Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Auf Grund der technikneutralen Formulierung des DS-GVO finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.

Diese TOM können und werden von Verantwortlichen in sog. „Clean-Desk-Policies“ zusammengefasst und für die Einhaltung durch die Beschäftigten in Kraft gesetzt. Die Etablierung von TOM ist nicht nur für den Schutz von personenbezogenen Daten ein notwendiges Muss, sondern kann auch für den Schutz von sog. Geschäftsgeheimnissen eingesetzt werden.

Früher wurde es als ausreichend betrachtet, dass der Inhaber eines Geschäftsgeheimnisses den subjektiven Willen hatte, eine Information als Geschäftsgeheimnis zu schützen. Mit dem neuen Geschäftsgeheimnisgesetz reicht dies nicht mehr aus, da eine Information nur noch als Geschäftsgeheimnis betrachtet wird, sofern diese zum Gegenstand von tatsächlichen angemessenen Schutzmaßnahmen gemacht und explizit durch diese geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestandteil des organisatorischen Geheimnisschutzes ist in Unternehmen daher oftmals eine „Clean-Desk-Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.

Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen, die zum Schutz von Geschäftsgeheimnissen etabliert wurden, die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).

Im Kern ging der Kündigungsschutzklage ging es auch um die Frage, wann die Nichtbeachtung einschlägiger Clean-Desk-Policies zu einer Abmahnung oder aber auch in wiederholten Fällen zu einer Kündigung führen kann. Im Fall des LAG Sachsen war die Klägerin bei der Beklagten als Kreditsachbearbeiterin beschäftigt. Die von der Beklagten in Kraft gesetzter umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy wurde von der Klägerin (der Kündigungsschutzklage) zum wiederholten Male verletzt. Die Richtlinien enthielten Regelungen mit dem Inhalt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Nach Auffassung des Gerichts habe die Klägerin gegen die Hauptpflichten aus ihrem Arbeitsvertrag verstoßen. Unter Beachtung der vorhergehenden Abmahnungen handele es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen. Der Arbeitgeber sei nicht verpflichtet gewesen, erst noch eine weitere Abmahnung auszusprechen.

Der Fall macht die Bedeutung von verschriftlichten Regelungen rund um den Schutz von personenbezogenen Daten und auch Geschäftsgeheimnissen deutlich:
Verantwortliche finden wichtige Hinweise, welche Inhalte eine Clean-Desk-Policy enthalten sollte, u.a. auch in den Umsetzungshinweisen zum Baustein INF.7 Büroarbeitsplatz. Diese können selbstverständlich auch im Rahmen einer Home-Office-Regelung genutzt werden, wo das Thema Clean-Desk-Policy ebenfalls seine Daseinsberechtigung haben kann, wie am Arbeitsplatz im Unternehmen selbst. Hierfür kann das Dokument „Datenschutzrechtliche Regelungen bei Homeoffice – Checkliste mit Prüfkriterien nach DS-GVO“ des BayLDA empfohlen werden. Eine noch allgemeinere und umfangreichere Checkliste finden Interessierte in dem Dokument “ Good Practice bei technischen und organisatorischen Maßnahmen – Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit„, welches ebenfalls vom BayLDA angeboten wird.

(Foto: peshkova – stock.adobe.com)






Letztes Update:25.09.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren