Keine Ordnung im Büro und auf dem Schreibtisch befinden sich sensiblen Kundendaten?
Einen Artikel zur Clean Desk Policy habe ich erst kürzlich geschrieben. Doch die Konsequenzen für eine alltägliche Nachlässigkeit im Arbeitsalltag kann Mitarbeiter:innen womöglich den Job kosten.
Nach dem Landesarbeitsgericht Sachsen zumindest dann, wenn sich die Fehler häufen.
Verstöße gegen Richtlinie führt zur Kündigung
Das LAG Sachsen (9 Sa 250/21) hat im April 2022 zur Frage entschieden, inwiefern Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen.
Die Klägerin war bei der Beklagten als Kreditsachbearbeiterin beschäftigt gewesen. Bei der Beklagten galt am Arbeitsplatz eine umfassende Richtlinie zur Informationssicherheit und Clean Desk Policy. Darin wurde etwa geregelt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Während des Arbeitsverhältnisses kam es dazu, dass die Klägerin mehrfach gegen die Vorgaben der Richtlinie verstieß. Auf Ermahnungen folgten Abmahnungen und letztendlich erhielt die Klägerin die Kündigung, als die Beklagte feststellte, dass die Klägerin ihren Schreibtisch mit sensiblen Kundendaten nicht, wie in der Richtlinie festgelegt, abgesperrt hatte.
Gegen die Kündigung wehrte sich die Klägerin in erster Instanz noch mit Erfolg.
Das LAG Sachsen kam jedoch zum Ergebnis, dass die Vielzahl vermeintlicher Flüchtigkeitsfehler und Ungenauigkeiten letztlich zur rechtmäßigen Kündigung der Beschäftigten geführt haben.
Das Gericht hierzu deutlich:
„In der Summe handelt es sich um erhebliche Pflichtverletzungen, die auch zu Ablaufstörungen bei der Beklagten geführt haben.“
LAG Sachsen
Wegsperren meint verschließen
Das Urteil setzt sich detailliert mit den Pflichtverletzungen in Form der Nichtbeachtung der Clean Desk Policy auseinander.
Laut der Klägerin bedeutet die Vorgabe zum Wegsperren von sensiblen Dokumenten nicht zwangsweise, dass die Schubladen und Schränke auch verschlossen sein müssten.
Doch, meint das LAG unter Verweis auf den Duden.
Zudem stellt das LAG erneut klar, dass organisatorische Maßnahmen nicht ausschließlich zum Schutz vor unbefugten Zugriffen betriebsfremder Personen zu verstehen sind.
Selbst wenn alle Beschäftigten auf die Vertraulichkeit und Verschwiegenheit verpflichtet wurden, können auch Mitarbeiter:innen als unberechtigte Dritte angesehen werden, sofern sie im Rahmen ihrer Aufgaben keinen Zugriff auf die Daten haben müssen.
Fehler können mitunter gravierende Folgen haben
Die Entscheidung zeigt, dass Fehlverhalten im Bereich der Datensicherheit durchaus empfindliche Konsequenzen haben können.
Richtlinien und Betriebsvereinbarungen sind kein bürokratischer Unfug.
Sie sollen organisatorische Leitlinien für IT-Sicherheit und Datenschutz vorgeben und sind daher stets mit der gebotenen Sorgfalt zu beachten.
Neben dem Verlust von Geschäftsgeheimnissen und internen Informationen können durch Unachtsamkeit und Sorglosigkeit schnell auch Meldepflichtige Datenschutzvorfälle nach Art. 33 DSGVO entstehen.
Der hierdurch eventuell entstandene Imageschaden für Arbeitgeber:innen und Kund:innen kann immens sein.
Ordnung ist daher nicht nur das halbe Leben, sondern im Business ein wesentlicher Bestandteil der IT-Sicherheit und Datenschutzes.
Also lassen Sie sich gut beraten.
