Kündigung für „Nachlässigkeiten“ beim Datenschutz?

Urteil

Den Schreibtisch mit sensiblen Kundendaten nicht verschlossen? Den Computer nicht gesperrt? Unterlagen offen auf dem Schreibtisch liegen gelassen? Sie denken, passiert doch mal! Was sich wie alltägliche Nachlässigkeiten im Arbeitsalltag anhört, kann Sie womöglich den Job kosten! Dem Landesarbeitsgericht Sachsen nach zumindest dann, wenn sich die Fehler häufen.

Verstöße gegen Richtlinie führt zur Kündigung

Das LAG Sachsen (9 Sa 250/21) hat am 7.4.2022 zur Frage entscheiden, inwiefern Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen. Die Klägerin war bei der Beklagten als Kreditsachbearbeiterin beschäftigt gewesen. Bei der Beklagten galt am Arbeitsplatz eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Darin wurde etwa geregelt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.

Während des Arbeitsverhältnisses kam es dazu, dass die Klägerin mehrfach gegen die Vorgaben der Richtlinie verstieß. Auf Ermahnungen folgten Abmahnungen und letztendlich erhielt die Klägerin die Kündigung, als die Beklagte feststellte, dass die Klägerin ihren Schreibtisch mit sensiblen Kundendaten nicht, wie in der Richtlinie festgelegt, abgesperrt hatte.

Gegen die Kündigung wehrte sich die Klägerin in erster Instanz noch mit Erfolg. Das LAG Sachsen kam jedoch zum Ergebnis, dass die Vielzahl vermeintlicher Flüchtigkeitsfehler und Ungenauigkeiten letztlich zur rechtmäßigen Kündigung der Beschäftigten geführt haben. Das Gericht hierzu deutlich:

„In der Summe handelt es sich um erhebliche Pflichtverletzungen, die auch zu Ablaufstörungen bei der Beklagten geführt haben.“

Gericht stellt klar: wegsperren meint verschließen!

Das lesenswerte Urteil setzt sich detailliert mit den Pflichtverletzungen in Form der Nichtbeachtung der „Clean-desk-policy“ auseinander. Spannend auch der Vortrag der Klägerin, die Vorgabe zum Wegsperren von sensiblen Dokumenten bedeute nicht zwangsweise, dass die Schubladen und Schränke auch verschlossen sein müssten. Doch! Sagt das LAG unter Verweis auf den Duden.

Zudem stellt das LAG noch mal klar, dass organisatorische Maßnahmen nicht ausschließlich zum Schutz vor unbefugten Zugriffen betriebsfremder Personen zu verstehen sind. Selbst wenn alle Beschäftigten auf die Vertraulichkeit und Verschwiegenheit verpflichtet wurden, können auch Mitarbeiter und Mitarbeiterinnen als unberechtigte Dritte angesehen werden, sofern sie im Rahmen ihrer Aufgaben keinen Zugriff auf die Daten haben müssen (Need-to-Know-Prinzip).

Fehler können mitunter gravierende Folgen haben

Die Entscheidung zeigt, dass Fehlverhalten im Bereich der Datensicherheit durchaus empfindliche Konsequenzen haben können. Richtlinien oder Betriebsvereinbarungen sind kein bürokratischer Unfug. Sie sollen organisatorische Leitlinien für IT-Sicherheit und Datenschutz vorgeben und sind daher tunlichst mit der gebotenen Sorgfalt zu beachten. Neben dem Verlust von Geschäftsgeheimnissen und Betriebs-Know-How können durch Unachtsamkeit und Sorglosigkeit schnell:

  • Meldepflichtige Datenschutzvorfälle nach Art. 33 DSGVO entstehen
  • Hieraus Image- und Reputationsschäden für Arbeitgeber und Kunden folgen
  • und zuletzt aufsichtsbehördliche Maßnahmen ausgelöst werden

Wenn all dies empfindliche Bußgelder und Schadenersatzzahlungen auslöst, wird es richtig ungemütlich.

Checkliste: Die zehn Gebote am Arbeitsplatz und Unterwegs

Natürlich, Fehler passieren jedem einmal und grundsätzlich haftet das Unternehmen als datenschutzrechtlich Verantwortlicher für Bußgelder und Schadensersatz. Beschäftigte sollten das Thema gleichwohl ernst nehmen und sich verantwortungsbewusst am Arbeitsplatz verhalten.

  • Du sollst den Zugriff auf deinen PC/Laptop sperren, wenn du deinen Arbeitsplatz verlässt
  • Du sollst sensible Dokumente nicht unverschlossen oder offen einsehbar liegen lassen
  • Du sollst keine Hardware unbekannter Herkunft an deinen PC/Laptop anschließen
  • Du sollst deine Passwörter nicht auf Zettel schreiben und an den Monitor kleben
  • Du sollst E-Mails stets kritisch auf Seriosität prüfen
  • Du sollst vertrauliche Dokumente nicht in der Öffentlichkeit bearbeiten
  • Du sollst keine offenen WLAN-Netze nutzen
  • Du sollst deine Log-In-Daten nicht an Dritte weitergeben (auch nicht Freunde und Familie)
  • Du sollst dich nicht wegducken – Hardwareverlust und Unregelmäßigkeiten sind zu melden
  • Du sollst dich bei Fragen und Unsicherheiten vertrauensvoll an deinen betrieblichen Datenschutzbeauftragten wenden!

IT-Sicherheit und Datenschutz gehen Hand in Hand. Mit ein wenig Aufmerksamkeit kann man sich und seinem Unternehmen aber viel Ärger ersparen. Halten Sie sich an die zehn Gebote und nicht nur der Datenschutzgott wird es Ihnen danken!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Der Artikel ist toll geschrieben. Die 10 Gebote sollten in jedem Unternehmen ans schwarze Brett gehangen werden. Vielen Dank für die immer sehr interessanten und wichtigen Beiträge.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.