Verstoß gegen Pflichten aus dem Arbeitsvertrag kann auch bei Datenschutzvergehen den Job kosten.
Das war nicht zu erwarten. Weil eine Kreditsachbearbeiterin ihren Schreibtisch regelmäßig nicht aufgeräumt und abgesperrt hat, war die Konsequenz der Arbeitsplatzverlust. Man denkt an die vielen Schreibtische in den Personalabteilungen, bei Steuerberatern und Rechtsanwälten oder in Arztzimmern und Apotheken.
Bitterer Urteilsspruch für eine 51 jährige Muter von drei Kindern, die als Kreditsachbearbeiterin im Baufinanzierungsbereich tätig war und für 30 Wochenstunden ca. 3.573,50 Euro Gehalt bekam. Im Unternehmen der Mitarbeiterin gab es eine Richtlinie zur Informationssicherheit und eine „Clean Des Policy“. Diese Richtline verpflichtet die Beschäftigten für eine aufgeräumte Arbeitsumgebung zu sorgen.
Auszugsweise:
- Es ist dafür Sorge zu tragen, dass schützenswerte oder geheime Informationen – egal ob in papierhafter Form oder auf dem Bildschirm – nicht durch Dritte eingesehen werden können.
Wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist:
• Sind schützenswerte Akten, Datenträger oder Hardware mit Informationen ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen. Für Notebooks gilt der nächste Punkt.
• Muss darauf geachtet werden, dass das jeweilige Arbeitsgerät immer gesperrt wird, also mindestens der Bildschirmschoner aktiv ist.
• Dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen liegen gelassen werden, sondern müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden.
• Dürfen der Schlüssel für Rollcontainer oder Schränke mit vertraulichem Inhalt nicht am Arbeitsplatz oder an den Schlössern verbleiben.
• Dürfen Passwörter auf keinen Fall sichtbar (als Klebezettel am Monitor oder an einem leichterratenden Ort wie z. B. unter der Schreibtischauflage z. B. in der unverschlossenen Schreibtischschublade oder unter der Tastatur bzw. Mousepad) aufbewahrt werden.
• Sind am Ende des Arbeitstages die IT-Systeme abzumelden und herunterzufahren. Ausnahmen bilden Systems, die aus technischen oder organisatorischen Gründen nicht neu gebootet werden dürfen.
• Sind gekippte bzw. offenen Fenster am Ende des Arbeitstages zu verschließen.“
Über diese Vorgaben des Arbeitsgebers wurden die Beschäftigten regelmäßig sensibilisiert. Im weiteren erfolgten dann begründete Abmahnungen.
Auszugsweise:
Sie haben an mehreren Tagen im Monat Juni (03.06., 09.06. und 19.06.2020) die Regelungen der Clean-Desk-Policy nicht eingehalten. Nach dieser Policy dürfen schützenswerte oder geheime Informationen — ob auf dem Bildschirm oder papierhaft- nicht durch Dritte einsehbar sein.
Am 09.06.2020 hat Sie die stellvertretende Gruppenleiterin, Frau B. per Email auf die Notwendigkeit der Einhaltung der Clean-Desk-Policy hingewiesen, da diese auch an diesem Tag von Ihnen nicht eingehalten wurde. Auf Ihrer Schreibtischunterlage waren Hauptdarlehensnummern der Kunden vermerkt, der Datenmüll war nicht ordnungsgemäß entsorgt.
Am 19.06.2020 hat Frau B., die in Ihrer krankheitsbedingten Abwesenheit Ihren Schreibtisch, der wegen der Corona-Pandemie desinfiziert werden musste, abgeräumt und in diesem Zusammenhang festgestellt, dass – trotz der mehrfach erfolgten Anweisungen- mehrere Klebezettel mit verschiedenen Darlehensnummern auf Ihrem Schreibtisch gelegen haben.
Bei der Beklagten fand im November 2020 ein Umzug in neue Räumlichkeiten statt. Daher mussten sämtliche Möbel, Akten, etc. gepackt und in die neuen Räumlichkeiten verbracht werden. Die Klägerin war zu diesem Zeitpunkt erkrankt. Auf Anfrage stimmte die Klägerin zu, dass ihr Gruppenleiter im Beisein eines Betriebsratsmitglieds die Beräumung ihres Schreibtisches durchführen könne, was am 02.11.2020 auch geschah. Dabei wurde festgestellt, dass in dem unverschlossenen Schreibtisch der Klägerin mehrere Markt- und Beleihungswertermittlungen und Prüfbögen der Qualitätssicherung mit den jeweiligen Kundendaten abgelegt waren. Auf den Unterlagen waren Daten – auch Kundendaten – vermerkt, die nach dem 22.09.2020 dort eingetragen wurden.
Das Landesarbeitsgericht Sachsen hat unter anderem festgestellt:
Eine Pflichtverletzung liegt in Form der Nichteinhaltung der Arbeitsanweisung „Clean desk policy“ unstreitig vor. Die Klägerin hat entgegen der Anweisung Unterlagen mit sensiblen Daten unverschlossen zu einem Zeitpunkt im Schreibtisch aufbewahrt, zu dem sie selbst nicht im Büro anwesend war. Unstreitig war ihr diese Anweisung hinreichend bekannt.
Der Pflichtverstoß als solcher ist auch nicht abhängig davon, ob ein Schaden bereits eingetreten ist oder zumindest drohte. Die Arbeitsanweisung ist klar und deutlich sowie angesichts der bei der Beklagten zu verarbeitenden sensiblen Daten auch nicht unverhältnismäßig. Es ist nicht Sache der Mitarbeiterin, zu entscheiden, ob eine Einhaltung erforderlich war oder nicht, weil Dritte keinen unbeaufsichtigten Zugang zu Büro oder Etage hatten. Wie ausgeführt, genügt hier auch bereits der ungehinderte Zugang anderer, mit den Daten nicht befasster Mitarbeiter.
Die Abmahnung wird auch der Rügefunktion gerecht, denn es wird für den 03.06.2020 ausgeführt, dass die Klägerin gegen die Clean Desk Policy verstoßen habe, weil sie auf ihrem Schreibtisch papierhafte Kreditakten und ausgedruckte E-Mails trotz ihrer Abwesenheit liegen gelassen hat. Gleiches gilt für den Vorwurf bzgl. des 09.06.2020, wo auf der Schreibtischunterlage Hauptdarlehensnummern von Kunden vermerkt sowie der Datenmüll nicht ordnungsgemäß entsorgt waren.
Vorliegend ist das Übermaßverbot nicht verletzt. Die Klägerin macht geltend, dass es sich bei Darlehensnummern zwar um datenschutzrelevante Informationen handele, der Verstoß aber nicht schwer wiege, weil aus der bloßen Ziffernabfolge der Informationsgewinn für Dritte gleich Null sein dürfte. Dem kann wohl zugestimmt werden, ohne dass die Abmahnung in ihrer Gesamtheit dadurch unverhältnismäßig würde. Denn mit ihr wird auch das Liegenlassen von papierhaften Akten und ausgedruckten Emails auf dem Schreibtisch gerügt und ebenso die nicht ordnungsgemäße Entsorgung des Datenmülls. Die Klägerin verkennt, dass hier die Erheblichkeit auch bzgl. der Darlehensnummern aus der Anzahl der Verstöße resultiert und die Beklagte der Sache nach gerade die unstreitig aufgetretenen Flüchtigkeitsfehler und Nachlässigkeiten als bestandsgefährdend ansieht. Darüber hinaus sind sowohl das Liegenlassen der Akten als auch die fehlende Entsorgung des Datenmülls für sich genommen als erheblich anzusehen. Die Beklagte war daher nicht gehalten, nur eine Rüge oder Ermahnung auszusprechen.
Unter Berücksichtigung der vorhergehenden Abmahnungen handelt es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen.
Im Ergebnis bestätigte das Landesarbeitsgericht die Kündigung durch den Arbeitgeber:
Da das Arbeitsverhältnis beendet ist, steht der Klägerin die Weiterbeschäftigung nicht zu. Die Anschlussberufung war daher zurückzuweisen.
Quelle: Landesarbeitsgericht Sachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen*:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
- Schützen Sie Ihre Internetverbindung mit einer sicheren VPN-Lösung von NordVPN
Diese Seite enthält mit * gekennzeichnete Affiliatelinks/Werbelinks als Unterstützung zur Finanzierung des Blogs.