Dass der wiederholte Verstoß nach erfolgten Abmahnungen gegen Vorgaben des Arbeitgebers zur IT-Sicherheit am Arbeitsplatz zu einer Kündigung führen kann, hat das LAG Sachsen (9 Sa 250/21) klargestellt.
Die betroffene Mitarbeiterin hatte – entgegen einer eindeutigen Dienstanweisung – Unterlagen mit sensiblen Daten unverschlossen in ihrem Schreibtisch aufbewahrt, während sie selbst nicht im Büro anwesend war. Diese Anweisung war ihr unstreitig hinreichend bekannt.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Anweisung zur Informationssicherheit am Arbeitspatz
Es handelte sich um eine interne Arbeitsanweisung, die als „Clean Desk Policy“ an alle Mitarbeiter gerichtet war. Der Wortlaut dieser Arbeitsanweisung lautete im ersten Punkt: „Akten, Datenträger oder Hardware mit schutzwürdigen Informationen sind ordnungsgemäß unter Verschluss zu halten oder ordnungsgemäß zu entsorgen“, „wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist“. Nach der Regelung im dritten Punkt „dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen herumliegen, sondern müssen in einer Schublade, einem Schrank oder dergleichen verschlossen werden“.
Der Verstoß gegen betriebsinterne Verhaltensrichtlinien kann ein Kündigungsgrund sein – die Verhaltensregeln dürfen aber nicht unzumutbar sein und müssen verständlich formuliert sein!
Clean-Desk-Policy stellt Hauptpflicht für Arbeitnehmer dar
Das Landesarbeitsgericht betonte, dass es unzutreffend sei, einen Verstoß gegen eine solche Clean Desk Policy – hier konkret wegen eines nicht abgeschlossenen Schreibtisches – dem Bereich der Nebenpflichtverletzungen zuzuordnen. In dem Zusammenhang ist auch an die Möglichkeit des Schadensersatzes zu erinnern, wenn konkrete Schädigungen des Betriebs durch einen solchen Verstoß eintreten.
Die Erbringung der Arbeitsleistung im Rahmen des rechtmäßig ausgeübten Direktionsrechts – wozu auch datenschutzrechtliche Arbeitsanweisungen gehören – ist eine Hauptleistungspflicht, so das Gericht ausdrücklich. Soweit die Arbeitnehmerin geltend machte, ein solcher Verstoß wiege nicht schwer, mag dies für den einmaligen Verstoß noch zutreffen. Es lagen aber wiederholte Verstöße trotz einschlägiger Belehrungen und Abmahnungen vor, siehe dazu unten.
Das Ergebnis: Die Arbeitgeberin durfte diesen erneuten Verstoß zum Anlass für eine Kündigung nehmen. Dies war nicht zuletzt auch notwendig, da zu viele Abmahnungen irgendwann ihre warnende Funktion im Arbeitsrecht verlieren!
Probleme am Arbeitsplatz? Unsere Experten für (IT-)Arbeitsrecht und Kündigungsschutz helfen Ihnen weiter!
In unserer renommierten Kanzlei bieten wir umfassende Beratung im Arbeitsrecht mit besonderem Fokus auf IT-Arbeitsrecht für Unternehmen und Geschäftsführer. Unser erfahrenes Team von Rechtsanwälten steht Ihnen zur Seite, um Ihre arbeitsrechtlichen Probleme zu lösen. Mit unserer spezialisierten Expertise im IT-Arbeitsrecht sind wir in der Lage, komplexe rechtliche Herausforderungen im Zusammenhang mit Managerhaftung, Technologie und Arbeitsverhältnissen zu bewältigen.
Datensicherheit am Arbeitsplatz ist generell ein Thema
Der Annahme einer Pflichtverletzung stehe nicht entgegen, dass sich die Clean Desk Policy auf „offensichtlich unternehmensfremde Personen als Dritte“ beziehe, da alle anderen Mitarbeiter einschließlich der Gruppenleiter ebenso wie die Klägerin den Grundsätzen der Vertraulichkeit und Verschwiegenheit unterlägen. Entgegen der Auffassung der Klägerin sind auch diese als „Dritte“ anzusehen, solange sie nicht selbst im Rahmen ihrer dienstlichen Tätigkeit Zugang zu genau den hier in Rede stehenden Daten hatten.
Denn auch die ihrerseits zur Verschwiegenheit verpflichteten Mitarbeiter dürfen über Kunden nichts erfahren, was sie nicht im Rahmen ihrer eigenen beruflichen Tätigkeit betrifft, auch wenn sie nicht zur Weitergabe berechtigt sind. Mit dieser Argumentation zeigt die Klägerin – worauf auch die Beklagte hinweist -, dass sie die hohe Bedeutung des Datenschutzes tatsächlich bis heute nicht wirklich verstanden hat. Die Pflichtverletzung als solche ist auch nicht davon abhängig, dass ein Schaden bereits eingetreten ist oder zumindest droht. Die Arbeitsanweisung sei klar und eindeutig und im Hinblick auf die bei der Beklagten zu verarbeitenden sensiblen Daten auch nicht unverhältnismäßig.
Es sei nicht Sache der Arbeitnehmer, darüber zu befinden, ob eine Befolgung erforderlich war oder nicht, weil Dritte keinen unbeaufsichtigten Zugang zum Büro bzw. zur Etage hatten. Insoweit genügt der ungehinderte Zugang anderer, nicht mit den Daten befasster Mitarbeiter.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Fazit: Compliance-Vorgaben im Arbeitsrecht
Die Entscheidung macht deutlich, dass (natürlich) Verstöße von Arbeitnehmern zu einer verhaltensbedingten Kündigung führen können – im Regelfall wird eine Abmahnung erforderlich sein, wenn kein gravierender Verstoß vorliegt. Dabei sollte darauf geachtet werden, dass die Regelung inhaltlich verständlich ist – hier versuchte man noch zu diskutieren, was „wegsperren“ bedeutet, doch das Gericht machte deutlich, keine Lust auf abwegige sprachliche Diskussionen zu haben.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Es drängt sich auf, dass die Entscheidung des LAG Sachsen so zu verstehen ist, dass jegliche Verstöße gegen DSGVO-Arbeitsanweisungen eine konsequente Abmahnungspolitik erfordern. Dabei ist die hier vorliegende gerichtliche Entscheidung auf Verstöße gegen einen „Code of Conduct“ oder sonstige gemachte Compliance-Vorgaben, etwa im Bereich der IT-Sicherheit, vollständig übertragbar – wobei diese nicht dem Bereich der Nebenpflichtverletzungen zuzuordnen sind (so auch Eufinger in CCZ 2022, 411).
- Abspaltung eines Teilbetriebs und Buchwertansatz: IT-Infrastruktur als Streitpunkt - 11. Januar 2025
- Urteil des EuGH zur Datenminimierung: Konsequenzen für das Vertragsmanagement - 10. Januar 2025
- Transparenz und KI - 10. Januar 2025