Die Arbeitswelt hat ihre Tücken – was passieren kann, beleuchten die Beiträge dieser Serie. Heute: "IT-Gerätesicherheit und der Geheimnisschutz".
Der Morgen hatte doch eigentlich so gut angefangen!
Der Weg zum Flughafen ohne Stau, seinen Lieblingsparkplatz im Parkhaus IV hatte Thorsten Waldmann ebenfalls unbesetzt vorgefunden. Und der Flug war immer noch nicht gecancelt. Zu der frühen Uhrzeit war das aber auch zu erwarten.
Wovon er freudig überrascht war: die Schlange vor der Sicherheitskontrolle war überschaubar kurz und die Lounge seiner präferierten Fluglinie hatte bereits geöffnet. Er hatte sich also einen Platz bei den Sesseln ausgesucht und auf dem Hinweg bereits ein kleines Frühstück zusammengestellt. Und dann war er nochmals aufgestanden, um sich einen Kaffee zu holen.
Dass der Satzbehälter gerade geleert werden musste – warum eigentlich schon so früh am Morgen, war dies abends nicht gemacht worden? – und dass dann kein Müllbehälter greifbar war, hatte er ja nicht vorausahnen können. Irgendwann war er dann endlich mit seinem Latte Macchiato ausgerüstet wieder an seinen Platz gekommen. Und jetzt starrte er seit Minuten auf den Monitor seines aufgeklappten Laptops, den er vorher schon hochgefahren hatte:
Den Rechner hatte er eigentlich schon längst mit einer Displayfolie versehen wollen; und einem passwortgeschützten Bildschirmschoner installieren. Auf dem Monitor klebte ein gelber Klebezettel und eine mit einem roten Stift geschriebene Handschrift besagte:
„Habe mir eine Kopie gezogen„.
Zusätzlich war der Zettel mit einem Ausrufezeichen versehen!
Waldmann drehte sich panisch suchend um. Aber die wenigen weiteren Personen in der Lounge schienen in ihre Zeitung oder Mobilgeräte vertieft. Da zwinkerte keiner und ein Kollege war auch nicht in Sicht.
„Habe mir eine Kopie gezogen″ – das durfte doch nicht wahr sein?!
Von seinem Firmen-Email-Postfach? Oder von der ganzen Festplatte? Konnte man das? Oder einen Virus installiert? Ein Erpresser? Ein Geheimdienst?
Wenn er damit bei der Firmen-IT ankommen würde…
IT-Gerätesicherheit, Geheimnisschutz und Arbeitnehmerpflichten
Bei der dienstlichen Nutzung von Laptop, Smartphone, iPad & Co. durch Arbeitnehmer in der Öffentlichkeit ist die Datensicherheit von Betriebs- und Geschäftsgeheimnissen besonders gefährdet. Vom indiskreten Blick auf den Bildschirm durch den Sitznachbarn bis hin zum gezielten Datendiebstahl von unbeaufsichtigten Geräten – sensible Daten können schnell in die Hände Unbefugter gelangen.
Eine konkrete gesetzliche Pflicht für Arbeitnehmer zur Einhaltung eines bestimmten Sicherheitsniveaus im Umgang mit Unternehmensdaten auf technischen Geräten existiert nicht. § 17 UWG regelt lediglich eine Verschwiegenheitspflicht bezüglich Geschäfts- und Betriebsgeheimnissen, eine Aussage zur anzuwendenden Sorgfalt findet sich in der Vorschrift nicht.
Viele Unternehmen legen den Sicherheitsstandard im Umgang mit technischen Geräten im Rahmen einer IT-Richtlinie fest. Diese ist ein wesentlicher Bestandteil des IT-Organisationskonzepts des Arbeitgebers und zugleich wichtiger Bestandteil der notwendigen Vorkehrungen zur Datensicherheit nach Art. 32 DSGVO. Darüber hinaus wird dem Arbeitnehmer die Möglichkeit gegeben, sein Verhalten an diese konkreten Regelungen anzupassen.
In einer solchen Richtlinie können bspw. Regelungen zur Verwendung von Blickschutzfiltern auf Laptopbildschirmen, zum Passwortschutz und zum Einsatz von Antivirenprogrammen sowie Firewalls enthalten sein. Der Arbeitnehmer ist zur Einhaltung der Bestimmungen verpflichtet, wenn die Richtlinie für ihn arbeitsvertraglich verbindlich gemacht wurde. Auch in einer Betriebsvereinbarung können solche Pflichten bestimmt sein.
Fehlt es an einer verbindlichen IT-Richtlinie oder enthält sie Lücken, besteht dennoch die allgemeine arbeitsvertragliche Schutzpflicht des Arbeitnehmers nach § 241 Abs. 2 BGB, die sogenannte „Treuepflicht″. Danach hat der Arbeitnehmer auf die Rechtsgüter und Interessen des Arbeitgebers Rücksicht zu nehmen und im Rahmen seiner Möglichkeiten Schaden vom Arbeitgeber abzuwenden. Die Treuepflicht gilt – auch ohne ausdrückliche Vereinbarung – als vertragliche Nebenpflicht in jedem Arbeitsverhältnis.
Der Umfang der Treuepflicht hängt von der hierarchischen Stellung des Arbeitnehmers und seiner Tätigkeiten ab. Für denjenigen, der auf keine Arbeitsmittel aufpassen muss, gelten andere Pflichten, als für Beschäftigte, denen dienstliche Laptops mit sensiblen Unternehmensdaten zur Verfügung gestellt werden. Wie weit die Pflicht reicht, muss also im Einzelfall bestimmt werden.
Verletzt der Arbeitnehmer diese Pflicht – etwa weil er einen Laptop im öffentlichen Raum längere Zeit unbeaufsichtigt lässt – kann der Arbeitgeber Schadensersatzansprüche geltend machen oder eine Abmahnung bzw. Kündigung aussprechen.
Missachtung des Geheimnisschutzes: Schadensersatzanspruch des Arbeitgebers
Erlangen Unbefugte Kenntnis von Unternehmensinterna, weil der Arbeitnehmer die Grundlagen der IT-Gerätesicherheit missachtet hat, wird sich nicht immer ein konkreter Vermögensschaden beziffern lassen. Dies gilt insbesondere für einen daraus entstehenden Reputationsschaden des Unternehmens in der Öffentlichkeit.
Leichter lässt sich die Schadenshöhe benennen, wenn ein technisches Gerät abhandengekommen ist oder gestohlene Daten nur gegen ein „Lösegeld″ zurückerlangt werden können.
Voraussetzung für einen Schadensersatzanspruch (§ 280 Abs. 1 BGB) ist, dass der Arbeitnehmer seine „Pflicht schuldhaft verletzt″. Grundsätzlich genügt dafür nach § 276 Abs. 1 BGB einfache Fahrlässigkeit. Um den Arbeitnehmer aber vor ausufernden Haftungsrisiken zu bewahren, hat das BAG die Grundsätze des „innerbetrieblichen Schadensausgleichs″ entwickelt. Danach haftet ein Arbeitnehmer eingeschränkt, wenn eine betrieblich veranlasste Tätigkeit gegeben ist.
Muss auf einer Dienstreise der Laptop mitgenommen werden, ist eine betriebliche Veranlassung unproblematisch zu bejahen. Möglicherweise kann sogar die Mitnahme von mobilen technischen Geräten in jedem Fall als betrieblich veranlasst anzusehen sein, weil der Arbeitgeber ein Interesse an der jederzeitigen Erreichbarkeit des Arbeitnehmers hat. Schwieriger wird es, wenn der Arbeitnehmer am freien Wochenende das Firmenhandy mit ins Freibad nimmt. Nicht mehr dienstlich veranlasst ist die Mitnahme, wenn der Arbeitgeber sie ausdrücklich untersagt hat.
Lässt ein Arbeitnehmer einen Laptop mit sensiblen Unternehmensdaten ohne Passwortschutz eingeschaltet und unbeaufsichtigt in der Öffentlichkeit stehen, wird wohl von grober Fahrlässigkeit ausgegangen werden können. Der aus dieser Pflichtverletzung entstandene Schaden dürfte dann grundsätzlich vollständig vom Arbeitnehmer getragen werden.
Arbeitsrechtliche Sanktionen beim Verstoß gegen Geheimnisschutz
Verletzt der Arbeitnehmer seine Pflichten hinsichtlich der IT-Gerätesicherheit, kann der Arbeitgeber auch mit einer arbeitsrechtlichen Sanktion reagieren.
Einen Pflichtenverstoß kann der Arbeitgeber abmahnen, je nach Einzelfall kann auch eine – möglicherweise außerordentliche – Kündigung gerechtfertigt sein.
Verstöße gegen die IT-Sicherheit des Unternehmens sind nach der Rechtsprechung jedenfalls grundsätzlich als verhaltensbedingter Kündigungsgrund geeignet. Das LAG Hessen hat dies etwa bei einer pflichtwidrigen Gefährdung des betrieblichen Computersystems durch einen Virenbefall oder durch andere Störungen angenommen (LAG Hessen, 30. März 2015 – 17 Sa 1094/13). Gleiches dürfte für den pflichtwidrigen Umgang mit mobilen technischen Geräten des Unternehmens gelten, durch den Geschäfts- und Betriebsgeheimnisse an unbefugte Dritte gelangen.
Nicht jede Pflichtverletzung rechtfertigt die Kündigung des Arbeitsverhältnisses. Hier müssen die Umstände des Einzelfalls und die Interessen abgewogen werden. Es macht eben einen Unterschied, ob der Vorgesetzten aufgegeben hat, die Präsentation auf der Bahnfahrt zum Kunden zu überarbeiten und der Laptop wegen immer neuer Anrufe des Chefs im Zug liegen geblieben ist, oder ob er seine Geräte unbeaufsichtigt lässt, während er eine lange Zigarettenpause auf dem Bahnsteig einlegt.
Von Bedeutung ist auch, ob durch eine Abmahnung weiterem Fehlverhalten des Arbeitnehmers vorgebeugt werden kann. Hat der Arbeitgeber aber zuvor mit umfassenden Hinweisen und Schulungen auf die schließlich verletzte konkrete Pflicht der IT-Gerätesicherheit und des Geheimnisschutzes aufmerksam gemacht, kann eine Abmahnung entbehrlich sein. Gleiches gilt bei besonders schwerwiegenden Pflichtenverstößen.
Es gibt weitere Berufsrisiken – die Serie wird fortgesetzt. Lesen Sie hier: Berufsrisiko: Schnelle Fahrt mit Folgen
Unsere Personen und die Handlung sind frei erfunden. Etwaige Ähnlichkeiten mit lebenden Personen oder tatsächlichen Begebenheiten wären rein zufällig.
