Kün­di­gung wegen Ver­stoß gegen„Clean-Desk-Policy“

Die DS-GVO for­dert von Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern in Art. 32 DS-GVO ein Schutz­ni­veau, das dem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen ange­mes­se­nen ist. Dabei sol­len zur Gewähr­lei­stung der Sicher­heit der ins­be­son­de­re die Risi­ken berück­sich­tigt wer­den, die aus einer Ver­let­zung der Ver­füg­bar­keit, Ver­trau­lich­keit und Inte­gri­tät der per­so­nen­be­zo­ge­nen Daten, der an deren Ver­ar­bei­tung betei­lig­ten IT-Syste­me, Dien­ste und Fach­pro­zes­se her­vor­ge­hen kön­nen. Ziel ist es, die­se Risi­ken ein­zu­däm­men, indem wirk­sa­me tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) umge­setzt wer­den. Auf Grund der tech­nik­neu­tra­len For­mu­lie­rung des DS-GVO fin­den sich dar­in kei­ne kon­kre­ten Maß­nah­men, die Schritt für Schritt abge­ar­bei­tet wer­den kön­nen. Statt­des­sen steht es grund­sätz­lich jedem Ver­ant­wort­li­chen frei, selbst die­je­ni­gen TOM aus­zu­wäh­len, die pas­send zu der eige­nen Art der Ver­ar­bei­tung und Unter­neh­mens­grö­ße sind, sofern damit ein wirk­sa­mes ange­mes­se­nes Schutz­ni­veau erreicht wer­den kann.

Die­se TOM kön­nen und wer­den von Ver­ant­wort­li­chen in sog. „Clean-Desk-Poli­ci­es“ zusam­men­ge­fasst und für die Ein­hal­tung durch die Beschäf­tig­ten in Kraft gesetzt. Die Eta­blie­rung von TOM ist nicht nur für den Schutz von per­so­nen­be­zo­ge­nen Daten ein not­wen­di­ges Muss, son­dern kann auch für den Schutz von sog. Geschäfts­ge­heim­nis­sen ein­ge­setzt werden.

Frü­her wur­de es als aus­rei­chend betrach­tet, dass der Inha­ber eines Geschäfts­ge­heim­nis­ses den sub­jek­ti­ven Wil­len hat­te, eine Infor­ma­ti­on als Geschäfts­ge­heim­nis zu schüt­zen. Mit dem neu­en Geschäfts­ge­heim­nis­ge­setz reicht dies nicht mehr aus, da eine Infor­ma­ti­on nur noch als Geschäfts­ge­heim­nis betrach­tet wird, sofern die­se zum Gegen­stand von tat­säch­li­chen ange­mes­se­nen Schutz­maß­nah­men gemacht und expli­zit durch die­se geschützt wird (vgl. (§ 2 Nr 1 a) Gesch­GehG). Bestand­teil des orga­ni­sa­to­ri­schen Geheim­nis­schut­zes ist in Unter­neh­men daher oft­mals eine „Clean-Desk-Poli­cy“, die den Mit­ar­bei­ter dazu ver­pflich­tet, bei Ver­las­sen des Schreib­ti­sches kei­ne Geschäfts­ge­heim­nis­se offen oder erkenn­bar lie­gen zu las­sen.

Das LAG Sach­sen hat in einer kürz­lich ver­kün­de­ten Ent­schei­dung klar­ge­stellt, dass die wie­der­hol­te Ver­let­zung orga­ni­sa­to­ri­scher Schutz­maß­nah­men, die zum Schutz von Geschäfts­ge­heim­nis­sen eta­bliert wur­den, die Kün­di­gung des Arbeit­neh­mers recht­fer­tigt (Urteil vom 07.04.2022 – 9 Sa 250/​21).

Im Kern ging der Kün­di­gungs­schutz­kla­ge ging es auch um die Fra­ge, wann die Nicht­be­ach­tung ein­schlä­gi­ger Clean-Desk-Poli­ci­es zu einer Abmah­nung oder aber auch in wie­der­hol­ten Fäl­len zu einer Kün­di­gung füh­ren kann. Im Fall des LAG Sach­sen war die Klä­ge­rin bei der Beklag­ten als Kre­dit­sach­be­ar­bei­te­rin beschäf­tigt. Die von der Beklag­ten in Kraft gesetz­ter umfas­sen­de Richt­li­nie zur Infor­ma­ti­ons­si­cher­heit und Clean-Desk-Poli­cy wur­de von der Klä­ge­rin (der Kün­di­gungs­schutz­kla­ge) zum wie­der­hol­ten Male ver­letzt. Die Richt­li­ni­en ent­hiel­ten Rege­lun­gen mit dem Inhalt, dass Beschäf­tig­te schüt­zens­wer­te Daten stets weg­zu­sper­ren oder ord­nungs­ge­mäß zu ent­sor­gen haben, ihre Arbeits­ge­rä­te beim Ver­las­sen des Arbeits­plat­zes zu sper­ren sind und sen­si­ble Doku­men­te kei­nes­falls offen ein­seh­bar lie­gen gelas­sen wer­den dür­fen.
Nach Auf­fas­sung des Gerichts habe die Klä­ge­rin gegen die Haupt­pflich­ten aus ihrem Arbeits­ver­trag ver­sto­ßen. Unter Beach­tung der vor­her­ge­hen­den Abmah­nun­gen han­de­le es sich laut Gericht ins­ge­samt um erheb­li­che Pflicht­ver­let­zun­gen. Der Arbeit­ge­ber sei nicht ver­pflich­tet gewe­sen, erst noch eine wei­te­re Abmah­nung auszusprechen.

Der Fall macht die Bedeu­tung von ver­schrift­lich­ten Rege­lun­gen rund um den Schutz von per­so­nen­be­zo­ge­nen Daten und auch Geschäfts­ge­heim­nis­sen deut­lich:
Ver­ant­wort­li­che fin­den wich­ti­ge Hin­wei­se, wel­che Inhal­te eine Clean-Desk-Poli­cy ent­hal­ten soll­te, u.a. auch in den Umset­zungs­hin­wei­sen zum Bau­stein INF.7 Büro­ar­beits­platz. Die­se kön­nen selbst­ver­ständ­lich auch im Rah­men einer Home-Office-Rege­lung genutzt wer­den, wo das The­ma Clean-Desk-Poli­cy eben­falls sei­ne Daseins­be­rech­ti­gung haben kann, wie am Arbeits­platz im Unter­neh­men selbst. Hier­für kann das Doku­ment „Daten­schutz­recht­li­che Rege­lun­gen bei Home­of­fice – Check­li­ste mit Prüf­kri­te­ri­en nach DS-GVO“ des BayL­DA emp­foh­len wer­den. Eine noch all­ge­mei­ne­re und umfang­rei­che­re Check­li­ste fin­den Inter­es­sier­te in dem Doku­ment “ Good Prac­ti­ce bei tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men – Gene­ri­scher Ansatz nach Art. 32 DS-GVO zur Sicher­heit„, wel­ches eben­falls vom BayL­DA ange­bo­ten wird.