Den Schreibtisch mit sensiblen Kundendaten nicht verschlossen? Den Computer nicht gesperrt? Unterlagen offen auf dem Schreibtisch liegen gelassen? Sie denken, passiert doch mal! Was sich wie alltägliche Nachlässigkeiten im Arbeitsalltag anhört, kann Sie womöglich den Job kosten! Dem Landesarbeitsgericht Sachsen nach zumindest dann, wenn sich die Fehler häufen.
Der Inhalt im Überblick
Verstöße gegen Richtlinie führt zur Kündigung
Das LAG Sachsen (9 Sa 250/21) hat am 7.4.2022 zur Frage entscheiden, inwiefern Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen. Die Klägerin war bei der Beklagten als Kreditsachbearbeiterin beschäftigt gewesen. Bei der Beklagten galt am Arbeitsplatz eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Darin wurde etwa geregelt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Während des Arbeitsverhältnisses kam es dazu, dass die Klägerin mehrfach gegen die Vorgaben der Richtlinie verstieß. Auf Ermahnungen folgten Abmahnungen und letztendlich erhielt die Klägerin die Kündigung, als die Beklagte feststellte, dass die Klägerin ihren Schreibtisch mit sensiblen Kundendaten nicht, wie in der Richtlinie festgelegt, abgesperrt hatte.
Gegen die Kündigung wehrte sich die Klägerin in erster Instanz noch mit Erfolg. Das LAG Sachsen kam jedoch zum Ergebnis, dass die Vielzahl vermeintlicher Flüchtigkeitsfehler und Ungenauigkeiten letztlich zur rechtmäßigen Kündigung der Beschäftigten geführt haben. Das Gericht hierzu deutlich:
„In der Summe handelt es sich um erhebliche Pflichtverletzungen, die auch zu Ablaufstörungen bei der Beklagten geführt haben.“
Gericht stellt klar: wegsperren meint verschließen!
Das lesenswerte Urteil setzt sich detailliert mit den Pflichtverletzungen in Form der Nichtbeachtung der „Clean-desk-policy“ auseinander. Spannend auch der Vortrag der Klägerin, die Vorgabe zum Wegsperren von sensiblen Dokumenten bedeute nicht zwangsweise, dass die Schubladen und Schränke auch verschlossen sein müssten. Doch! Sagt das LAG unter Verweis auf den Duden.
Zudem stellt das LAG noch mal klar, dass organisatorische Maßnahmen nicht ausschließlich zum Schutz vor unbefugten Zugriffen betriebsfremder Personen zu verstehen sind. Selbst wenn alle Beschäftigten auf die Vertraulichkeit und Verschwiegenheit verpflichtet wurden, können auch Mitarbeiter und Mitarbeiterinnen als unberechtigte Dritte angesehen werden, sofern sie im Rahmen ihrer Aufgaben keinen Zugriff auf die Daten haben müssen (Need-to-Know-Prinzip).
Fehler können mitunter gravierende Folgen haben
Die Entscheidung zeigt, dass Fehlverhalten im Bereich der Datensicherheit durchaus empfindliche Konsequenzen haben können. Richtlinien oder Betriebsvereinbarungen sind kein bürokratischer Unfug. Sie sollen organisatorische Leitlinien für IT-Sicherheit und Datenschutz vorgeben und sind daher tunlichst mit der gebotenen Sorgfalt zu beachten. Neben dem Verlust von Geschäftsgeheimnissen und Betriebs-Know-How können durch Unachtsamkeit und Sorglosigkeit schnell:
- Meldepflichtige Datenschutzvorfälle nach Art. 33 DSGVO entstehen
- Hieraus Image- und Reputationsschäden für Arbeitgeber und Kunden folgen
- und zuletzt aufsichtsbehördliche Maßnahmen ausgelöst werden
Wenn all dies empfindliche Bußgelder und Schadenersatzzahlungen auslöst, wird es richtig ungemütlich.
Checkliste: Die zehn Gebote am Arbeitsplatz und Unterwegs
Natürlich, Fehler passieren jedem einmal und grundsätzlich haftet das Unternehmen als datenschutzrechtlich Verantwortlicher für Bußgelder und Schadensersatz. Beschäftigte sollten das Thema gleichwohl ernst nehmen und sich verantwortungsbewusst am Arbeitsplatz verhalten.
- Du sollst den Zugriff auf deinen PC/Laptop sperren, wenn du deinen Arbeitsplatz verlässt
- Du sollst sensible Dokumente nicht unverschlossen oder offen einsehbar liegen lassen
- Du sollst keine Hardware unbekannter Herkunft an deinen PC/Laptop anschließen
- Du sollst deine Passwörter nicht auf Zettel schreiben und an den Monitor kleben
- Du sollst E-Mails stets kritisch auf Seriosität prüfen
- Du sollst vertrauliche Dokumente nicht in der Öffentlichkeit bearbeiten
- Du sollst keine offenen WLAN-Netze nutzen
- Du sollst deine Log-In-Daten nicht an Dritte weitergeben (auch nicht Freunde und Familie)
- Du sollst dich nicht wegducken – Hardwareverlust und Unregelmäßigkeiten sind zu melden
- Du sollst dich bei Fragen und Unsicherheiten vertrauensvoll an deinen betrieblichen Datenschutzbeauftragten wenden!
IT-Sicherheit und Datenschutz gehen Hand in Hand. Mit ein wenig Aufmerksamkeit kann man sich und seinem Unternehmen aber viel Ärger ersparen. Halten Sie sich an die zehn Gebote und nicht nur der Datenschutzgott wird es Ihnen danken!
Danke für die 10 Gebote. Bekommt jeder Mitarbeiter bei uns auf den Tisch
Die 10 Gebote sind klasse!
Die 10 Gebote kann man zur Sensibilisierung gut nutzen.
Der Artikel ist toll geschrieben. Die 10 Gebote sollten in jedem Unternehmen ans schwarze Brett gehangen werden. Vielen Dank für die immer sehr interessanten und wichtigen Beiträge.
Wäre eine Kündigung auch ohne Clean Desk Policy gerechtfertigt? Schließlich steht ja ein Verstoß gegen Datenschutzregeln bzw. -grundsätze im Raum. Es müsste daher richtigerweise lauten. … sind auch Mitarbeiter und Mitarbeiterinnen als unberechtigte Dritte anzusehen, sofern Sie im Rahmen ihrer Aufgabenstellung keinen Zugriff auf die Daten haben dürfen ….
Leider können wir uns nicht abschließend zu arbeitsrechtlichen Fragestellungen äußern. Sofern sich ein Beschäftigter rechtswidrig Zugriff auf Daten verschafft und diese dann womöglich auch noch (privat) nutzt, kann durchaus eine rechtswidrige Datenverarbeitung vorliegen, die auch arbeitsrechtliche Konsequenzen haben dürfte, Policy hin oder her. Man erinnere sich hieran: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-erstes-bussgeld-gegen-polizeibeamten/