Der Missbrauch personenbezogener Daten durch Mitarbeiter kommt häufiger vor als gedacht und zieht oftmals arbeitsrechtliche Konsequenzen nach sich. Im Folgenden geht es insbesondere um den Missbrauch von Kundendaten durch einen Mitarbeiter, was zu dessen fristlosen Kündigung führte.
Der Inhalt im Überblick
Missbrauch von Kundendaten
Das erst kürzlich ergangene Urteil vom 15.01.2020 des Arbeitsgerichts Siegburg (Az.: 3 Ca 1793/19) zeigt, welche Konsequenzen es haben kann, wenn Mitarbeiter sich nicht ausreichend mit dem Thema Datenschutz befassen und dahingehend sensibilisiert werden.
Worum ging es?
Ein Arbeitnehmer (Kläger) des zugrundeliegenden Sachverhalts war als SAP-Berater bei seinem Arbeitgeber (Beklagte) tätig. Der Kläger räumte gegenüber seinen Vorgesetzten ein, dass er vom Rechner eines Spielcasinos Kopfschmerztabletten für zwei Vorstandsmitglieder eines Unternehmens bestellt habe. Dieses Unternehmen zählte zu den Kunden seines Arbeitgebers. Um per Lastschrift-Verfahren zahlen zu können, hatte der Kläger zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten vom Kunden dieses Unternehmens zurückgegriffen.
Im Rahmen der Bestellung schickte er den Vorständen des Kunden den Hinweis, sie bekämen mit Sicherheit Kopfschmerzen, wenn sie sehen würden, wie einfach Datenmissbrauch bei ihrem Unternehmen gewesen sei. Die Beklagte hatte er zuvor nicht über die bestehenden Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt daraufhin eine fristlose Kündigung. Hiergegen erhob er Kündigungsschutzklage.
Fristlose Kündigung
Die Kündigungsschutzklage hatte vor dem Arbeitsgericht Siegburg keinen Erfolg. Das Arbeitsgericht wies die Klage ab und hat entschieden, dass die fristlose Kündigung gerechtfertigt sei.
Umstritten ist, wie der Kläger an die Daten gelangt ist. Die Beklagte behauptet,
„[…] der Kläger habe bei seinem Vorgehen zwei Datensätze von Debitoren ausgewählt, die ihn im Rahmen seines Projekteinsatzes bei der Kundin zugänglich gewesen seien. […]“
Der Kläger behauptet dagegen,
„[…] er habe bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt, die sein Handeln erst möglich gemacht hätten und auf die er die Kunden der Beklagten zuvor mehrfach vergeblich aufmerksam gemacht habe, ohne dass diese reagiert habe. Eine Verknüpfung von Datensätzen sei für sein Vorgehen nicht erforderlich gewesen, da sich Name, Adresse und Bankdaten der Kunden der Kundin in dem gleichen Datensatz befunden hätten. Er habe im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen. […]“
Jedoch könne es in diesem Fall dahinstehen wie sich der unberechtigte Zugriff auf die personenbezogenen Daten ereignet hatte. Zwar sei das Anliegen legitim, auf eine Sicherheitslücke hinzuweisen. So sei das dafür gewählte Mittel des Klägers erkennbar unverhältnismäßig:
„[…] Das hierbei von ihm gewählte Mittel steht jedoch offensichtlich außer Verhältnis zu dem von ihm verfolgten Ziel, weil er nicht nur mit Worten auf die Sicherheitslücke aufmerksam gemacht, sondern sie nach eigener Darstellung gerade ausgenutzt hat. […]“
Der Kläger habe durch sein Handeln eklatant gegen seine Pflicht zur Rücksichtnahme auf die Interessen seines Arbeitgebers verstoßen:
„[…] In der EDV werden oftmals hochsensible persönliche Daten, wie vorliegend Name, Anschrift und Bankverbindung von Kunden gespeichert, die des Schutzes bedürfen, was die Beklagte im Rahmen ihrer Tätigkeit zu beachten hat. Sie muss das Interesse ihrer Kunden am Datenschutz und deren dabei bestehende Pflichten bei ihrer eigenen Tätigkeit beachten. […]“
Die Kundin dürfe von dem Beklagten und seinen Mitarbeiter den Schutz ihrer Daten erwarten und nicht die Ausnutzung von Sicherheitslücken zum Missbrauch, hier dem unbefugten Zugriff auf ein fremdes Bankkonto. Dies gelte auch dann, wenn dadurch der Kundin eine Sicherheitslücke vor Augen geführt werden soll.
Insbesondere habe das Verhalten des Klägers das Vertrauen des Kunden in die Beklagte erheblich gestört und die Kundenbeziehung gefährdet.
Verhinderung von Datenmissbrauch
Diese Entscheidung zeigt, welche Konsequenzen ein fehlendes Bewusstsein für den Schutz der Daten und der daraus resultierende (ungewollte) Missbrauch haben kann und macht deutlich, dass die Sensibilisierung für Datenschutz im Unternehmen besonders wichtig ist. Gerade Mitarbeiter, die tagtäglich mit Daten anderer Personen arbeiten, sollten von dem Arbeitgeber die Risiken und gesetzlichen Grenzen der Verwendung betrieblich erlangter Daten aufgezeigt werden.
Hilfreiche Maßnahmen sind beispielsweise die Durchführung von Schulungen oder Workshops – ggf. unter Einbindung des Datenschutzbeauftragten. Darüber hinaus sollten den Mitarbeitern aber auch regelmäßig Informationen zu datenschutzrechtlichen Themen zur Verfügung gestellt werden. Hierfür bieten sich Handreichungen/Handouts, Aushänge, Newsletter oder Hinweise im Intranet an. Auch eine „Sprechstunde“ oder ein Jour-Fixe mit dem Datenschutzbeauftragten sollte in Betracht gezogen werden.
Kein Einzelfall
Nicht gerade selten kommt es zu Datenmissbräuche durch Mitarbeiter im Unternehmen. Dies kann nicht nur zu einem Bußgeld durch die Datenschutzaufsichtsbehörde führen, sondern kann auch arbeitsrechtliche Konsequenzen haben. So kam es in einem ähnlichen Fall in der Vergangenheit, in dem eine Mitarbeiterin einer Behörde ohne beruflichen Anlass Melderegisterabfragen vornahm, ebenfalls zu dessen fristlosen Kündigung. Diese wurde schlussendlich vom Gericht rechtskräftig aufrechterhalten.