Einer Kreditsachbearbeiterin wurde ihre Nachlässigkeit im Hinblick auf den Datenschutz zum Verhängnis und sie verlor ihren Job.
Nahezu jeder Mitarbeiter eines Betriebes kommt täglich in Kontakt mit vertraulichen Daten, sei es in Form des Betriebs- und Geschäftsgeheimnisses oder sensiblen Kundendaten. Hier ist ein erhöhtes Schutzniveau erforderlich, d.h. es ist ein besonders sorgfältiger Umgang mit den Daten geboten.
Im konkreten Fall hat ein Unternehmen, in dem die klagende Kreditsachbearbeiterin beschäftigt war, eine „Clean Desk Policy“ etabliert. Hierbei handelt es sich um eine Richtlinie zur Informations- und IT-Sicherheit. In dieser heißt es u.a.:
Wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist:
- sind schützenswerte Akten, Datenträger oder Hardware mit Informationen ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen.
- dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen liegen gelassen werden, sondern müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden.
- sind am Ende des Arbeitstages die IT-Systeme abzumelden und herunterzufahren.
Durch die Missachtung der Clean Desk Policy können meldepflichtige Datenschutzvorfälle entstehen, Art. 33 DSGVO. Außerdem drohen Image- und Reputationsschäden für den Betrieb und Kunden. Auch ein Auslösen von aufsichtsbehördlichen Maßnahmen ist eine mögliche Folge.
Die Kreditsachbearbeiterin aus dem vorliegenden Urteil (Sächsisches LAG, Urteil vom 7.4.2022 – 9 Sa 250/21) verstieß mehrfach gegen die Clean Desk Policy. Ausdrucke mit vertraulichem Inhalt und Datenträger wurden offen liegen gelassen, statt sie z.B. in eine Schublade zu sperren. Wiederum andere sensible Kundendaten wurden in einer nicht verschlossenen Schublade gelagert. Das Verstauen in einer unverschlossenen Schublade entspricht nicht den Anforderungen an ein „Wegsperren“. Gemeint ist damit ein tatsächliches Verschließen, sodass kein Unbefugter Zugriff hat. Unbeachtlich ist bei einem Verstoß gegen die Clean Desk Policy, dass keine betriebsfremde Person Zugriff auf die Daten hatte, sondern nur Betriebsangehörige. Zwar unterliegen sie dem Grundsatz der Vertraulichkeit und Verschwiegenheit. Jedoch sind andere Betriebsangehörige, solange als Dritte anzusehen, wie sie nicht selbst mit den Daten befasst sind (Need-to-know-Prinzip). Zudem wurden von der Mitarbeiterin wiederholt IT-Programme nicht ordnungsgemäß abgemeldet.1
Nach Aussprechen von Ermahnungen und Abmahnungen kam es schließlich zur Kündigung. Hiergegen wehrte sich die Kreditsachbearbeiterin mit Hilfe einer Klage. Diese blieb jedoch ohne Erfolg. Die Kündigung war rechtmäßig und bleibt bestehen. Damit verlor die Sachbearbeiterin ihren Job.
Festzuhalten ist, dass die Summe der Verstöße zur Kündigung führte. Auch ein einmaliger Verstoß kann für sich genommen eine Kündigung rechtfertigen, wenn er als erheblich einzustufen ist. Ob ein Verstoß erheblich ist, gilt es im Einzelfall zu klären und kann nicht pauschal beantwortet werden.
Ein weiterer wichtiger Aspekt des Urteils ist, dass andere Mitarbeiter des Betriebs datenschutzrechtlich als „Dritte“ betrachtet werden können, wenn sie für ihre Arbeitstätigkeit keinen Zugriff auf bestimmte Daten haben müssen (Need-to-know-Prinzip).
Abschließend ist zu erwähnen, dass die genannten Grundsätze auch für Tätigkeiten im Homeoffice gelten.