Kündigung aufgrund von Nachlässigkeit beim Datenschutz – geht das?

Einer Kreditsachbearbeiterin wurde ihre Nachlässigkeit im Hinblick auf den Datenschutz zum Verhängnis. Nach mehreren Ermahnungen und Abmahnungen mit anschließender Kündigung landete der Fall vor Gericht. Die Sachbearbeiterin wollte die Kündigung nicht akzeptieren und erhob Klage.

Einer Kreditsachbearbeiterin wurde ihre Nachlässigkeit im Hinblick auf den Datenschutz zum Verhängnis und sie verlor ihren Job.

Nahezu jeder Mitarbeiter eines Betriebes kommt täglich in Kontakt mit vertraulichen Daten, sei es in Form des Betriebs- und Geschäftsgeheimnisses oder sensiblen Kundendaten. Hier ist ein erhöhtes Schutzniveau erforderlich, d.h. es ist ein besonders sorgfältiger Umgang mit den Daten geboten.

Im konkreten Fall hat ein Unternehmen, in dem die klagende Kreditsachbearbeiterin beschäftigt war, eine „Clean Desk Policy“ etabliert. Hierbei handelt es sich um eine Richtlinie zur Informations- und IT-Sicherheit. In dieser heißt es u.a.:
Wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist:

  • sind schützenswerte Akten, Datenträger oder Hardware mit Informationen ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen.
  • dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen liegen gelassen werden, sondern müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden.
  • sind am Ende des Arbeitstages die IT-Systeme abzumelden und herunterzufahren.

 

Durch die Missachtung der Clean Desk Policy können meldepflichtige Datenschutzvorfälle entstehen, Art. 33 DSGVO. Außerdem drohen Image- und Reputationsschäden für den Betrieb und Kunden. Auch ein Auslösen von aufsichtsbehördlichen Maßnahmen ist eine mögliche Folge.
Die Kreditsachbearbeiterin aus dem vorliegenden Urteil (Sächsisches LAG, Urteil vom 7.4.2022 – 9 Sa 250/21) verstieß mehrfach gegen die Clean Desk Policy. Ausdrucke mit vertraulichem Inhalt und Datenträger wurden offen liegen gelassen, statt sie z.B. in eine Schublade zu sperren. Wiederum andere sensible Kundendaten wurden in einer nicht verschlossenen Schublade gelagert. Das Verstauen in einer unverschlossenen Schublade entspricht nicht den Anforderungen an ein „Wegsperren“. Gemeint ist damit ein tatsächliches Verschließen, sodass kein Unbefugter Zugriff hat. Unbeachtlich ist bei einem Verstoß gegen die Clean Desk Policy, dass keine betriebsfremde Person Zugriff auf die Daten hatte, sondern nur Betriebsangehörige. Zwar unterliegen sie dem Grundsatz der Vertraulichkeit und Verschwiegenheit. Jedoch sind andere Betriebsangehörige, solange als Dritte anzusehen, wie sie nicht selbst mit den Daten befasst sind (Need-to-know-Prinzip). Zudem wurden von der Mitarbeiterin wiederholt IT-Programme nicht ordnungsgemäß abgemeldet.1
Nach Aussprechen von Ermahnungen und Abmahnungen kam es schließlich zur Kündigung. Hiergegen wehrte sich die Kreditsachbearbeiterin mit Hilfe einer Klage. Diese blieb jedoch ohne Erfolg. Die Kündigung war rechtmäßig und bleibt bestehen. Damit verlor die Sachbearbeiterin ihren Job.

Festzuhalten ist, dass die Summe der Verstöße zur Kündigung führte. Auch ein einmaliger Verstoß kann für sich genommen eine Kündigung rechtfertigen, wenn er als erheblich einzustufen ist. Ob ein Verstoß erheblich ist, gilt es im Einzelfall zu klären und kann nicht pauschal beantwortet werden.
Ein weiterer wichtiger Aspekt des Urteils ist, dass andere Mitarbeiter des Betriebs datenschutzrechtlich als „Dritte“ betrachtet werden können, wenn sie für ihre Arbeitstätigkeit keinen Zugriff auf bestimmte Daten haben müssen (Need-to-know-Prinzip).
Abschließend ist zu erwähnen, dass die genannten Grundsätze auch für Tätigkeiten im Homeoffice gelten.

Laura Wagner

Diplom-Juristin

Das könnte Sie auch interessieren

IT-Sicherheit | Datenschutz

Cookies mal anders – die Alternative zu Consent Tools: PIMS

2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Neu ist eine Regelung zum Thema Dienste zur Einwilligungsverwaltung. Dies betrifft vor allem Cookies Nutzung auf Webseiten. Hier gibt es jetzt sog. „Personal Information Management Services“ (PIMS). Ob eine solche Lösung auch in Deutschland umsetzbar und anwendbar ist, hängt vom Erlass eines Gesetzes ab und liegt damit in den Händen des Gesetzgebers
Datenschutz

EU-Datenschutzverstöße – Rekordstrafe gegen Facebook Mutterkonzern Meta

Wieder einmal muss sich der Facebook Mutterkonzern Meta wegen eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) verantworten. Doch dieses Mal handelt es sich um eine Rekordstrafe in Milliarden Höhe. Zentraler Punkt des Verfahrens gegen Meta ist .
Datenschutz

Street View kommt – was jetzt?

Ab Mitte Juli 2023 plant Google die Veröffentlichung neuer Aufnahmen aus ganz Deutschland, die per Street-View-Fahrzeug oder zu Fuß mit einem Kamerarucksack aufgenommen wurden. Doch was, wenn man mit der Veröffentlichung des eigenen Hauses oder Grundstücks nicht einverstanden ist?
Datenschutz | IT-Sicherheit

Griechische Mythologie und Datenschutz– der Pegasus Skandal

Das berühmteste Spähprogramm, sog. Spyware, auf dem Markt ist aktuell „Pegasus“. Spyware gilt als eine der mächtigsten und einflussreichsten Cyberwaffen unserer Zeit. Vermarktet wird es vorrangig an Staaten vor dem Hintergrund, dass man mithilfe…
Datenschutz

***UPDATE*** – Cookies mal anders

Es gibt Neuigkeiten zum Thema Cookie Banner. In einem älteren Beitrag haben wir schon einmal über das Thema berichtet und in der Zwischenzeit ist die Bundesregierung aktiv geworden - ein Verordnungsentwurf wurde kürzliche veröffentlicht. Darin zu finden sind die Anforderungen an sog. PIMS. Welche Anforderungen das im Einzelnen sind….
Datenschutz

Neues zum Thema Meta und Datenschutz

Der EuGH hat entschieden: Die Wettbewerbsaufsicht durch das Bundeskartellamt umfasst die Befugnis, Maßnahmen zur Einhaltung der DSGVO durch Meta zu treffen. In seinem Urteil vom 4. Juli 2023 hat der EuGH entschieden, dass es künftig für Meta, zu dem unter anderem Facebook, WhatsApp und Instagram gehören, schwieriger wird datenschutzkonform große Datenmengen zu sammeln.
Datenschutz | IT-Sicherheit

Justizreform in Frankreich – die Polizei als Staatstrojaner?

In Frankreich ist eine Justizreform im Gange. Unter anderem sollen die Befugnisse der Polizei zur Überwachung von potenziell Verdächtigen erweitert werden.
Datenschutz | IT-Sicherheit

Deutschland im entgegengesetzten Trend zu Frankreich – Einsatz von Staatstrojaner begrenzen

Der Einsatz des sog. Staatstrojaners soll in Deutschland nach einem aktuellen Gesetzesentwurf des Justizministeriums eingeschränkt werden. Außeracht gelassen wurden dabei das grundsätzliche Problem von staatlichem Hacken.
Datenschutz

Stimmen deutscher Behörden zum Data Privacy Framework

Kaum jemand, der Datenschutz-interessiert ist, dürfte den frisch erlassenen Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“ / Datenschutzrahmen EU-USA verpasst haben. Nach der EU-Kommission soll das Data Privacy Framework einen sicheren Datenverkehr für die Europäer*innen ermöglichen