Mitarbeiter haben im Rahmen ihrer Aufgabenzuteilung oftmals die Möglichkeit, viele teilweise sehr sensible personenbezogene Daten einsehen zu können. Das LAG Berlin-Brandenburg (Urteil vom 01.09.2016, Az. 10 SA 192/ 16) hatte jüngst über einen Fall zu entscheiden, indem die Mitarbeiterin einer Behörde ohne beruflichen Anlass Melderegisterabfragen vornahm. Zwischen der Mitarbeiterin und der Behörde war streitig, ob diese Datenschutzverstöße eine außerordentliche Kündigung rechtfertigen können.
Der Inhalt im Überblick
Abruf von Melderegisteranfragen aus reiner Neugier
Eine Mitarbeiterin, die bereits seit 34 Jahren in der Behörde beschäftigt war, hatte in den letzten Jahren aus privatem Interesse mehrere hundert Melderegisterabfragen vorgenommen. Davon betroffen waren überwiegend Personen aus dem Bekanntenkreis der Mitarbeiterin, wie z.B. die Tochter ihres Freundes oder die Ex-Frau eines Bekannten. Mit Bekanntwerden der unbefugten Registerabrufe sprach der Arbeitgeber die außerordentliche Kündigung aus. Die Mitarbeiterin ging gerichtlich gegen die Kündigung vor und stützte ihre Argumente unter anderem darauf, ihr sei der Datenschutzverstoß nicht bewusst gewesen und sie habe keine negativen Absichten verfolgt.
Den Vorprozess hatte die Mitarbeiterin mit dieser Argumentation gewonnen. Das Gericht hielt hier eine Verhaltensänderung der Klägerin für möglich. Kurz darauf befasst sich auch das Amtsgericht Berlin-Tiergarten (Strafgericht) mit dem Fall und befand die Arbeitnehmerin für schuldig. Sie wurde zu einer Geldstrafe von insgesamt 90 Tagessätzen verurteilt.
Im Folgeprozess stufte das LAG Berlin-Brandenburg die Argumentation der Mitarbeiterin, ihr habe die Sensibilität für den Datenschutz gefehlt, als Schutzbehauptung ein. Zudem seien im Ergebnis die Datenschutzverstöße höher zu gewichten als die langjährige Beschäftigung in der Behörde und die Tatsache, dass die Abfragen ausschließlich zu privaten Zwecken erfolgten.
Kündigung wegen Datenschutzverstoß
Eine außerordentliche Kündigung des Arbeitsverhältnisses nach § 626 Abs. 1 BGB kann insbesondere dann gerechtfertigt sein, wenn der Arbeitnehmer seine vertragliche Leistungspflichten erheblich verletzt.
Nach dem Urteil des LAG Berlin-Brandenburg ist die Verletzung datenschutz- und melderechtlicher Vorschriften als wichtiger Kündigungsgrund i.S.d. § 626 BGB „an sich“ geeignet. Bei den hier einschlägigen Vorschriften handelt es sich um folgende Normen:
- Art. 33 der Berliner Landesverfassung gewährleistet als Grundrecht das Recht, grundsätzlich selbst über die Preisgabe und Verwendung von persönlichen Daten zu bestimmen.
- Nach § 7 Abs. 1 Bundesmeldegesetz (BMG) und § 5 Abs. 1 des BlnMeldeG sind die mit den Meldedaten beschäftigten Arbeitnehmer einem besonderen Geheimnisschutz verpflichtet. Den bei der Meldebehörde beschäftigten Personen ist bundesgesetzlich und landesgesetzlich untersagt, diese Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu erheben und zu verarbeiten.
- Nach § 32 BlnDSG steht unter Strafe, wenn jemand unbefugt personenbezogene Daten übermittelt oder abruft, wenn sie nicht offenkundig sind.
Wie lässt sich Missbrauch durch Arbeitnehmer verhindern?
Nach den Feststellungen des Strafgerichts hat im vorliegenden Fall wohl auch der Arbeitgeber versäumt, seine Datenverarbeitungsanlagen ausreichend zu schützen. Vor Abruf der Melderegisterabfrage war weder die Eingabe eines Betreffs, noch eines Aktenzeichens erforderlich. Dadurch sei
„dem derart unreflektierten Missbrauch Tür und Tor geöffnet gewesen“.
Arbeitgeber sind grundsätzlich nach § 9 BDSG verpflichtet, die nach der Anlage 9 zum BDSG erforderlichen technisch und organisatorischen Maßnahmen zu ergreifen. Sinn und Zweck dabei ist gerade, personenbezogene Daten vor ungerechtfertigter Kenntnisnahme, vor Manipulation und vor Verlust zu schützen. Diese Maßnahmen betreffen nicht nur den Schutz von externen Dritten, sondern auch vor ungerechtfertigter Datenverarbeitung durch Mitarbeiter.
Zur Verhinderung von Missbrauch bieten sich insbesondere folgende Maßnahmen an:
- Sensibilisierung der Mitarbeiter auf den Datenschutz durch die Verpflichtung auf das Datengeheimnis, Schulungen und Richtlinien zum Datenschutz
- Einschränkung der Zugriffsrechte durch ein differenziertes Berechtigungskonzept
- Protokollierung der Datenzugriffe und regelmäßige Kontrollen der Logfiles
Fazit
Der Missbrauch personenbezogener Daten durch Mitarbeiter kommt häufiger als gedacht vor. Neben dem hier angesprochenen Urteil hat erst im Dezember letzten Jahres ein Fall für Aufregung gesorgt, indem ein Jugendamt Mitarbeiter Sozialdaten und Aktenauszüge über WhatsApp an unbefugte Dritte versendete. Anlass für solche Datenschutzverstöße mag oftmals das fehlende Unrechtsbewusstsein der Mitarbeiter sein. Neben den technischen Zugriffschutz sollten Arbeitgeber daher großen Wert auf die Sensibilisierung der Mitarbeiter legen. Durch Schulungen, Richtlinien und die Verpflichtung auf das Datengeheimnis sollte deutlich und transparent gemacht werden, dass Datenschutz keine Nebensache ist, sondern Verstöße auch mit arbeitsrechtlichen und strafrechtlichen Konsequenzen verbunden sind.
Hallo, im Fazit wird auf ein weiteres Urteil (Sozialdatenversand über WhatsApp) verwiesen. Wo kann ich denn dieses Urteil finden (auf Ihren Seiten und bei Juris nicht gefunden)?
Vielen Dank.
Zu dem hier angesprochen Fall gibt es auch noch kein Urteil. Es handelt sich dabei um eine regionale Berichterstattung aus der Leipziger Volkszeitung. Weitere Informationen können Sie hier und hier nachlesen.