- Blog
- Datenabfluss durch Mitarbeitende – was jetzt zu tun ist
Es passiert öfter als man denkt, ein:e Mitarbeiter:in leitet vertrauliche Unterlagen an ein privates E-Mail-Konto weiter, sei es vor dem Austritt oder aus anderen Motiven. Ein solches Vorgehen ist rechtlich ernst zu nehmen. Für das Unternehmen ist das in beiden Fällen ein ernstes Problem: rechtlich, datenschutztechnisch und strategisch. Dieser Beitrag zeigt Ihnen, was dahintersteckt und wie Sie im Ernstfall Schritt für Schritt richtig vorgehen.
Die rechtliche Einordnung
Was auf den ersten Blick wie eine Kleinigkeit wirkt, ist rechtlich eindeutig. Die Weiterleitung von Geschäftsunterlagen an ein privates E-Mail-Konto stellt in der Regel eine klare Verletzung der arbeitsvertraglichen Treuepflicht sowie allfälliger Vertraulichkeitsvereinbarungen dar. Je nach Art der Daten kann die Sache noch ernster werden, insbesondere wenn Geschäftsgeheimnisse betroffen sind oder Personendaten im Spiel sind. In solchen Fällen ist auch eine strafrechtliche Relevanz nicht auszuschliessen.
Kurz gesagt: Wer als Unternehmer in einem solchen Fall nichts unternimmt, riskiert nicht nur den Verlust sensibler Informationen, sondern auch den Verlust seiner Handlungsmacht.
Vier Schritte, die jetzt zählen
Ein strukturiertes Vorgehen ist in solchen Situationen entscheidend. Die folgenden vier Schritte haben sich in der Praxis bewährt.
Schritt 1 – Sofortiges anwaltliches Aufforderungsschreiben
Der erste Schritt ist eine schriftliche Aufforderung an den betreffenden Mitarbeiter, sämtliche Daten vollständig zu löschen oder zurückzugeben – verbunden mit einer schriftlichen Bestätigung und einer Unterlassungserklärung. Eine Konventionalstrafe von CHF 50’000 ist dabei ein übliches und wirksames Mittel, um den Ernst der Lage unmissverständlich zu kommunizieren. Dieses Schreiben sollte immer durch einen Anwalt formuliert werden.
Schritt 2 – Prüfung einer Strafanzeige
Besteht der Verdacht, dass die Daten für Wettbewerbszwecke genutzt werden sollen oder dass Geschäftsgeheimnisse abgeflossen sind, lohnt sich die Prüfung einer Strafanzeige. Eine solche Anzeige kann nicht nur zur Strafverfolgung führen, sondern auch präventiv wirken – sowohl gegenüber dem betroffenen Mitarbeiter als auch gegenüber der restlichen Belegschaft.
Schritt 3 – Information des neuen Arbeitgebers
Ist bekannt, wo der Mitarbeiter künftig tätig sein wird, kann ein sachlicher Hinweis an den neuen Arbeitgeber sinnvoll sein. Dabei geht es nicht um Konfrontation, sondern um einen klaren Hinweis auf die möglichen rechtlichen Konsequenzen, wenn unrechtmässig erlangte Daten verwendet werden.
Schritt 4 – Datenschutzrechtliche Einordnung
Ein Datenabfluss kann unter Umständen als meldepflichtiger «Data Breach» im Sinne des Schweizer Datenschutzgesetzes (DSG) gelten. Ist das Risiko für die betroffenen Personen hoch, besteht eine Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Unabhängig davon ist eine interne Dokumentation des Vorfalls sowie die forensische Sicherung der relevanten Logdaten zwingend erforderlich.
Ein vergleichbarer Fall wurde kürzlich erfolgreich begleitet, inklusive Strafanzeige und konsequenter rechtlicher Durchsetzung. Was dabei den Unterschied gemacht hat, rasches Handeln, klare Kommunikation und ein strukturiertes Vorgehen von Anfang an. Wer zögert, verliert nicht nur Zeit, sondern oft auch Beweismittel.
Ihr Merkblatt mit Checkliste – kostenlos zum Download
Damit Sie im Ernstfall nicht lange suchen müssen, haben wir alle wichtigen Schritte in einem kompakten Merkblatt zusammengefasst, inklusive Checkliste, die Sie direkt in Ihrem Unternehmen einsetzen können.
Wir unterstützen Sie!
Wichtig für unsere Full-Service-Kunden: Solche Fälle sind in der Regel ganz oder weitgehend durch die inkludierten Beratungsstunden abgedeckt.
Bei Fragen oder konkreten Verdachtsfällen empfehlen wir ein rasches Vorgehen. Gerne unterstützen wir Sie bei der Formulierung der notwendigen Schreiben und der rechtlichen Beurteilung.