Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.
Der Kläger war bei der Beklagten als SAP-Berater tätig und bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt daraufhin eine fristlose Kündigung, gegen die er Kündigungsschutzklage mit der Begründung erhob, er habe bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt, die sein Handeln erst möglich gemacht hätten und auf die er die Kunden der Beklagten zuvor mehrfach vergeblich aufmerksam gemacht habe, ohne dass diese reagiert habe. Eine Verknüpfung von Datensätzen sei für sein Vorgehen nicht erforderlich gewesen, da sich Name, Adresse und Bankdaten der Kunden der Kundin in dem gleichen Datensatz befunden hätten. Er habe im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen. Er meint, sein Vorgehen sei gerechtfertigt und die effektivste Handlungsoption gewesen, jedenfalls aber weniger einschneidend als der Gang an die Öffentlichkeit.
Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung des Gerichts gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.
Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.
Fundstelle:
Urteil des Arbeitsgerichts Siegen vom 15.1.2020 – 3 Ca 1793/19 – abrufbar im Internet beispielsweise unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/arbg_siegburg/j2020/3_Ca_1793_19_Urteil_20200115.html