Datenmissbrauch rechtfertigt Kündigung auch ohne Schädigungswille

Weil ein Mitarbeiter eines IT-Beratungsunternehmens personenbezogene Daten eines Kunden missbraucht hatte, wurde ihm nach Bekanntwerden des Vorfalls fristlos gekündigt. Nach Ansicht des Arbeitsgerichts, vor dem sich der Angestellte dagegen wehren wollte, war dies rechtens.

Ein jetzt vor dem Arbeitsgericht Siegburg verhandelter Streitfall zeigt noch einmal, dass der Missbrauch personenbezogener Daten weitreichende Konsequenzen nach sich ziehen kann.

Mitarbeiter hatte im IT-System eines Kunden eine Sicherheitsschwachstelle entdeckt

In dem Verfahren ging es um die Rechtmäßigkeit einer fristlosen Kündigung. Ein Unternehmen aus der IT-Beratungsbranche hatte einem Mitarbeiter gekündigt, nachdem dieser im Rahmen seiner Tätigkeit bei einem Kunden eine Sicherheitsschwachstelle in dessen IT-System entdeckt hatte, und diesen durch die unrechtmäßige Verwendung von persönlichen Daten vor dieser Schwachstelle warnen wollte.

Mit personenbezogenen Daten für Führungskräfte des Kunden Medikamente bestellt

Um den Kunden auf die Schwachstelle in seiner IT aufmerksam zu machen, hatte der IT-Berater sich nach eigener Aussage über diese Sicherheitslücke personenbezogene Daten von Führungskräften beschafft und anschließend auf deren Namen und über deren Kontodaten online Kopfschmerztabletten bestellt.

Der Arbeitgeber behauptete dagegen, die für die Bestellung missbrauchten personenbezogenen Daten seien dem Mitarbeiter im Rahmen seiner Tätigkeit ohne das Ausnutzen einer neu entdeckten Schwachstelle zugänglich gewesen.

IT-Mitarbeiter informierte Führungskräfte des Kunden mit eigenwilligem Scherz über die Sicherheitslücke

Anschließend ließ der den Betroffenen den Hinweis zukommen, dass sie Kopfschmerzen bekämen würden, wenn sie über die gravierenden Sicherheitslücken in ihren IT-Systemen Bescheid wüssten. Die so überraschten Führungskräfte fanden dieses Vorgehen des Beraters jedoch wenig originell und beschwerten sich bei dessen Arbeitgeber, den der Berater vor seiner Aktion weder über die von ihm entdeckten Sicherheitslücken noch über seine Pläne zur Bekanntmachung informiert hatte. 

Der Arbeitgeber zog aus dem Vorfalle die Konsequenzen und kündigte dem Mitarbeiter fristlos, wogegen dieser sich mit einer Kündigungsschutzklage wehrte.

Arbeitsgericht Siegburg wies die Kündigungsschutzklage ab

Wie genau der jetzt entlassene Mitarbeiter an die personenbezogenen Daten gelangte, mit denen er die Online-Bestellung der Kopfschmerztabletten durchführte, war für das Gericht nicht von Bedeutung. Es sei zwar legitim, auf eine Sicherheitslücke aufmerksam zu machen. Das vom Arbeitnehmer gewählte Mittel sei jedoch erkennbar unverhältnismäßig gewesen. Somit habe er gegen seine Pflicht zur Rücksichtnahme auf die Interessen seines Arbeitgebers verstoßen.

Pädagogische Hintergrund des Datenschutzverstosses entlastete den Arbeitnehmer nicht

Die Kunden des Arbeitgebers dürften auf Schutz ihrer Daten durch das beauftragte Unternehmen vertrauen und müssten nicht davon ausgehen, dass ein Missbrauch erfolge, wie dies in diesem Fall geschehen sei.

Daran ändere auch der Umstand nichts, dass der Mitarbeiter mit seiner Aktion dem Kunden das Ausmaß der Schwachstelle eindrücklich vor Augen führen wollte. 

  • Durch sein Vorgehen habe der Mitarbeiter letztlich das Vertrauen des Kunden zu seinem Arbeitgeber gestört
  • und damit die Kundenbeziehung gefährdet.

Die fristlose Kündigung sei daher gerechtfertigt, denn die erhebliche Verletzung der den Arbeitnehmer gemäß § 241 Abs. 2 BGB treffenden Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers kann einen wichtigen Grund i. S. v. § 626 Abs. 1 BGB bilden (BAG, Urteil v. 12.05.2010, 2 AZR 845/08).

Keine günstige Prognose für die Zukunft der Arbeitsbeziehung

Der Arbeitgeber habe durch seine Handlungsweise gezeigt, dass er grundlegende und offenkundige Grenzen zulässigen Handelns zu überschreiten bereit ist, was sein Verhalten in der Zukunft unkalkulierbar mache.

Abmahnung war entbehrlich

Die Schwere der Pflichtverletzung mache eine Abmahnung entbehrlich, da der Arbeitgeber angesichts des „Exzesses“ des Klägers nicht ausschließen könne, dass dieser weitere, nicht voraussehbare Grenzverletzungen begehen würde. Dies habe auch das Verhalten des Klägers im Prozess belegt, der anstatt seine Pflichtverletzung einzusehen, sein Vorgehen eher als gerechtfertigt ansah. 

(ArbG Siegburg, Urteil v. 15.1.2020, 3 Ca 1793/19).

Weiter News zum Thema:

LAG-Urteil zum Spannungsfeld zwischen Whistleblower-Schutz und Datenschutz

Neue große Datenpanne bei einer Autovermietung

Hintergrund: BAG zur Wahrung der Interessen des Arbeitgebers 

Ein Arbeitnehmer muss seine Verpflichtungen aus dem Arbeitsverhältnis so erfüllen und die in Zusammenhang mit dem Arbeitsverhältnis stehenden Interessen des Arbeitgebers so wahren, wie dies von ihm unter Berücksichtigung seiner Stellung im Betrieb, seiner eigenen Interessen und der Interessen der anderen Arbeitnehmer des Betriebs nach Treu und Glauben billigerweise verlangt werden kann. Dabei ergibt sich der konkrete Inhalt aus dem jeweiligen Arbeitsverhältnis und seinen besonderen Anforderungen (BAG, Urteil v. 26.03.2009, 2 AZR 953/07). 

Einer besonderen Vereinbarung bedarf es insoweit nicht (BAG, Urteil v. 12.05.2010, 2 AZR 845/08).

Schlagworte zum Thema:  Fristlose Kündigung, Datenschutz, IT-Sicherheit