Kündigung eines Arbeitsverhältnisses wegen Verstößen gegen eine Richtlinie zur Informationssicherheit

Ein Urteil des LAG Sachsen vom 7. April 2022 (Az. 9 Sa 250/21) lässt sich mit folgenden redaktionellen Leitsätzen zusammenfassen:

1. Eine verhaltensbedingte Kündigung ist gerechtfertigt, wenn eine Arbeitnehmerin wiederholt und trotz vorheriger Abmahnungen gegen eine Richtlinie zur Informationssicherheit am Arbeitsplatz (sog. „Clean Desk Policy“) verstößt.
2. Das Liegenlassen von Akten sowie die fehlende Entsorgung von Datenmüll stellt jeweils für sich genommen eine erhebliche Pflichtverletzung der in dem Unternehmen bestehenden „Clean Desk Policy“ dar. Diese Pflichtverletzungen genügen, um die Kündigung unter dem Gesichtspunkt vorheriger Abmahnungen nicht als unverhältnismäßig erscheinen zu lassen.

Die Parteien streiten um die Wirksamkeit einer verhaltensbedingten ordentlichen Kündigung. Die Klägerin ist bei der Beklagten als Kreditsachbearbeiterin Baufinanzierung beschäftigt. Bei der Beklagten besteht eine Arbeitsanweisung „Procedure zur Informationssicherheit am Arbeitsplatz und Clean Desk Policy“. Diese Policy sieht unter anderem vor, dass schützenswerte oder geheime Informationen – egal ob in Papierform oder auf dem Bildschirm – nicht durch Dritte eingesehen werden können. Wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist, sind daher schützenswerte Akten, Datenträger oder Hardware mit Informationen ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen. Bei Notebooks muss darauf geachtet werden, dass das jeweilige Arbeitsgerät immer gesperrt wird, also mindestens der Bildschirmschoner aktiv ist. Zudem dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen liegen gelassen werden, sondern müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden. Deren Schlüssel dürfen wiederum nicht am Arbeitsplatz oder an den Schlössern verbleiben. Gleiches gilt für Passwörter, welche auf keinen Fall sichtbar aufbewahrt werden dürfen. Schließlich sind am Ende des Arbeitstages die IT-Systeme abzumelden und herunterzufahren. Nach zweimaliger Abmahnung der Klägerin wegen Verstoßes gegen diese Policy nahm die Beklagte eine erneute Pflichtverletzung zum Anlass für eine ordentliche Kündigung des Arbeitsverhältnisses.

Das LAG Sachsen entschied, dass die Kündigung gemäß § 1 Abs. 2 KSchG sozial gerechtfertigt sei, weil ein im Verhalten der Klägerin liegender Grund vorliege, der eine negative Zukunftsprognose rechtfertige und die Interessenabwägung hier zugunsten der Beklagten ausfalle. Zudem sei die Kündigung verhältnismäßig.

Anmerkung: Die Entscheidung des LAG Sachsen ist nahezu eins zu eins auf Zuwiderhandlungen gegen einen Code of Conduct sowie sonstige Compliance-Vorgaben übertragbar. Das Urteil enthält verschiedene Aspekte hinsichtlich der Missachtung der „Clean Desk Policy“, die daher – neben Personalverantwortlichen – auch für Compliance-Verantwortliche von großer Bedeutung sind. So betont das Gericht, dass die Erbringung der Arbeitsleistung im Rahmen des rechtmäßig ausgeübten Direktionsrechts – zu dem auch Arbeitsanweisungen zum Datenschutz gehören – eine Hauptleistungspflicht darstellt. Nach dieser Lesart stellen somit auch Compliance-Vorgaben eine Hauptleistungspflicht im Arbeitsverhältnis dar. Etwaige Compliance-Verstöße sind demzufolge nicht dem Bereich der Nebenpflichtverletzungen zuzuordnen. Dies spielt für die rechtliche Qualifikation und Würdigung einer Pflichtverletzung eine wichtige Rolle.

(Quelle: Eufinger in CCZ 2022, S. 411)