Meldepflicht von IT-Sicherheits- und Datenschutzvorfällen durch Mitarbeitende - Betrachtung möglicher arbeitsrechtlicher Konsequenzen

Abstract

Die Pflicht zur Meldung von IT-Sicherheits-und Datenschutzvorfällen in Unternehmen ist eine zentrale organisatorische Maßnahme zum Schutz von deren IT-Infrastruktur. Mitarbeiter offenbaren mit der Meldung des Vorfalls jedoch oftmals eigenes Fehlverhalten, das vom Arbeitgeber zur Grundlage arbeitsrechtlicher Konsequenzen gemacht und somit gegen sie verwandt werden kann. Die Angst vor diesen Konsequenzen kann Arbeitnehmer davon abhalten, der Meldepflicht nachzukommen und der Meldemoral im Unternehmen schaden. Das hat wiederum negative Konsequenzen für das Unternehmen selbst, dem es angesichts unterlassener Meldungen nicht möglich ist, schnell auf Vorfälle zu reagieren und sie effektiv einzudämmen. Der Beitrag untersucht vor dem Hintergrund der datenschutzrechtlichen Meldepflichten für Datenschutzverstöße die rechtlichen Grundlagen der arbeitsrechtlichen Mitteilungspflichten von Mitarbeitern. Er geht ferner auf die Frage der Einschlägigkeit des Selbstbelastungsverbots im arbeitsrechtlichen Kontext ein und analysiert die arbeitsrechtlichen Konsequenzen der Offenbarung von eigenem Fehlverhalten durch Arbeitnehmern bei der Erfüllung einer Mitteilungspflicht. Auf dieser Grundlage entwickelt er einen Vorschlag, wie die Verlässlichkeit der Meldung von IT-Sicherheits-oder Datenschutzvorfällen durch Mitarbeiter verbessert werden kann.