Nachlässigkeit beim Datenschutz als Kündigungsgrund?
Einhaltung des Datenschutzes am Arbeitsplatz
Beschäftigte verarbeiten jeden Tag einen enormen Umfang an Daten, darunter in großen Teilen personenbezogen. Die Einhaltung datenschutzrechtlicher Vorgaben ist somit ein wesentlicher Bestandteil des Berufsalltags. Was passiert also, wenn Mitarbeitende regelmäßig gegen datenschutzrechtliche Vorgaben des Unternehmens verstoßen? Können sie arbeitsrechtlich dafür belangt oder sogar gekündigt werden?
Mit dieser Frage hat sich im April 2022 das LAG Sachsen (9 Sa 250/21) beschäftigt. Vorliegend war die Klägerin als Kreditsachbearbeiterin beschäftigt gewesen, bis das Arbeitsverhältnis vom Beklagten aufgekündigt wurde. Begründet wurde die Kündigung mit Verstößen der Klägerin gegen organisatorische Vorgaben zum Schutz von Daten.
Der Beklagte hatte eine umfassende Richtlinie zur Informationssicherheit und „Clean-Desk-Policy“ am Arbeitsplatz etabliert. Unter anderem wurde darin geregelt, dass Beschäftigte verpflichtet sind, schützenswerte Daten stets wegzusperren oder zu entsorgen, Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren und sensible Dokumente keinesfalls offen einsehbar liegen zu lassen. Aufgrund wiederholter Verstöße gegen die organisatorischen Vorgaben wurde die Klägerin zunächst abgemahnt und schließlich gekündigt.
Im Rechtsstreit wurde diskutiert, inwiefern wiederholte Verstöße gegen interne Vorgaben zum Schutz von Daten als Kündigungsgrund gelten können. In zweiter Instanz kam das LAG Sachsen zum Ergebnis, dass die Vielzahl vermeintlicher Flüchtigkeitsfehler und Ungenauigkeiten der Klägerin eine Kündigung rechtmäßig begründet haben. Hierzu das Gericht:
„Wie vorstehend dargestellt, handelt es sich in der Summe um erhebliche Pflichtverletzungen, die auch zu Ablaufstörungen bei der Beklagten geführt haben.“ (Kap. 2.3.3. LAG Sachsen, Urteil vom 7.4.2022 – 9 Sa 250/51)
Interne Datenschutzvorgaben müssen getroffen werden
Das Urteil des LAG Sachsen zeigt auf, dass die Verletzung datenschutzrechtlicher Vorgaben auch persönliche Folgen für die Belegschaft haben kann. Die Verantwortung der zuverlässigen und sicheren Verarbeitung von Daten liegt daher im Verantwortungsbereichs aller Mitarbeiterinnen und Mitarbeiter; Vorgaben des Arbeitgebers müssen daher ernst genommen werden.
Gleichzeitig macht das Urteil die Wichtigkeit organisatorischer Vorgaben zum Schutz von Daten durch die verantwortliche Stelle deutlich. Wenn keine Vorgaben existieren, besteht für verantwortliche Stellen ein erhebliches Risiko, dass Mitarbeitende unwissend oder unachtsam mit Daten umgehen. Insbesondere im Hinblick auf Heimarbeit sollten klare Vorgaben zum Schutz personenbezogener Daten getroffen werden.