Arbeitsrecht und Datenschutz (06.11.2009)

Das Thema Datenschutz ist nicht nur relevant im Bereich der technischen IT-Sicherheit, sondern spielt auch im Arbeitsrecht eine immer größere Rolle.

Die Verpflichtung für eine angemessene IT-Sicherheit im Unternehmen Sorge zu tragen, ist Aufgabe der Geschäftsleitung. Dies gilt sowohl bei einem Einzelkaufmann, als auch bei Personen- oder Kapitalgesellschaften. Die Anforderungen an die IT-Sicherheit sind zwar stets auf das konkrete Unternehmen sowie dessen individuelle Situation auszurichten, die Pflicht diesbezüglich gilt jedoch für alle Unternehmensformen. Kommt der Verantwortliche, also bei einer GmbH der Geschäftsführer, bei einer AG der Vorstand, dieser Pflicht nicht nach so haftet dieser unter Umständen sogar persönlich. So gehört es zur kaufmännischen Sorgfaltspflicht eines GmbH-Geschäftsführers für die entsprechende IT-Sicherheit Sorge zu tragen. Unterlässt er dies so kann er für den entstehenden Schaden von der Gesellschaft oder Dritten persönlich zur Verantwortung gezogen werden.

Der vom Unternehmen bestimmte Datenschutzbeauftragte hat gemäß § 4 g BDSG die Aufgabe auf die Einhaltung des Bundesdatenschutzgesetzes sowie der weiteren Vorschriften über den Datenschutz hinzuwirken. Ziel des BDSG ist es, den Einzelnen davor zu schützen, dass sein allgemeines Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung nicht beeinträchtigt wird. Der Datenschutzbeauftragte hat hingegen die Aufgabe für den Erhalt der Funktionsfähigkeit des Unternehmens Sorge zu tragen.

Leider gibt es nur wenige gesetzlich normierte Handlungspflichten für Arbeitnehmer. Aus dem Arbeitsvertrag bzw. dem Arbeitsverhältnis folgt jedoch eine Treuepflicht des Arbeitnehmers gegenüber dem Arbeitgeber. Aus dieser Treuepflicht folgt auch die Verpflichtung zur Wahrung von Betriebsgeheimnissen. Es ist dem Arbeitnehmer hieraus ebenfalls untersagt dem Arbeitgeber beispielsweise dadurch Schaden zuzufügen, indem E-Mails mit Anhängen geöffnet werden, die wissentlich mit Viren befallen sind. Ferner folgt aus der Treuepflicht hieraus das selbstverständliche Verbot der Anfertigung von Raubkopien mit Hilfe betriebseigener EDV-Anlage.

Es gibt also lediglich ein ganz abstraktes Ziel für IT-Sicherheiten Sorge zu tragen. Vor diesem Hintergrund ist es unerlässlich, dass der Arbeitgeber klare Richtlinien vorgibt, wie sich der Arbeitnehmer im Hinblick auf IT-Sicherheit und Datenschutz zu verhalten hat. Die dahingehende Konkretisierung erfolgt meistens durch entsprechende Mitarbeitererklärungen, die bereits im Arbeitsvertrag enthalten sein können oder durch den Erlass entsprechender Richtlinien durch den Arbeitgeber.

So sollte in einer entsprechenden Mitarbeitererklärung unbedingt ein umfassendes Verbot der privaten Nutzung der betriebseigenen Kommunikationsmittel enthalten sein. Weiterhin sollte sie definieren, wie mit E-Mail-Anhängen zu verfahren ist, wie private E-Mails archiviert werden. Die Erklärung oder Richtlinie  sollte Anleitungen zum Umgang mit Passwörtern sowie Anweisungen zum Download von Programmen und Installieren von Software enthalten.

Problematisch wird es, wenn seitens des Arbeitgebers entsprechende Richtlinien geschaffen wurden, der Arbeitgeber die Einhaltung dann jedoch entweder überhaupt nicht oder nur unzulänglich überprüft oder er entsprechende Verstöße durch die Arbeitnehmer sogar toleriert. Sofern der Arbeitnehmer beispielsweise über die betriebliche EDV-Anlage das Internet auch regelmäßig zu privaten Zwecken nutzt, der Arbeitgeber hiervon Kenntnis hat und die private Nutzung nicht untersagt, kann hieraus eine so genannte betriebliche Übung entstehen. Diese betriebliche Übung kann dazu führen, dass die einmal ausgesprochenen Verbote unter gewissen Umständen wieder außer Kraft gesetzt werden. Eine Konsequenz aus der Richtlinie wie beispielsweise eine Abmahnung oder gar eine Kündigung herzuleiten, wird in diesem Fall schwer. Es ist damit unerlässlich, dass nicht nur die entsprechenden Richtlinien erstellt, sondern die Einhaltung der Gebote auch regelmäßig kontrolliert wird.

Sofern der Arbeitnehmer gegen Richtlinien zur IT-Sicherheit verstößt, können hieraus unterschiedliche Sanktionen abgeleitet werden. Die Sanktion kann in einer Ermahnung, einer Abmahnung, einer ordentlichen verhaltensbedingten Kündigung oder auch in einer außerordentlichen Kündigung liegen. Es ist selbstverständlich, dass die Sanktion im Verhältnis zum Verstoß liegen muss. Es ist die Art des Pflichtverstoßes, die Schwere desselben, Lebensalter und Aussicht des Arbeitnehmers auf dem Arbeitsmarkt, dessen Betriebszugehörigkeit ebenso zu berücksichtigen, wie ein ggf. vorliegendes Mitverschulden des Arbeitgebers.

Ist die private Nutzung von Internet und E-Mail grundsätzlich erlaubt oder, wie oben beschrieben, wegen einer betrieblichen Übung außer Kraft, so darf der Arbeitnehmer zwar nicht schrankenlos im Internet surfen, eine fristlose Kündigung wird in diesem Fall jedoch kaum zu begründen sein. Hingegen kann eine verhaltensbedingte Kündigung gegebenenfalls sogar ohne Abmahnung zulässig sein, wenn es für den Arbeitnehmer eindeutig ist, dass der Arbeitgeber dem Arbeitnehmer in bestimmten Daten gerade keinen Einblick geben möchte. Hierzu zählen u.a. sensible Personaldaten und Gehaltsinformationen anderer Mitarbeiter. Es ist dann jedoch im Vorfeld wiederum zu prüfen, ob der Arbeitgeber auch für den entsprechenden Schutz dieser sensiblen Daten Sorge getragen hat. Hat er es entsprechend unterlassen für den Schutz Sorge zu tragen, so kann wegen dieses Mitverschuldens trotz des rechtswidrigen Verhaltens des Arbeitnehmers hierauf keine Kündigung gestützt werden.

Nach der Novelle des Bundesdatenschutzgesetzes zum 01.09.2009 kommt dem Amt des Datenschutzbeauftragten in entsprechender Neuregelung des § 4 f Abs. 3 BDSG ein Sonderkündigungsschutz zu. Selbst nach Abberufung des Datenschutzbeauftragten wirkt dieser Sonderkündigungsschutz für die Dauer von einem Jahr lang fort. Bereits vor diesem Hintergrund muss sich ein Arbeitgeber fragen, ob er einen Datenschutzbeauftragten aus den Reihen der eigenen Mitarbeiter bestellt oder einen externen Datenschutzbeauftragten beauftragt.

Für weiter gehende Fragen rund um das Thema Datenschutz und Arbeitsrecht stehen wir Ihnen gerne in einem persönlichen Gespräch zur Verfügung. Für technische Fragen sowie Fragen an einen externen Datenschutzbeauftragten oder zur Zertifizierung zum Thema Datenschutz wenden Sie sich bitte an unseren Kooperationspartner, die Firma de-bit GmbH.