Datenmissbrauch bereitet Kunden Kopfschmerzen

| Wie gehen Mitarbeiter mit Kundendaten an? Wie sorgen Arbeitgeber dafür, dass diese geschützt sind? Hier sind die Antworten. |

1. Ausgangslage

Da hört der Spaß natürlich auf, und der Arbeitgeber konnte nicht anders, als dem ‒ durchaus kreativen ‒ und andernorts sicherlich erfolgreichen Vertriebsgebaren seines Mitarbeiters eine massive Absage zu erteilen: Die Rede ist von einer fristlosen Kündigung, die der IT-Konzern SAP gegen einen seiner Berater aussprach, der in einer gut gemeinten Hackerattacke auf einen Kunden dessen Unbill auf sich gezogen hatte. Der IT-Experte hatte eine Sicherheitslücke ausgenutzt und dem Kunden seiner Firma dann durch die Online-Bestellung von Kopfschmerztabletten in dessen Namen und auf dessen Rechnung aufgezeigt, wie einfach es war, seine Identität nebst Kontozugang zu stehlen. Kopfschmerztabletten übrigens deshalb, da der demonstrierte Datenmissbrauch unweigerlich zu Kopfschmerzen führen müsse, so die pfiffige Begründung das White Hackers.

2. Kundendaten sind immer tabu

Spaßig fanden dies weder SAP noch das ArbG Siegburg. Es bestätigte jetzt, dass Mitarbeiter mit Kundendaten derlei Schindluder unterlassen müssen (15.1.20, 3 Ca 1793/19). Die Kündigung sei rechtens.

Mit dieser Entscheidung befindet sich das ArbG in guter Gesellschaft: So befand etwa das Hessische LAG schon 2011 ‒ und damit lange vor dem heute vorherrschenden Verständnis von Datenschutz und -sicherheit ‒ die fristlose Kündigung eines Bankberaters wegen der Weiterleitung von Kundendaten auf den privaten E-Mail-Account für rechtens (29.8.11, 7 Sa 248/11).

3. Im Eigeninteresse des Unternehmers

Datenschutz und Datensicherheit liegen dabei schon im originären Interesse des Arbeitgebers, da dieser nicht nur ideell, wie im aktuellen Fall durch eine beschädigte Kundenbeziehung, sondern auch unmittelbar monetär betroffen ist. Denn dass der Arbeitgeber bei missbräuchlicher Verwendung der Kundendaten durch einen Mitarbeiter und Entstehen eines Schadens dafür haftet, hat der BGH schon 2012 zweifelsfrei festgestellt (15.3.12, III ZR 148/11).

Kundendaten gelten als schützenswert ‒ und das ohne Einschränkung, da selbst das Aufdecken vermeintlicher Sicherheitslücken keine nicht vertraglich zugesagte Verwendung erlaubt. Geht man nun nicht vom bös-, sondern vom gutwilligen Mitarbeiter aus, dann dürften die größte Sicherheitslücke in der Praxis dessen mobile Endgeräte darstellen. Dabei ist unbedingt darauf zu dringen, dass hier keine Daten von Kunden dauerhaft gespeichert werden, da diese sonst bei Abhandenkommen des Geräts nicht mehr geschützt werden können. Am besten verbleiben Daten stets auf dem Firmenserver, die mobilen Geräte erhalten abgesicherten Zugriff darauf.

4. Spezialfall WhatsApp

Ebenfalls ein weitverbreitetes Alltagsproblem ist Whatsapp auf dem Firmenhandy ‒ auch wenn Mitarbeiter es ausschließlich privat nutzen. Denn in dem Moment, in dem auch Kundendaten auf demselben Gerät gespeichert sind, gelangen diese durch den automatisierten Zugriff auf alle Kontakte auf direktem Weg auf die Server von Mark Zuckerberg. Das ist etlichen Arbeitgebern nicht bewusst, die ihren Mitarbeitern den Gebrauch privater Geräte zu Firmenzwecken oder umgekehrt ein Diensthandy mit Dual Sim gestatten.

Umgekehrt fehlt auch aufseiten der Mitarbeiter häufig die erforderliche Sensibilität für das Thema Datenschutz. Abhilfe schaffen entsprechende Schulungen. Diese sieht zwar auch die DS-GVO nicht explizit vor, allerdings sind sie unabdingbarer Bestandteil eines umfassenden Datenschutzkonzepts, das u. a. Datensparsamkeit zum Ziel hat. Tatsächlich erreichen Mandanten in der Praxis bereits einen wesentlichen Zugewinn an Sicherheit, wenn sie tatsächlich nur denjenigen Mitarbeitern Zugriff auf Daten gewähren, die diesen unbedingt benötigen. Denn wo keine Daten sind, können auch keine missbraucht oder verloren werden.

5. Hoher Beratungsbedarf erkannt

Wie hoch der Bedarf an Information zu diesem Thema aber immer noch ist, offenbart eine internationalen Studie von Capgemini aus dem vergangenen Herbst, an der rund 1.100 Führungskräfte aus Deutschland und Europa beteiligt waren. Danach hatten damals nur 28 Prozent angegeben, die DS-GVO umgesetzt zu haben. Interessanterweise waren bei der Vorläuferuntersuchung im Jahr 2018 noch 78 Prozent der Unternehmen überzeugt gewesen, die Anforderungen der DS-GVO erfüllen zu können.

Daraus lässt sich zweierlei schließen: Zum einen haben die Unternehmen eine genauere Vorstellung davon gewonnen, wo ihr individueller Handlungsbedarf liegt. Und dies erleichtert zum anderen den Zugang zu Beratung immens. Fundiert gelingt diese, wenn sie nicht allein auf rechtliche Normen setzt, sondern tatsächlich die Mitarbeiter ins Zentrum rückt, die täglich mit den Daten umgehen. Denn hier zeichnet sich zudem eine wachsende Problematik durch gezielte Angriffe mittels Social Engineering ab.