Das Thüringer Landesarbeitsgericht (LAG) setzt sich in den Entscheidungsgründen eines Urteils vom 17.01.2024 (Az. 4 Sa 93/23) mit relevanten Fragen zum Datenschutz im Arbeitsverhältnis auseinander. Hierbei bestätigt das Thüringer LAG erneut die arbeitsgerichtliche Rechtsprechung, wonach „Datenpannen“ gravierende Folgen für Arbeitnehmer – und auch Arbeitgeber – haben können.
Seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 ist das Erfordernis eines besonders sensiblen Umgangs mit personenbezogenen Daten allseits bekannt. Auch im Arbeitsrecht sind die Regelungen der DS-GVO sowie die korrespondierenden und ergänzenden Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG) als rechtliches Rahmenwerk im Datenschutz von erheblicher Bedeutung. Dies betrifft sowohl den Arbeitgeber als auch den Arbeitnehmer, die im Arbeitsverhältnis in unterschiedlichen Rollen mit datenschutzrechtlichen Fragestellungen in Berührung kommen. Verstöße gegen die datenschutzrechtlichen Bestimmungen durch den datenverarbeitenden Arbeitnehmer können dabei weitreichende Folgen für beide Arbeitsvertragsparteien haben.
Datenschutzverstöße als Kündigungsgrund?
Arbeitnehmer haben bei Ausübung ihrer Tätigkeit für den Arbeitgeber vielfach Berührungspunkte mit personenbezogenen Daten – etwa von Kunden oder Kollegen. Hierbei müssen die Arbeitnehmer im Umgang mit personenbezogenen Daten, vor allem hinsichtlich deren Verarbeitung und Weitergabe, besondere Vorsicht walten lassen, da andernfalls erhebliche Konsequenzen drohen. So kann die unzulässige Weitergabe personenbezogener Daten durch einen Arbeitnehmer unter Umständen ein so gewichtiger Verstoß gegen arbeitsrechtliche Pflichten des Arbeitnehmers darstellen, dass dies eine außerordentlichen Kündigung im Sinne des § 626 Abs. 1 des Bürgerlichen Gesetzbuchs („BGB“) rechtfertigen kann, wie das Thüringer LAG erst kürzlich in einem von uns auf Arbeitgeberseite betreuten Verfahren urteilte (LAG Thüringen, Urteil vom 17.01.2024, Az.: 4 Sa 93/23). Es bestätigte damit die „scharfe“ arbeitsgerichtliche Rechtsprechung bei „Datenpannen“.
Im Raum stand die außerordentliche Kündigung einer Personalsachbearbeiterin aufgrund eines Datenschutzverstoßes. Konkret leitete die Arbeitnehmerin eine Excel-Tabelle als Anhang einer E-Mail von ihrem rein dienstlich zu nutzenden E-Mail-Postfach an die private E-Mail-Adresse ihres nicht bei demselben Arbeitgeber beschäftigten Ehemanns weiter. Die Excel-Tabelle enthielt Informationen über andere Arbeitnehmer des Betriebes (u. a. Vor- und Nachname, Beginn Beschäftigungsverhältnis, Anzahl an Krankheitstagen pro Jahr über einen längeren Zeitraum, etc.) – mithin höchstsensible personenbezogene Daten. Der Vorgesetzte der Arbeitnehmerin wurde auf die „private“ Übermittlung der Excel-Tabelle aufmerksam, als er während längerer Erkrankung der Arbeitnehmerin Zugriff auf das E-Mail-Postfach der Arbeitnehmerin nahm, um sich einen Überblick über noch offene, zu erledigende Aufgaben verschaffen. Infolge dieser Entdeckung wurde eine außerordentliche Kündigung des Arbeitsverhältnisses ausgesprochen.
Im Vorfeld war die Arbeitnehmerin mehrfach zum Thema Datenschutz sowie Umgang mit personenbezogenen Daten aufgeklärt worden. Etwa durch eine Anweisung ihr E-Mail-Postfach nur dienstlich zu nutzen oder im Rahmen einer Vertraulichkeitsvereinbarung, nach welcher Daten und Informationen im Zusammenhang mit ihrem Arbeitsverhältnis geheim zu halten und nicht an Dritte weiterzugeben waren. Nach Ansicht des Thüringer LAG verstieß die Arbeitnehmerin gegen beides, indem sie die E-Mail mit der Excel-Tabelle im Anhang versendet hatte. Dies stelle eine erhebliche Pflichtverletzung der Arbeitnehmerin dar, die an sich geeignet war, die außerordentliche Kündigung des Arbeitsverhältnisses ohne Einhaltung einer Kündigungsfrist zu rechtfertigen.
Auch die im Rahmen der Rechtmäßigkeit der außerordentlichen Kündigung vorzunehmende Interessenabwägung fiel nach Auffassung des Thüringer LAG eindeutig zulasten der Arbeitnehmerin aus. Die Wichtigkeit des Arbeitgebers zur Wahrung des Datenschutzes hätte sich der Arbeitnehmerin nicht zuletzt aufgrund der unterzeichneten Aufklärungsdokumente aufdrängen müssen. Außerdem war sie bereits zuvor wegen einer anderen (fahrlässigen) Datenpanne abgemahnt worden. Weiter berücksichtigte das Thüringer LAG besonders, dass nicht nur gegenüber dem Arbeitgeber eine Pflichtverletzung und ein Vertrauensbruch vorlag, sondern auch gegenüber den Arbeitnehmern, deren personenbezogene Daten betroffen waren. Diese hatten dem Arbeitgeber ihre personenbezogenen Daten nur zu erlaubten Zwecken überlassen und mussten darauf vertrauen dürfen, dass dieser mit den sensiblen Daten vertraulich umgeht. Nach Ansicht des Thüringer LAG ist eine Personalsachbearbeiterin, die dies nicht berücksichtigt, für ein Unternehmen nicht tragbar. Ein Arbeitgeber hat gegenüber seinen Arbeitnehmern die Pflicht, Datenpannen zu vermeiden und alles Zumutbare zu unternehmen, damit derartige Vorfälle nicht (wiederholt) vorkommen. Damit verblieb vorliegend keine andere Möglichkeit für den Arbeitgeber, als der Arbeitnehmerin zu kündigen.
Verwertung von Erkenntnissen über Datenschutzverstöße der Arbeitnehmer – Wie weit darf der Arbeitgeber gehen?
Teil des bereits angesprochenen Verfahrens vor dem Thüringer LAG war auch die in der Praxis aus Arbeitgebersicht äußerst relevante Frage zu etwaigen Zugriffsrechten auf das E-Mail-Postfach des Arbeitnehmers und datenschutzrechtliche Problematiken in diesem Zusammenhang. Das Thüringer LAG hat sich dabei insbesondere mit prozessrechtlichen Konsequenzen, u.a. etwaige Sachvortrags- oder Beweisverwertungsverbote, hinsichtlich der unter eigenem Verstoß gegen datenschutzrechtliche Vorschriften durch den Arbeitgeber gewonnener Erkenntnisse über Datenschutzverstöße der Arbeitnehmer auseinandergesetzt.
Verstöße des Arbeitgebers folgen i. d. R. aus einem Verstoß gegen das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden. Nach Ansicht des Thüringer LAG könnte (i) zum einen die Kenntniserlangung des Arbeitgebers von dem Inhalt der privaten E-Mail nach „Durchsuchung“ des E-Mail-Postfachs und Öffnen derselben und (ii) zum anderen die nachfolgende Verwertung dieser E-Mail durch das Gericht für dessen Urteilsfindung als eine der DS-GVO unterfallende Datenverarbeitung jeweils eine Verletzung des Rechts auf informationelle Selbstbestimmung der Arbeitnehmerin darstellen.
Zwar war vorliegend die Kenntniserlangung hinsichtlich des Inhalts der privaten E-Mail-Korrespondenz unter Verstoß gegen datenschutzrechtliche Bestimmungen erfolgt (so hat keine Dokumentation von Verdachtsmomenten stattgefunden), allerdings war der Zugriff auf das E-Mail-Konto durch den Arbeitgeber an sich nicht rechtswidrig (Arg.: rein dienstlich erlaubte Nutzung E-Mail-Konto, längere krankheitsbedingte Abwesenheit, daher „mussten“ E-Mails auf wichtige zu erledigende Aufgaben geprüft werden). Zudem geht die Abwägung der gegenseitigen Interessen, konkret der Schutz der informationellen Selbstbestimmung gegenüber der Funktionsfähigkeit der Rechtspflege im Sinne eines effektiven Rechtschutzes, zugunsten einer Verwertbarkeit der E-Mail aus. Dies begründete das Thüringer LAG vor allem damit, dass der Datenschutzverstoß des Arbeitgebers mehr formeller Natur und somit – im Vergleich zu der von der Arbeitnehmerin begangenen Pflichtverletzung – weniger gravierend gewesen sei. Sie und ihre eigenen Daten seien in einem solchen Fall nicht in besonders hohem Maße schützenswert (Stichwort: „Datenschutz ist kein Tatenschutz“). Insbesondere sei auch zu berücksichtigen, dass auf Seiten des Arbeitgebers nicht nur das Kündigungsinteresse, sondern darüberhinausgehend auch das Interesse an der Sicherstellung der Einhaltung des Datenschutzes im sensiblen Bereich der Personalverwaltung und des Schutzes vor eigener straf- und/oder ordnungswidrigkeitsrechtlicher Verfolgung betroffen ist. Nach der Rechtsprechung überwiegt in diesem Fall das Interesse an einer Verwertung der Daten. Entsprechend dem Vorgenannten war nach Ansicht des LAG Thüringen sowohl die Kenntniserlangung des Arbeitgebers vom Inhalt der E-Mail-Korrespondenz als auch die Verwertung durch das Gericht somit gerechtfertigt.
Fazit und To-Dos
In dem Urteil des Thüringer LAG wird erneut die erhebliche Bedeutung der Einhaltung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis ersichtlich. Dabei zeigt die Entscheidung insbesondere, dass nicht nur vom Arbeitgeber, sondern auch von dessen Arbeitnehmern ein besonders vorsichtiger Umgang mit personenbezogenen Daten in datenschutzrechtlicher Hinsicht verlangt wird. Als Arbeitgeber ist es von besonderer Wichtigkeit, Arbeitnehmer eingehend auf den sicheren und rechtskonformen Umgang mit personenbezogenen Daten zu schulen – und sich auch selbst klarzumachen, was man als Arbeitgeber betreffend die eigenen Arbeitnehmer im Umgang mit deren Daten „darf“. Hierbei kann es sich ergänzend empfehlen eine (Compliance-)Organisation zur Verhinderung von Datenpannen zu schaffen, etwa durch Implementierung interner Richtlinien zur Einhaltung von datenschutzrechtlichen Vorschriften.