Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

Datenschutzverstöße als Kündigungsgrund

 
 
 

 

 

 

Die Kündigung eines Arbeitnehmers aufgrund von Nachlässigkeiten in Sachen Datenschutz ist nicht nur möglich, sondern auch zulässig. Dies bestätigte das LAG Sachsen kürzlich mit Urteil vom 07.04.2022 (Az. 9 Sa 250/21), in dem eine Kündigung wegen mehrmaligen Verstoßes gegen Anweisungen zum Datenschutz für rechtmäßig erklärt wurde.

 

Das Wichtigste in Kürze

  • Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers können eine Kündigung rechtfertigen.
  • In der Regel muss ein Arbeitnehmer auch bei Datenschutzverstößen vor Ausspruch einer Kündigung zunächst (unter Umständen mehrmals) abgemahnt werden.
  • In besonders gravierenden Fällen kann eine Abmahnung entbehrlich sein.
  • Zur Beurteilung ob eine Abmahnung erforderlich ist, kommt es darauf an wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt.

 

Ausgangsfall

Die Klägerin war als Kreditsachbearbeiterin im beklagten Unternehmen beschäftigt. Im Unternehmen der Beklagten galt eine umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy. Darin ordnete die Beklagte bestimmte organisatorische Maßnahmen des Datenschutzes an. Unter anderem sah die Richtlinie vor, dass Beschäftigte insbesondere beim Verlassen ihres Arbeitsplatzes bestimmte Maßnahmen ergreifen müssen, um sensible Daten vor der Einsichtnahme unbefugter Dritter zu schützen. Insbesondere sahen die Regelungen vor, dass Dokumente oder Datenträger mit vertraulichem Inhalt nicht offen am Arbeitsplatz liegen gelassen werden dürfen, sondern in eine Schublade, einen Schrank oder eine ähnliche Einrichtung gesperrt oder eingeschlossen werden müssen, wenn der Arbeitsplatz verlassen oder aus anderen Gründen nicht beaufsichtigt wird.

Nachdem die Klägerin im Laufe des Arbeitsverhältnisses nachweislich mehrmals gegen die unternehmensinternen Datenschutzvorgaben verstoßen hat, indem sie unter anderem ihre Schreibtischschublade, die sensible Kundendaten enthielt, nicht abgeschlossen hatte, folgte auf mehrere Abmahnungen eine ordentliche Kündigung. Die Arbeitnehmerin hatte mit ihrer darauf folgenden Kündigungsschutzklage in der ersten Instanz zunächst Erfolg. Anders sah das jedoch das LAG Sachsen , dass in der Summe der einzelnen geringfügigen Verstöße eine erhebliche Hauptpflichtverletzung der Klägerin sieht, die sich insbesondere auf den Betriebsablauf der Beklagten ausgewirkt haben sollen. Daher sei die Kündigung rechtmäßig und wirksam.

 

Verstöße gegen Datenschutzrichtlinien des Arbeitgebers stellen einen Kündigungsgrund dar

Das LAG setzt sich in seinem Urteil mit den Pflichtverletzungen der Klägerin detailliert auseinander. Diese lagen im konkreten Fall darin, dass sie entgegen der Arbeitsanweisung ihres Arbeitgebers zur Clean Desk Policy, während ihrer Büroabwesenheit schützenswerte Dokumente unverschlossen in ihrem Schreibtisch aufbewahrt hatte. Insbesondere folgte das Berufungsgericht nicht der Auffassung der Klägerin, wonach die Vorgaben der Beklagten zum Wegsperren von Dokumenten mit schützenswerten Inhalten nicht zwingend bedeute, dass Schränke oder Schubladen verschlossen sein müssen. Unter Verweis auf den Duden hat das LAG ausgeführt, dass das Verständnis der Klägerin, mit der Bedeutung des Wortes „wegsperren“ nicht zu vereinbaren sei. Zudem habe der Arbeitgeber sein Ziel sensible Daten vor unberechtigten Zugriffen zu schützen mit seiner Wortwahl unmissverständlich zum Ausdruck gebracht. Dieses Ziel sei aber durch die Ablage in einer unverschlossenen Einrichtung gerade nicht zu erreichen gewesen. Weiterhin stellte das Gericht klar, dass organisatorische Datenschutzmaßnahmen des Arbeitgebers nicht nur dem Schutz vor unbefugten Zugriffen externer Personen dienen, sondern auch Zugriffe durch andere Mitarbeiter verhindern sollen, die im Rahmen ihrer Tätigkeit keinen Zugriff auf die Daten haben dürfen und daher als unberechtigte Dritte anzusehen sind.

 

Arbeitnehmer haften grundsätzlich nicht für DSGVO-Verstöße

Nach deutschem Recht haftet grundsätzlich derjenige für einen entstandenen Schaden, der diesen zu vertreten hat (§ 276 BGB). Im Rahmen eines Arbeitsverhältnisses gilt das Prinzip der Eigenverantwortung nur eingeschränkt. Für Datenschutzverstöße im Rahmen einer Beschäftigung gilt insoweit nichts anderes. So ist in der Regel der Arbeitgeber Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da er darüber entscheidet, welche Daten zu welchem Zweck erhoben und welche technische und organisatorische Maßnahmen in diesem Zusammenhang getroffen werden. So haftet in der Regel der Arbeitgeber gegenüber betroffenen Kunden oder ggf. auch anderen Beschäftigten für Schäden, die infolge von Datenschutzverletzungen seiner Arbeitnehmer verursacht werden. Nur in Ausnahmefällen wird der Arbeitnehmer persönlich in Anspruch genommen. Wann eine persönliche Haftung des Arbeitnehmers vorliegt, können Sie in diesem Beitrag nachlesen.

 

Datenschutzverstöße können zu einer Kündigung des Arbeitsverhältnisses führen

Neben den üblichen Verstößen gegen die DSGVO wie beispielsweise einer unberechtigten Löschung von Daten, einem Datenmissbrauch oder einem Verstoß gegen Verschwiegenheitspflichten können auch Verstöße gegen datenschutzrechtliche Vorgaben des Arbeitgebers von Bedeutung sein. Vor allem dann, wenn diese einen kündigungsrelevanten Sachverhalt begründen. Ob eine Kündigung aufgrund eines Verstoßes gegen unternehmensinterne Datenschutzvorgaben rechtmäßig ist oder nicht, ist letztlich eine Frage des Einzelfalls..

 

Vor dem Ausspruch einer Kündigung muss der Arbeitnehmer grundsätzlich abgemahnt werden

Datenschutzverletzungen aufseiten des Arbeitnehmers stellen regelmäßig einen abmahnungsfähigen Sachverhalt dar, unabhängig davon, ob gesetzliche Vorgaben oder unternehmensinterne Richtlinien des Arbeitgebers verletzt werden. Im Falle einer Kündigung ist es regelmäßig erforderlich, dass im Vorfeld eine oder ggf. auch mehrere Abmahnungen erteilt wurden, so wie es auch in dem hier vorliegenden Fall geschah. Greift ein Arbeitnehmer beispielsweise auf Daten zu, für die er eigentlich keine Zugriffsberechtigung hat, kann der Arbeitgeber eine Abmahnung aussprechen.

 

Eine Abmahnung kann unter bestimmten Umständen entbehrlich sein

In besonders gravierenden Fällen kann eine Abmahnung ausnahmsweise aber auch entbehrlich sein. In welchen Fällen das angenommen werden kann, wird von der Rechtsprechung aufgrund einer Vielzahl denkbarer Verstöße nicht einheitlich beantwortet. Denn jedes Unternehmen weist ein breites Spektrum an schützenswerten Daten in seinem Bestand auf. Weiterhin muss die Stellung des jeweiligen Arbeitnehmers und die Art der geschützten Daten im konkreten Fall berücksichtigt werden, da das Vertrauensverhältnis zwischen Arbeitnehmer und Arbeitgeber je nach Sachlage unterschiedlich stark betroffen sein kann.

 

Wann eine Abmahnung entbehrlich ist, ist eine Frage des Einzelfalls

Die bereits vorhandene Rechtsprechung kann insoweit lediglich als Orientierung dienen. Sie vermag jedoch keine verlässliche Antwort auf die Frage zu geben, wann eine Abmahnung als milderes Mittel zur Kündigung entbehrlich ist. Insofern muss nach allgemeinen Grundsätzen eine Betrachtung des Einzelfalls vorgenommen werden, um entscheiden zu können, wie schwerwiegend der jeweilige Verstoß ist und ob dieser geeignet ist, die Vertrauensgrundlage nachhaltig zu beeinträchtigen. In diesem Zusammenhang sei beispielhaft auf einige Fälle hingewiesen, die in der Vergangenheit von den Arbeitsgerichten entschieden wurden:

Im Rahmen eines Kündigungsschutzprozesses hatte das Landesarbeitsgericht Köln bereits vor dem Inkrafttreten der DSGVO entschieden, dass ein Arbeitnehmer zunächst mit einem deutlichen Hinweis auf die durch ihn begangenen Datenschutzverstöße abgemahnt werden muss, bevor ihm die Kündigung ausgesprochen werden kann. In dem zugrundeliegenden Fall hatte ein angestellter Programmierer, unberechtigterweise Einsicht in eine Geheimliste auf dem Firmen-Computer genommen.

In einem vergleichbaren Fall vor dem Arbeitsgericht Osnabrück nahm ein Arbeitnehmer in rechtswidriger und strafbarer Weise Einsicht in vertrauliche Daten. Das Arbeitsgericht sah im Verhalten des Arbeitnehmers einen schwerwiegenden Vertrauensbruch, der den Arbeitgeber auch ohne den vorherigen Ausspruch einer Abmahnung zur ordentlichen Kündigung berechtigte.

Das Arbeitsgericht Aachen ging noch weiter und hat in einem Fall sogar die außerordentliche Kündigung ohne eine zuvor ausgesprochene Abmahnung für rechtmäßig erkannt. In dem zu entscheidenden Fall hatte ein Arbeitnehmer mit langjähriger Betriebszugehörigkeit drei E-Mails seines Vorgesetzten mitgelesen. Dies war ihm aufgrund seiner Position als Systemadministrator technisch zwar möglich, in seinem Arbeitsvertrag jedoch ausdrücklich untersagt.

Die vorgenannten Entscheidungen machen deutlich, dass es bei Verstößen gegen Datenschutzbestimmungen stets einer Einzelfallbetrachtung bedarf. Dabei ist vor allem entscheidend, wie stark sich die konkret begangene Datenschutzverletzung auf das bestehende Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer auswirkt. Je stärker dieses tangiert ist, desto eher kann man davon ausgehen, dass eine vorherige Abmahnung entbehrlich ist.

 

Arbeitnehmer sollten nachweislich umfassend über ihre Pflichten zum Datenschutz aufgeklärt werden

Um dies im Rahmen eines Kündigungsschutzprozesses nachvollziehbar darlegen zu können, sollten Arbeitgeber ihre Beschäftigten zu Beginn ihrer Tätigkeit umfassend über die im Betrieb geltenden Datenschutzbestimmungen informieren. Die Informationserteilung sollte bestenfalls schriftlich erfolgen und durch den Beschäftigten optimalerweise bestätigt werden. Schließlich wird eine nachhaltige Schädigung des Vertrauensverhältnisses wesentlich leichter zu bejahen sein, wenn feststeht, dass der Arbeitnehmer trotz ausreichender Aufklärung die Vorgaben des Arbeitgebers missachtet hat.

 

Folgen von Datenschutzverstößen für den Arbeitgeber

Arbeitgeber sollten ihren Beschäftigten Richtlinien zum Zwecke des Datenschutzes und der Datensicherheit vorgeben. Denn unabhängig von der Beeinträchtigung des Geschäftsablaufs durch den Verlust von Geschäftsgeheimnissen oder Kundendaten, können Nachlässigkeit in Sachen Datenschutz zu meldepflichtigen Datenschutzvorfällen nach Art. 33 DSGVO führen. Kommt es infolge von Datenschutzverstößen zu aufsichtsbehördlichen Aufsichtsmaßnahmen, Bußgeldern oder Schadensersatzansprüchen betroffener Personen, haftet regelmäßig das Unternehmen als datenschutzrechtlich Verantwortlicher. Nicht zu vernachlässigen ist auch die Tatsache, dass dem Unternehmen bei öffentlich bekannt gewordenen Datenschutzvorfällen ein Image- und Reputationsschäden drohen könnte.

 

Maßnahmen des Datenschutzes und der Datensicherheit am Arbeitsplatz

Auch wenn grundsätzlich allein das Unternehmen haftete, sollten auch Beschäftigte dieses Thema ernst nehmen und mit personenbezogenen Daten verantwortungsbewusst umgehen. Dies kann in den meisten Fällen bereits durch folgende Maßnahmen erreicht werden:

  • Einrichtung und Aktivierung einer Zugriffssperre am PC/Laptop
  • Sensible Dokumente nicht offen einsehbar liegen lassen
  • Hardware unbekannter Herkunft nicht mit dem PC/Laptop verbinden
  • Passwörter sicher aufbewahren
  • E-Mails auf Seriosität überprüfen
  • Sensible Dokumente nicht in der Öffentlichkeit bearbeiten
  • Keine offenen WLAN-Netze verwenden
  • Log-In-Daten nicht an Dritte weitergeben
  • Datenverluste oder andere Unregelmäßigkeiten an den Vorgesetzten oder Datenschutzbeauftragten melden.

 

Fazit

Das aktuelle Urteil des LAG Sachsen macht deutlich, dass auch Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen können. In Anbetracht der Tatsache, dass bei Datenschutzverstößen sowohl empfindliche Bußgelder als auch Schadensersatzansprüche betroffener Personen drohen können, legen Arbeitgeber viel Wert auf die Einhaltung von Vorschriften zum Datenschutz. Denn regelmäßig ist im Falle eines Verstoßes das Unternehmen Adressat von Sanktionen und Schadensersatzansprüchen, da dieses als datenschutzrechtlich Verantwortlicher anzusehen ist. Daher sollte es Anliegen eines jeden Arbeitgebers sein, seine Arbeitnehmer für den Datenschutz zu sensibilisieren und deutlich zu machen, dass die Nichtbeachtung arbeitsrechtliche Konsequenzen und im härtesten Fall eine Kündigung nach sich ziehen kann. Die Arbeitnehmer wiederum sind gut beraten den Arbeitgeber bei diesen Bestrebungen zu unterstützen und sich an die vorgegebenen Richtlinien zu halten.

 

Call Now ButtonKontakt aufnehmen