25.04.2022

Personalarbeit 4.0: TOMs – Das Herzstück jedes konzeptmäßigen Daten- und Geschäftsgeheimnisschutzes

Portrait von Jonas Singraven
Jonas Singraven

Technische und organisatorische Maßnahmen, englisch: technical and organizational measures, kurz und international einheitlich: TOMs sind das Herzstück jedes konzeptmäßigen Daten- und Geschäftsgeheimnisschutzes. Jedes Unternehmen ist verpflichtet, in seiner Organisation angemessene TOMs zu implementieren (Art. 32 DSGVO). Von der Qualität der implementierten TOMs hängt maßgeblich ab, wie effektiv die Daten des Unternehmens im Arbeitsalltag tatsächlich geschützt werden.

Ein verbreitetes Vorurteil lautet, es wäre alleinige Aufgabe der IT-Abteilung, die TOMs zu "machen" und weder die Rechtsabteilung noch die Personalabteilung wäre hier zuständig. Das ist falsch. Die größte Gefahr für personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens geht immer von den eigenen Mitarbeitern aus, die viel zu häufig Daten aus Nachlässigkeit offenlegen oder diese vorsätzlich und zielgerichtet stehlen. Die beste IT-Infrastruktur kann dies nicht verhindern, wenn sie durch die Mitarbeiter des Unternehmens nicht sachgerecht eingesetzt wird. Um einen sachgerechten Umgang mit Daten zu erreichen, muss das Unternehmen zusätzliche Verhaltensregeln aufstellen und diese Regeln transparent und eindringlich kommunizieren.

  • Zum einen muss die Kommunikation der Regeln so klar erfolgen, dass jeder Mitarbeiter sie versteht und zur Kenntnis nimmt.
  • Zum anderen muss diese Kenntnis auch nachgewiesen werden können, damit der beim Regelverstoß "ertappte Datendieb" sich nicht damit rausreden kann, er habe gar nicht gewusst, dass der Download oder Kopiervorgang unzulässig gewesen wäre.
  • TOMs dienen der technischen Überwachung der eigenen Mitarbeiter. Besteht ein Betriebsrat, bestimmt er mit (§ 87 Abs. 1 Nr. 6 BetrVG). Ohne Beteiligung des Betriebsrates wären eingeführte Regeln rechtlich unwirksam. Der Abschluss einer (Konzern-/Gesamt-)Betriebsvereinbarung ist deshalb empfehlenswert.

Gesetzlich vorgeschrieben sind TOMs für den Schutz personenbezogener Daten (Art. 32 DSGVO). Auch Geschäftsgeheimnisse werden allerdings nur dann rechtlich geschützt, wenn das Unternehmen "den Umständen nach angemessenen Geheimhaltungsmaßnahmen" implementiert (§ 2 Nr. 1 lit. b GeschGehG). Unter praktischen Gesichtspunkten empfiehlt es sich, TOMs für den Daten- und Geschäftsgeheimnisschutz gemeinsam zu definieren und personenbezogene Daten- und Geschäftsgeheimnisse einheitlich als sensible Daten (ggf. kategorisiert nach unterschiedlichen Sensibilitätsstufen) zu schützen. Dies kann in einer einzigen und möglichst klar verständlichen Guideline erfolgen.

Dankenswerter Weise stellen die Datenschutzbehörden Checklisten zu Verfügung, in denen die meisten in Betracht kommenden und sinnvollen TOMs zusammengestellt werden (vgl. z.B. hier und hier). Nachfolgend soll ein Überblick über besonders zentrale Regelungsgesichtspunkte gegeben werden:

1. Welche IT-Infrastruktur brauche ich?

Grundvoraussetzung eines funktionierenden Datenschutzes ist selbstverständlich eine geeignete IT-Infrastruktur. Beim Datenschutz sind Personalabteilung und IT-Abteilung aufeinander angewiesen und sollten zusammenarbeiten. Es ist sinnvoll, wenn die IT-Abteilung folgende technische Maßnahmen einführt:

  • Datenschutz wird erheblich erleichtert, wenn die Daten des Unternehmens auf einem einheitlichen Server gespeichert werden.
  • Von dem Datenbestand des Servers sollten regelmäßige Sicherheitsbackups gefertigt werden, damit Daten im Falle einer Löschung oder Veränderung wiederhergestellt werden können (vgl. Art. 5 Abs. 1 lit. f DSGVO).
  • Der Zugriff auf den Server sollte über das Unternehmensintranet nur mit individualisierten Nutzeraccounts möglich sein, die jeweils nur durch einen einzigen, namentlich bekannten Mitarbeiter genutzt werden. Idealerweise wird durch Zwei-Faktor-Authentifizierung sichergestellt, dass die Accounts nicht durch Dritte "gekapert" werden können.
  • Die Nutzeraccounts sollten mit einem technischen Berechtigungskonzept verknüpft werden, welches festlegt, welcher Nutzeraccount welche Verzeichnisse einsehen und wer welche der dort abgelegten Daten ggf. öffnen und verändern kann.
  • Alle Zugriffe auf den Server sollten mit Logfiles dokumentiert werden. Anhand der Logfiles sollte im Nachgang rekonstruiert werden können, von welchem Nutzeraccount mit welcher IP-Adresse wann welche Art von Zugriff, Download oder Veränderung im Datenbestand vorgenommen wurde. Auch wenn die Logfiles das Arbeitsverhalten der Mitarbeiter automatisiert und laufend überwachen, gilt ihre Implementierung datenschutzrechtlich nach allgemeiner Ansicht als zulässig und sogar als geboten (vgl. § 22 Abs. 2 Satz 2 Nr. 2 BDSG).
  • Anhand eines Algorithmus sollten bestimmte Arten von Nutzerverhalten als verdächtig definiert werden, z.B. der Download ungewöhnlich großer Datenpakete. Erfolgt eine solche Art des Zugriffs, muss die IT-Abteilung einen automatisierten Warnhinweis erhalten. Die genaue Funktionsweise des Algorithmus unterliegt der Geheimhaltung, damit die Mitarbeiter ihn nicht umgehen können.
  • Zum Schutz vor Viren und anderer Schadsoftware sollte der Server mit einer Firewall und Antivirenprogrammen gesichert werden, die regelmäßig geupdatet werden. Mitarbeiter sollten technische daran gehindert werden, Software zu installieren, die durch die IT-Abteilung nicht freigegeben wurde.
  • Das Unternehmen sollte überlegen, ob es den Anschluss von USB-Sticks und anderen mobilen Datenträgern an Unternehmenshardware prinzipiell sperrt, da das Kopieren von Daten auf mobile Datenträgen üblicherweise nicht durch Logfiles dokumentiert wird und deshalb nicht nachverfolgt werden kann.
2. Was passiert ohne angemessene Verhaltensregeln?

Auch eine derart ausgestaltete IT-Infrastruktur ist für sich genommen nicht in der Lage, personenbezogene Daten- und Geschäftsgeheimnisse ausreichend zu schützen, wenn nicht zugleich angemessene Verhaltensregeln aufgestellt und durchgesetzt werden. Stellt das Unternehmen solche Verhaltensregeln nicht auf, wird Folgendes passieren:

Regelmäßig werden Mitarbeiter die Unternehmensdaten nicht auf den geschützten Servern in den dort vorgesehenen Verzeichnissen speichern. Stattdessen schicken sie sich die Daten selbst per E-Mail nach Hause, laden sie auf USB-Sticks oder legen sie in öffentlichen Verzeichnissen oder auf lokalen Festplatten ab. Oft geschieht dies aus Bequemlichkeit und ohne böse Absicht, z.B. weil der Mitarbeiter meint, dass es so schneller geht oder weil er nach Feierabend mit seinem privaten Computer von zuhause noch weiter an dem Projekt arbeiten will.

Die Konsequenz ist, dass Unternehmensdaten auf Datenträgern außerhalb der geschützten IT-Infrastruktur des Unternehmens gespeichert werden, regelmäßig auf privaten Datenträgern des Mitarbeiters selbst. Arbeitet ein Mitarbeiter regelmäßig auf solche Weise, wird der Bestand an Unternehmensdaten, die er zuhause bei sich auf seinen privaten Datenträgern gespeichert hat, nach und nach immer größer. Das Unternehmen kann bei privat gespeicherten Daten nicht mehr nachverfolgen, was mit diesen Daten passiert. Gleichzeitig haben viele Arbeitnehmer zuhause keinen angemessenen IT-Sicherheitsstandard eingerichtet und nehmen z.B. in Kauf, dass ihre privaten Computer mit Viren und anderer Schadsoftware infiziert werden oder verlieren USB-Sticks aus Nachlässigkeit.

Kaum ein Mitarbeiter, der das eigene Unternehmen verlässt und zu einem Konkurrenzunternehmen wechselt, wird diesen privaten Datenbestand dann pflichtgemäß löschen. Warum sollte er – das Unternehmen kann die Löschung "ja eh nicht" überprüfen. Im Gegenteil: Viele Mitarbeiter überlegen sich vor einem Wechsel noch einmal ganz genau, ob und welche Unternehmensdaten sie ggf. in Zukunft gebrauchen können und stehlen diese dann ganz gezielt; dies gilt als Kavaliersdelikt (§ 23 GeschGehG). Den Datenbestand und sämtliche darin gespeicherten Geschäftsgeheimnisse nehmen sie zum Konkurrenzunternehmen mit und nutzen sie dort zum Nachteil ihres alten Arbeitgebers.

3. Wie sollten Unternehmen den Umgang mit Daten reglementieren?

Es liegt bei der Personalabteilung oder der Rechtsabteilung, klare Regeln aufzustellen, die einem solchen Verhalten entgegenwirken:

  • Unternehmen sollten durch arbeitsrechtliche Weisung oder verbindliche Betriebsvereinbarung (§ 77 Abs. 4 Satz 1 BetrVG) eindeutig und klar definieren, wo welche Daten gespeichert und abgelegt werden dürfen und müssen. Idealerweise werden die Daten hierzu nach Sensibilitäts- und Schutzstufen kategorisiert und abhängig vom Datentyp unterschiedlich strenge Vorgaben aufgestellt. Es empfiehlt sich, das Abspeichern von sensiblen Unternehmensdaten auf privaten Datenträgern generell zu verbieten.
  • Die Definition der Regeln sollte in einer möglichst gut nachvollziehbaren Handreichung erfolgen, die durch die Mitarbeiter in einer kurzen Lektüre zur Kenntnis genommen und verstanden werden kann.
  • Die Mitarbeiter sollten förmlich bestätigen, dass sie diese Handreichung gelesen und zur Kenntnis genommen haben. Die Bestätigung sollte in der Personalakte dokumentiert werden.
  • Vorgesetzte sollten angehalten werden, bei Verstößen einzuschreiten und ihre Mitarbeiter zum weisungskonformen Umgang mit Daten zu "erziehen". Schulungen in diesem Bereich sind sinnvoll.
  • Mitarbeiter sollten abstrakt darüber informiert werden, dass ihr Nutzerverhalten mit Logfiles aufgezeichnet wird und bei kritischem Nutzerverhalten eine Meldung an die IT-Abteilung erfolgt. Diese Information gebietet sich zum einen rechtlich, nämlich wegen des datenschutzrechtlichen Transparenzgebots (Art. 5 Abs. 1 lit a, Art. 13, 14 DSGVO). Gleichzeitig dient die Information der Abschreckung, zumal die Mitarbeiter nicht im Detail wissen, was eigentlich genau aufgezeichnet und wann ihr Verhalten gemeldet wird.

Anleitungen zur Implementierung von Daten- und Geschäftsgeheimnisschutzkonzepten mit vielen Mustervorlagen sind im Praxishandbuch Grimm/Singraven, Digitalisierung und Arbeitsrecht veröffentlicht. Online finden Sie diese hier und hier (Quelle: Grimm/Singraven, Digitalisierung und Arbeitsrecht, auch abrufbar im Aktionsmodul Arbeitsrecht).

=================== Hinweis der Redaktion:

Das gerade erschienene Praxis-Handbuch von Grimm/Singraven, Digitalisierung und Arbeitsrecht, behandelt in 29 Kapiteln alle wichtigen Trends, die sich im Zuge der digitalen Transformation für den Personalbereich ergeben – praxiserprobte Formulare, Muster und Vertragsklauseln zu jedem Komplex inklusive + Online-Zugriff auf das Werk.

Digitalisierung im Arbeitsrecht 4.0 wird auch das Thema der Kölner Tage Arbeitsrecht 2022 sein: Am 28.04. und 29.04.2022 stellen Ihnen zehn führende Experten aus Rechtsprechung, Wissenschaft und Beratung die rechtlichen und praktischen Auswirkungen der Digitalisierung für die Personal- und Beratungspraxis vor und vermitteln Handlungsempfehlungen. Hier anmelden!

Zurück