredder einer gewissen Sicherheitsstufe zur sicheren Vernichtung von Dokumenten mit Personenbezug oder Geschäftsgeheimnissen stehen im Homeoffice nicht zur Verfügung. Nicht selten werden im Homeoffice Dokumente mit internen oder personenbezogenen Daten nach erledigter Arbeit gemeinsam mit anderem (privatem) Altpapier einfach entsorgt. Das kann schwere Folgen für Unternehmen haben.

Schulung und Sensibilisierung der Mitarbeiter

Neben Zugriffskontrollen, sicherer Infrastruktur und Vorgaben zum Vernichten von Dokumenten ist die Schulung und Sensibilisierung der Mitarbeiter ein wesentlicher Bestandteil des Schutzschirms. Statistisch gesehen sind Mitarbeiter nämlich bei weitem die größte Gefahrenquelle bei Daten- und Know-how-Diebstahl. Dieser Gefahr sollte durch klare Unternehmensrichtlinien – etwa Regeln für die Arbeit im Homeoffice oder für BYOD – und zwingend zu absolvierende elektronische Trainings begegnet werden.

Ein besonderes Augenmerk ist in der Krise auf ausscheidende Mitarbeiter zu legen, die auch oder erst recht in einer virtuellen Arbeitsumgebung vertrauliche Unterlagen und Know-how unbemerkt entwenden könnten. Eine entsprechende automatisierte Protokollierung von Zugriffen ist ratsam.

Oft sind nicht alle der oben skizzierten Maßnahmen lückenlos durchsetzbar oder bieten vollständige Sicherheit vor Daten- und Know-how-Diebstahl. Wichtig ist ein solches Schutzsystem aber schon aus Compliance-Erwägungen: Im Ernstfall kann ein lückenhaftes Schutzsystem Strafen wegen Datenschutzverstößen oder eine Haftung – auch des Vorstands – begründen, zivilrechtlicher Schutz gegen den Missbrauch von Geschäftsgeheimnissen steht möglicherweise nicht zur Verfügung. (Lutz Riede, Gernt Fritz, 20.5.2020)