Kündigung wegen Verstoß gegen„Clean-Desk-Policy“
Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Auf Grund der technikneutralen Formulierung des DS-GVO finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.
Diese TOM können und werden von Verantwortlichen in sog. „Clean-Desk-Policies“ zusammengefasst und für die Einhaltung durch die Beschäftigten in Kraft gesetzt. Die Etablierung von TOM ist nicht nur für den Schutz von personenbezogenen Daten ein notwendiges Muss, sondern kann auch für den Schutz von sog. Geschäftsgeheimnissen eingesetzt werden.
Früher wurde es als ausreichend betrachtet, dass der Inhaber eines Geschäftsgeheimnisses den subjektiven Willen hatte, eine Information als Geschäftsgeheimnis zu schützen. Mit dem neuen Geschäftsgeheimnisgesetz reicht dies nicht mehr aus, da eine Information nur noch als Geschäftsgeheimnis betrachtet wird, sofern diese zum Gegenstand von tatsächlichen angemessenen Schutzmaßnahmen gemacht und explizit durch diese geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestandteil des organisatorischen Geheimnisschutzes ist in Unternehmen daher oftmals eine „Clean-Desk-Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.
Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen, die zum Schutz von Geschäftsgeheimnissen etabliert wurden, die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).
Im Kern ging der Kündigungsschutzklage ging es auch um die Frage, wann die Nichtbeachtung einschlägiger Clean-Desk-Policies zu einer Abmahnung oder aber auch in wiederholten Fällen zu einer Kündigung führen kann. Im Fall des LAG Sachsen war die Klägerin bei der Beklagten als Kreditsachbearbeiterin beschäftigt. Die von der Beklagten in Kraft gesetzter umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy wurde von der Klägerin (der Kündigungsschutzklage) zum wiederholten Male verletzt. Die Richtlinien enthielten Regelungen mit dem Inhalt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Nach Auffassung des Gerichts habe die Klägerin gegen die Hauptpflichten aus ihrem Arbeitsvertrag verstoßen. Unter Beachtung der vorhergehenden Abmahnungen handele es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen. Der Arbeitgeber sei nicht verpflichtet gewesen, erst noch eine weitere Abmahnung auszusprechen.
Der Fall macht die Bedeutung von verschriftlichten Regelungen rund um den Schutz von personenbezogenen Daten und auch Geschäftsgeheimnissen deutlich:
Verantwortliche finden wichtige Hinweise, welche Inhalte eine Clean-Desk-Policy enthalten sollte, u.a. auch in den Umsetzungshinweisen zum Baustein INF.7 Büroarbeitsplatz. Diese können selbstverständlich auch im Rahmen einer Home-Office-Regelung genutzt werden, wo das Thema Clean-Desk-Policy ebenfalls seine Daseinsberechtigung haben kann, wie am Arbeitsplatz im Unternehmen selbst. Hierfür kann das Dokument „Datenschutzrechtliche Regelungen bei Homeoffice – Checkliste mit Prüfkriterien nach DS-GVO“ des BayLDA empfohlen werden. Eine noch allgemeinere und umfangreichere Checkliste finden Interessierte in dem Dokument “ Good Practice bei technischen und organisatorischen Maßnahmen – Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit„, welches ebenfalls vom BayLDA angeboten wird.