Können Sie diese kryptischen Tastenkombinationen zuordnen? „Windows“ + „L“ oder [ctrl] + [cmd] + [Q]?
Wer diese Kombinationen kennt und anwendet, hat eine höhere Wahrscheinlichkeit, auch morgen noch seinen Job zu haben. Diese fehlende Kenntnis oder die mangelnde Motivation zur Umsetzung wurde jetzt einer Kreditsachbearbeiterin zum Verhängnis.
Zum Sachverhalt
Die Klägerin, als Kreditsachbearbeiterin bei der Beklagten beschäftigt, unterlag vor dem Landesarbeitsgericht (LAG) Sachsen im Streit gegen ihre Arbeitgeberin um die Wirksamkeit einer verhaltensbedingten Kündigung (LAG Sachsen, Urteil vom 07.04.2022 – 9 Sa 250/21).
Bei der beklagten Arbeitgeberin gab es konkrete innerbetriebliche Richtlinien zur Informationssicherheit; diese Arbeitsanweisung hieß „Procedure zur Informationssicherheit am Arbeitsplatz und Clean Desk Policy“. Als Kreditsachbearbeiterin hatte die Klägerin mit diversen sensiblen Finanzdaten der Darlehensnehmer in Papierform und elektronisch zu arbeiten. Diese Daten seien umsichtig zu behandeln und „ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen“. Wird der Arbeitsplatz verlassen, ist der PC gegen eine Einsichtnahme zu sichern und Dokumente oder Datenträger „müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden“ (siehe zur Arbeitsanweisung auch Rn. 2).
Im Laufe ihres Arbeitsverhältnisses verstieß die Klägerin des Öfteren gegen diese internen Vorgaben, sodass sie erst arbeitsrechtliche Ermahnungen und anschließend auch Abmahnungen erhielt. Zur ordnungsgemäßen Kündigung kam es dann, als die Beklagte in neue Räumlichkeiten zog und die in der Zeit erkrankte Klägerin zustimmte, dass ihr Arbeitsplatz von ihrem Gruppenleiter im Beisein eines Betriebsratsmitglieds geräumt werden kann. Dabei wurde festgestellt, dass in dem unverschlossenen Schreibtisch der Klägerin mehrere Markt- und Beleihungswertermittlungen sowie Prüfbögen der Qualitätssicherung abgelegt waren. Auf den Unterlagen waren Daten – auch Kundendaten – vermerkt. Die Kenntnisnahme durch firmenfremde Personen ist unwahrscheinlich, weil sich das Büro im fünften Stock befand und nur nach Anmeldung beim Pförtner im Erdgeschoß betreten werden konnte.
Die Klägerin wehrte sich gegen die Kündigung und bekam im erstinstanzlichen Urteil vom Arbeitsgericht (ArbG) Leipzig auch Recht (Urteil vom 24.03.2021 – 11 Ca 3518/20). Das LAG Sachsen als zweite Instanz kam aber zu dem Ergebnis, dass die Vielzahl der Verstöße, auch wenn es sich um Flüchtigkeitsfehler handeln sollte, eine Kündigung in diesem Fall rechtfertigt.
Das Gericht folgte auch nicht der Einlassung der Klägerin, dass „wegsperren“ nicht automatisch auch bedeutet, dass der Schreibtisch und Schränke abgeschlossen sein müssen (wie in der „Clean Desk Policy“ der Beklagten vorgesehen), sondern beruft sich auf die Definition des Wortes aus dem Duden. So heißt es im Urteil des LAG: „Soweit die Klägerin meint, „in einen Schrank oder dergleichen gesperrt“ bedeute nicht zwingend, dass Schublade oder Schrank auch verschlossen sein müssten, ist dies mit der Bedeutung des Wortes „Wegsperren“ nicht vereinbar. Denn es bezeichnet ausweislich der Internetseite https://www.duden.de/rechtschreibung/wegsperren mit der ersten Bedeutung dasselbe, wie „wegschließen“. […] Das auch von der Klägerin in dem Wort „Wegsperren“ erkannte Ziel, nämlich den Schutz vor unbefugten Blicken und unbefugtem Gebrauch, kann durch eine Ablage im unverschlossenen Schreibtisch offensichtlich nicht erreicht werden.“ (Rn. 73)
Verstoß von Arbeitnehmern gegen technische und organisatorische Maßnahmen
Für jeden Arbeitnehmer ist folgender Hinweis des Gerichts wichtig: Technische und organisatorische Maßnahmen (TOM) sind nicht nur dazu da, um betriebsfremden Personen die Einsicht in Betriebsinterna zu verwehren. Sie dienen auch dazu, den eigenen Mitarbeitern, für die die personenbezogenen Daten nicht notwendig sind, als unberechtigte Dritte von der Kenntnisnahme dieser Daten fernzuhalten (Need-to-know-Prinzip). Darum spielte es hier für das LAG auch keine Rolle, dass betriebsfremde Personen realistisch gesehen nichts von dem Inhalt der Daten erfahren konnten. Selbst eine Verpflichtung auf die Verschwiegenheit und Vertraulichkeit aller Mitarbeiter verschiebt nicht den Schutzzweck der DSGVO, nämlich die Kenntnisnahme von personenbezogenen Daten nur einem relevanten Kreis zugänglich zu machen. Die Verletzung dieser arbeitsvertraglichen Nebenpflichten kann daher auch arbeitsrechtliche Konsequenzen haben, wie dieses Urteil deutlich macht.
Eine solche Verletzung kann aber auch darüber hinausgehende Konsequenzen haben:
- Nachdem diese festgestellt wurde, kann ggf. auch eine entsprechende Meldung bei der zuständigen Aufsichtsbehörde notwendig sein. Dafür bleiben nur 72 Stunden Zeit und Betroffene müssen ggf. informiert werden.
- Da grundsätzlich jeder Verstoß gegen die Datenschutzvorschriften der DSGVO bußgeldfähig ist, droht neben einem Bußgeld der Aufsichtsbehörde ggf. auch noch ein Schadensersatzanspruch der betroffenen Person(en).
- Wer für den Schadensersatz und das Bußgeld aufkommen muss, ist häufig schwierig vorher zu bestimmen und kann u. U. auch vom Arbeitnehmer zu zahlen sein (mehr zu diesem Thema lesen Sie in unserem Blogbeitrag).
Fazit
Das Urteil zeigt, wie wichtig die Umsetzung der unternehmensinternen Richtlinien zum Datenschutz sind. Sie dient nicht nur dem Schutz der betroffenen Personen und dem Unternehmen, sondern auch dem Arbeitnehmer selbst vor arbeitsrechtlichen Konsequenzen. Gerade in internen Schulungen kann dieses aktuelle Urteil zur Sensibilisierung der Mitarbeiter dienen.
30. November 2022 @ 10:10
Hallo liebes DS-Nord-Team, hallo Herr Hanusch,
bei mir öffnet [ctrl] + [cmd] + [Q] bzw. [Strg] + [Windostaste] + [Q] die Remotehilfe. Um ein Programm zu schließen wird wohl wie ich gelesen habe [Strg] + [Q] verwendet. Das funktioniert meiner Erfahrung nach nicht immer ordentlich. Daher verwende ich [Alt] + [F4] – klappt auch super um das „herunterfahren Fenster“ zu öffnen. Das ist meine Empfehlung 😉
Keep up the good work & liebe Grüße!