Dass der wiederholte Verstoß nach erfolgten Abmahnungen gegen Vorgaben des Arbeitgebers zur IT-Sicherheit am Arbeitsplatz zu einer Kündigung führen kann, hat das LAG Sachsen (9 Sa 250/21) klargestellt.
Die betroffene Mitarbeiterin hatte – entgegen einer eindeutigen Dienstanweisung – Unterlagen mit sensiblen Daten unverschlossen in ihrem Schreibtisch aufbewahrt, während sie selbst nicht im Büro anwesend war. Diese Anweisung war ihr unstreitig hinreichend bekannt.
Anweisung zur Informationssicherheit am Arbeitspatz
Es handelte sich um eine interne Arbeitsanweisung, die als „Clean Desk Policy“ an alle Mitarbeiter gerichtet war. Der Wortlaut dieser Arbeitsanweisung lautete im ersten Punkt: „Akten, Datenträger oder Hardware mit schutzwürdigen Informationen sind ordnungsgemäß unter Verschluss zu halten oder ordnungsgemäß zu entsorgen“, „wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist“. Nach der Regelung im dritten Punkt „dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen herumliegen, sondern müssen in einer Schublade, einem Schrank oder dergleichen verschlossen werden“.
Der Verstoß gegen betriebsinterne Verhaltensrichtlinien kann ein Kündigungsgrund sein – die Verhaltensregeln dürfen aber nicht unzumutbar sein und müssen verständlich formuliert sein!
Clean-Desk-Policy stellt Hauptpflicht für Arbeitnehmer dar
Das Landesarbeitsgericht betonte, dass es unzutreffend sei, einen Verstoß gegen eine solche Clean Desk Policy – hier konkret wegen eines nicht abgeschlossenen Schreibtisches – dem Bereich der Nebenpflichtverletzungen zuzuordnen. In dem Zusammenhang ist auch an die Möglichkeit des Schadensersatzes zu erinnern, wenn konkrete Schädigungen des Betriebs durch einen solchen Verstoß eintreten.
Die Erbringung der Arbeitsleistung im Rahmen des rechtmäßig ausgeübten Direktionsrechts – wozu auch datenschutzrechtliche Arbeitsanweisungen gehören – ist eine Hauptleistungspflicht, so das Gericht ausdrücklich. Soweit die Arbeitnehmerin geltend machte, ein solcher Verstoß wiege nicht schwer, mag dies für den einmaligen Verstoß noch zutreffen. Es lagen aber wiederholte Verstöße trotz einschlägiger Belehrungen und Abmahnungen vor, siehe dazu unten.
Das Ergebnis: Die Arbeitgeberin durfte diesen erneuten Verstoß zum Anlass für eine Kündigung nehmen. Dies war nicht zuletzt auch notwendig, da zu viele Abmahnungen irgendwann ihre warnende Funktion im Arbeitsrecht verlieren!
Datensicherheit am Arbeitsplatz ist generell ein Thema
Der Annahme einer Pflichtverletzung stehe nicht entgegen, dass sich die Clean Desk Policy auf „offensichtlich unternehmensfremde Personen als Dritte“ beziehe, da alle anderen Mitarbeiter einschließlich der Gruppenleiter ebenso wie die Klägerin den Grundsätzen der Vertraulichkeit und Verschwiegenheit unterlägen. Entgegen der Auffassung der Klägerin sind auch diese als „Dritte“ anzusehen, solange sie nicht selbst im Rahmen ihrer dienstlichen Tätigkeit Zugang zu genau den hier in Rede stehenden Daten hatten.
Denn auch die ihrerseits zur Verschwiegenheit verpflichteten Mitarbeiter dürfen über Kunden nichts erfahren, was sie nicht im Rahmen ihrer eigenen beruflichen Tätigkeit betrifft, auch wenn sie nicht zur Weitergabe berechtigt sind. Mit dieser Argumentation zeigt die Klägerin – worauf auch die Beklagte hinweist -, dass sie die hohe Bedeutung des Datenschutzes tatsächlich bis heute nicht wirklich verstanden hat. Die Pflichtverletzung als solche ist auch nicht davon abhängig, dass ein Schaden bereits eingetreten ist oder zumindest droht. Die Arbeitsanweisung sei klar und eindeutig und im Hinblick auf die bei der Beklagten zu verarbeitenden sensiblen Daten auch nicht unverhältnismäßig.
Es sei nicht Sache der Arbeitnehmer, darüber zu befinden, ob eine Befolgung erforderlich war oder nicht, weil Dritte keinen unbeaufsichtigten Zugang zum Büro bzw. zur Etage hatten. Insoweit genügt der ungehinderte Zugang anderer, nicht mit den Daten befasster Mitarbeiter.
Fazit: Compliance-Vorgaben im Arbeitsrecht
Die Entscheidung macht deutlich, dass (natürlich) Verstöße von Arbeitnehmern zu einer verhaltensbedingten Kündigung führen können – im Regelfall wird eine Abmahnung erforderlich sein, wenn kein gravierender Verstoß vorliegt. Dabei sollte darauf geachtet werden, dass die Regelung inhaltlich verständlich ist – hier versuchte man noch zu diskutieren, was „wegsperren“ bedeutet, doch das Gericht machte deutlich, keine Lust auf abwegige sprachliche Diskussionen zu haben.
Es drängt sich auf, dass die Entscheidung des LAG Sachsen so zu verstehen ist, dass jegliche Verstöße gegen DSGVO-Arbeitsanweisungen eine konsequente Abmahnungspolitik erfordern. Dabei ist die hier vorliegende gerichtliche Entscheidung auf Verstöße gegen einen „Code of Conduct“ oder sonstige gemachte Compliance-Vorgaben, etwa im Bereich der IT-Sicherheit, vollständig übertragbar – wobei diese nicht dem Bereich der Nebenpflichtverletzungen zuzuordnen sind (so auch Eufinger in CCZ 2022, 411).
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024