Wenn Mitarbeitende gehen – was bleibt – ist das Bußgeld?
Der Europäische Datenschutzausschuss (EDSA) hat bereits 2021 Leitlinien „zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten“ in der Version 2.0 veröffentlicht. Darin hat sich der EDSA auch mit der internen menschlichen Risikoquelle beschäftigt. Nach der EDSA-Leitlinie Beispielsfall 8 kann es auch einen datenschutzrechtlichen Verstoß darstellen, wenn ein Mitarbeitender nach einer Kündigung – unabhängig davon, ob es sich um eine Eigenkündigung oder eine Kündigung durch den Arbeitgeber handelt – weiterhin Zugriff auf personenbezogene Daten von anderen Mitarbeitenden oder von Kunden hat. Dies gilt unabhängig davon, ob der Mitarbeitende die Daten für seine Arbeit bis zur Beendigung des Arbeitsverhältnisses benötigt. Es stellt sich daher die Frage, was Arbeitgeber im Arbeitsverhältnis zu beachten haben, damit der größte Wert des Unternehmens, die Mitarbeitenden, nicht zum größten Schaden des Unternehmens werden.
Im Folgenden geben wir Ihnen einen Überblick über mögliche Maßnahmen, die der Arbeitgeber nach Ausspruch einer Kündigung im Arbeitsverhältnis beachten sollte.
1. Vertragliche Maßnahmen
Der erste Schritt im Rahmen einer Kündigung sollte immer sein, den Mitarbeitenden noch einmal an die Pflichten aus der Datenschutzbelehrung und etwaigen Verschwiegenheitspflichten zu erinnern. Dies kann direkt im Kündigungsschreiben geschehen oder bei der Bestätigung des Eingangs der Kündigung. Soll die Erinnerung an die Pflichten aus dem Arbeitsverhältnis mit einer Kündigungsbestätigung im Rahmen einer Eigenkündigung des Mitarbeitenden erfolgen, sollte diese zeitnah nach Erhalt der Kündigung mit dem Hinweis auf die datenschutzrechtlichen Pflichten sowie die Verschwiegenheitspflichten des Mitarbeitenden geschehen.
Im Kündigungsschreiben bzw. in der Kündigungsbestätigung kann auch nochmals auf bestehende Wettbewerbsverbote während der Kündigungsfrist hingewiesen werden. Dies bietet sich vor allem dann an, wenn der Mitarbeitende über einen längeren Zeitraum freigestellt werden soll oder geht, um sich selbständig zu machen.
Spätestens bei Beendigung des Arbeitsverhältnisses bzw. bei Freistellungen mit Beginn der Freistellung sollte der ausscheidende Mitarbeitende schriftlich aufgefordert werden, alle Schlüssel und alle im Rahmen des Arbeitsverhältnisses überlassenen oder sonst erhaltenen Arbeitsmittel, Originale sowie Kopien firmeninterner Unterlagen und Dateien herauszugeben bzw. zu löschen und dies schriftlich zu bestätigen.
2. Technische und organisatorische Maßnahmen
Nach Ausspruch einer Kündigung sollten zudem organisatorische Maßnahmen vom Arbeitgeber ergriffen werden, um personenbezogene Daten und Geschäftsgeheimnisse zu schützen. In den EDSA-Leitlinien wird unter anderem genannt, dass Zugriffe protokolliert und gekennzeichnet werden oder gar bestimmte Formen des Zugangs ganz entzogen werden. Die Verwendung von privaten externen Speichermedien sollte bereits im laufenden Arbeitsverhältnis verboten werden, um einen Virenbefall zu vermeiden. Darüber hinaus kann über eine Schnittstellensicherheit oder den Einsatz von Software zur Kontrolle von Computerschnittstellen verhindert werden, dass externe Speichermedien angebracht werden.
Im Falle einer Kündigung muss zudem ggfs. erneut geprüft werden, welche Zugriffe der betroffene Mitarbeitende für die Ausübung seiner vertraglich geschuldeten Tätigkeit benötigt. Zugleich muss entschieden werden, ob weitere Einschränkungen ausreichen oder der einzelne Zugriff auf Daten durch den Mitarbeitenden protokolliert werden muss, sofern dies nicht bereits standardmäßig erfolgt (etwa bei besonders sensiblen Informationen).
Bei der Protokollierung sollte in Betrieben mit einem Betriebsrat eine Betriebsvereinbarung abgeschlossen sein, die eine Auswertung bzw. eine Prüfung der Zugriffe auch in diesen Fällen ermöglicht. In Betrieben ohne Betriebsrat sollte es hierzu eine interne Richtlinie geben. Hierbei ist maßgeblich, ob eine Privatnutzung der betrieblichen IT (Internet, E-Mail, etc.) erlaubt ist, um beurteilen zu können, ob ggfs. noch eine Einwilligung der Mitarbeitenden in die Auswertung benötigt wird oder in welcher Art und Weise auf die Protokolle zugegriffen werden kann.
Einige Firmen ermöglichen zudem einen Fernzugriff über private Endgeräte auf das E-Mail-Postfach oder firmeninterne Kommunikationsmöglichkeiten, durch die auch ein Zugriff auf Dateien ermöglicht wird oder nutzen – trotz aller datenschutzrechtlichen Bedenken – die Möglichkeit, dass Mitarbeitende ihre privaten Endgeräte für dienstliche Zwecke nutzen (Bring your own device – BYOD). Hierbei ist besonders darauf zu achten, dass der Fernzugriff für den Mitarbeitenden nach einer Kündigung bzw. spätestens nach Beendigung des Arbeitsverhältnisses nicht mehr möglich ist.
Bei BYOD sollte zudem bereits vor dem Beginn der Nutzung privater Endgeräte durch Mitarbeitende klar geregelt sein, wie unter anderem bei Ausscheiden zu verfahren ist. Generell sollte BYOD nur mit einer wirksamen Regelung (Betriebsvereinbarung, Richtlinie, individuelle Vereinbarung) erfolgen, um Daten auch im BYOD zu schützen. Denn auf privaten Endgeräten lässt sich ein Herunterladen von Daten durch den Arbeitgeber nur schwer nachweisen.
In Fällen, in denen eine weitere Beschäftigung nicht mehr gewünscht ist, weil Gründe vorliegen, aus denen eine weitere Beschäftigung nicht mehr hinnehmbar ist, kann auch eine entsprechende (widerrufliche oder unwiderrufliche) Freistellung des betroffenen Mitarbeitenden ausgesprochen werden, um so in jedem Fall einen weiteren Zugriff auf personenbezogene Daten und einen entsprechenden Missbrauch zu vermeiden. Wichtig ist dabei aber, dass Mitarbeitende aufgefordert werden, auch die Arbeitsmittel wie Diensthandy, Laptop, Schlüssel, etc. zurückzugeben und dass darauf geachtet wird, dass sie diese nicht während der Freistellung behalten.
3. Was tun, wenn es zu spät ist?
Zur Minderung der Auswirkungen, wenn Mitarbeitende Daten vor dem Ausscheiden „abgegriffen“ haben, müssen diese in einem ersten Schritt daran gehindert werden, die Daten weiter zu verwenden. Hierzu kann je nach Fall eine Aufforderung zur Einstellung der Nutzung der abgezogenen Daten oder gar ein rechtliches Vorgehen relevant sein. In einem solchen Fall sollte jedoch schnell gehandelt werden, um eine weitere Verbreitung der Daten zu vermeiden.
4. Fazit
Einen Einheitsweg für alle Fälle eines Ausscheidens gibt es nicht. Letztlich wird es immer erforderlich sein, bereits im laufenden Arbeitsverhältnis entsprechende Schutzmaßnahmen vertraglicher, technischer und organisatorischer Natur zu nutzen und diese im Falle einer Kündigung auszuweiten. Dabei kommt es jeweils auf den Einzelfall an. Nichts zu unternehmen kann für Arbeitgeber aber aufgrund von Bußgeldern im Bereich des Datenschutzes und des allgemeinen Verlustes von Geschäftsgeheimnissen teuer zu stehen kommen. Die aufgezeigten Möglichkeiten stellen daher keine abschließende Aufzählung dar. Kommen Sie bei Kündigungen gerne auf uns zu.