Liebe Leser und Datenschutz-Interessierte,
wir möchten Sie heute über ein Urteil des Landesarbeitsgerichts Sachsen (Sächsisches LAG, Urt. vom 07.04.2022 – 9 Sa 250/21) informieren. Das Urteil und der zugrundeliegende Sachverhalt zeigen deutlich, welche rechtlichen Konsequenzen Nachlässigkeiten von Mitarbeitern im Bereich des Datenschutzes und der Informationssicherheit haben können; konkret, was bei Verstößen gegen eine betriebliche Richtlinie zur Informationssicherheit passieren kann.
I. Hintergrund: Was ist eine Informationssicherheitsrichtlinie?
Dass jedes Unternehmen zahlreiche datenschutzrechtliche Pflichten erfüllen muss, ist klar. Ein großer Teil dieser Pflichten, auch solche, die die Datensicherheit und die IT-Sicherheit gemäß Art. 32 DSGVO betreffen, werden durch organisatorische Maßnahmen, etwa durch Arbeitsanweisungen und Richtlinien erfüllt. Kundendatenschutz und DSGVO stehen hierbei an erster Stelle, insbesondere aber nicht ausschließlich bei sensiblen personenbezogenen Daten, wie bspw. Gesundheitsdaten, gemäß Art. 9 DSGVO.
In einer betrieblichen Richtlinie zur Informationssicherheit legt das Unternehmen verbindliche Sicherheitsstandards und Verfahrensweisen fest, an die sich die Mitarbeiter im Rahmen ihrer täglichen Arbeit halten müssen. In einer solchen Richtlinie steht bspw., dass alle Mitarbeiter beim Verlassen ihres Arbeitsplatzes den Computer sperren, sichere Passwörter verwenden und/oder Schränke physisch abschließen müssen, um unbefugten Zugriff auszuschließen. Auch Maßnahmen zum Datenschutz im Home-Office und beim mobilen Arbeiten können Gegenstand einer solchen Richtlinie zur Informationssicherheit sein.
II. Datenschutzverstöße führen zu Abmahnungen und Kündigungen
In dem vorliegenden Fall ging es um eine Mitarbeiterin, die die für Ihren Arbeit geltende interne Informationssicherheitsrichtlinie (mehrmals) missachtet hat. So wurde durch die Mitarbeiterin bspw. Dokumente mit teilweise sensiblen Informationen offen liegen gelassen (Clean Desk Policy) und die Schreibtischfächer nicht abgeschlossen.
Der Arbeitnehmerin gegenüber – nach mehreren arbeitsrechtlichen Ermahnungen und Abmahnungen – wurde sodann eine verhaltensbedingte ordentliche Kündigung ausgesprochen, da sie durch Ihre Verhaltensweise gegen die Hauptpflichten aus Ihrem Arbeitsvertrag verstoßen habe. Das LAG Sachsen bestätigte die Kündigung und wies die Klage der Mitarbeiterin ab.
III. Informationssicherheit als Teil einer betrieblichen Datenschutzrichtlinie
Der Sachverhalt verdeutlicht im Wesentlichen zwei relevante Dinge. Zum einen ist die Festlegung von verbindlichen internen Standards zur Informationssicherheit, etwa im Rahmen einer Datenschutzrichtlinie, essentiell, die gemeinsam mit dem (externen) Datenschutzbeauftragten erarbeitet werden sollten. Ohne eine solche Richtlinie lassen sich i.d.R. auch die bußgeldbewehrten Vorgaben aus Art. 32 DSGVO nicht erfüllen.
Zum anderen steht und fällt eine solche Richtlinie mit ihrer Einhaltung durch alle Beschäftigten im Unternehmen, einschließlich der Geschäftsführung, und ihrer Kontrolle. Denn die Datenschutz-Grundverordnung verpflichtet alle Verantwortlichen auch dazu, implementierte technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten in regelmäßigen Abständen auf ihre Angemessenheit und Wirksamkeit hin zu überprüfen. Ergibt eine solche Überprüfung bspw., dass die internen Vorgaben nicht vollständig und/oder nicht systematisch eingehalten und beachtet werden, so müssen Folgemaßnahmen initiiert werden, um diese Umsetzungs- und Vollzugsdefizit zu verringern.
Datenschutzrechtliche Folgemaßnahmen können bspw. in Mitarbeitersensibilisierungen (Datenschutzschulungen Mitarbeiter) durch den Datenschutzbeauftragten zu sehen sein. Wichtig ist, dass alle Beschäftigte, unabhängig von ihrer Position und „Wichtigkeit“ gleichermaßen abgeholt werden, da alle im gleichen Boot sitzen. Eine solche strukturierte Vorgehensweise reduziert maßgeblich das Risiko für Datenschutz-Bußgelder gemäß Art. 83 DSGVO und schützt vor Schadenersatzansprüchen gemäß Art. 82 DSGVO.
Bei Rückfragen, etwa zu den datenschutz- und sicherheitstechnischen Inhalten einer solchen Datenschutzrichtlinie und zur Erstellung eines Datenschutzkonzepts für Ihr Unternehmen, können Sie sich auch gerne jederzeit an uns wenden.
Ihre externen Datenschutzbeauftragten von der GDPC
