Einen Verstoß gegen den Datenschutz bringen die meisten wohl spontan eher mit dem ausufernden Sammeln von personenbezogenen Daten oder deren missbräuchlichen Auswertung in Zusammenhang. Aber das Löschen? Kann doch nur datenschutzkonform sein. Oder? Datenlöschung vom Unternehmens-Server Zwar muss das Löschen von Daten durch (Ex-) Mitarbeiter nicht immer strafbar sein (wie es schon einmal in einem Urteil des OLG Nürnberg thematisiert wurde), kann aber sehr wohl eine Kündigung rechtfertigen – fristlos und ohne Abmahnung. Mit einem solchen Fall hatte sich das Landesarbeitsgericht Baden-Württemberg (LArbG B-W, Urteil vom 17.9.2020, 17 Sa 8/20) auseinanderzusetzen. Ein Arbeitgeber hatte in einem Personalgespräch gegenüber einem Mitarbeiter geäußert, dass man den Wunsch habe, sich von ihm zu trennen. Daraufhin löschte der Arbeitnehmer eine Datenmenge von 7,48 GB vom Server des Unternehmens. Der Arbeitgeber sprach die fristlose Kündigung aus, der Arbeitnehmer erhob Kündigungsschutzklage. Im streitigen Verfahren erklärte der Arbeitnehmer, es habe sich um „seine Daten“ in „seinem Ordner“ und nicht betriebsnotwendige bzw. nicht mehr erforderliche Daten gehandelt. Tatsächlich konnte die IT des Arbeitgebers die Daten erfolgreich wiederherstellen. Meine Daten, Deine Daten Wie kam nun der Arbeitnehmer und Kläger auf die Idee, es handele sich bei den gelöschten Daten um „seine Daten“? Die IT-Infrastruktur des beklagten Arbeitgebers sah vor, dass Daten nicht lokal auf dem jeweiligen Endgerät, sondern zentral auf dem Unternehmens-Server abgelegt werden. So erfolgte das „Großreinemachen“ des Klägers zwar innerhalb der Verzeichnisstruktur des Unternehmens auf „seinem Arbeitsplatz“. Einen Nachweis dafür, dass es sich bei der Menge an gelöschten Daten um nicht relevante Daten bzw. solche handelte, die an anderen Speicherorten ebenfalls vorhanden waren und die Löschung daher keine betriebsnotwendigen Daten betraf, blieb der Kläger schuldig. Insoweit traf ihn eine sekundäre Darlegungslast. Grundsätzlich stehen nämlich sämtliche in Ausübung der Arbeitstätigkeit erstellten Dateien, auch im Entwurfsstadium, dem Arbeitgeber zu. Die DSGVO sieht in Artikel 5 zwar grundsätzlich vor, dass im Zuge der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DSGVO) nur notwendige personenbezogene Daten vorzuhalten sind und diese auch nur so lange gespeichert werden dürfen, wie es der Zweck der Erhebung erfordert. Zum einen handelte es sich vorliegend aber insgesamt um Geschäftsdaten, es wurde nicht „nur“ ein Personenbezug entfernt. Zum anderen steht es dem Arbeitnehmer nicht zu, über eine Löschung oder Aufbewahrung zu entscheiden. Die Verantwortung hierfür liegt beim Verantwortlichen, sprich beim Arbeitgeber. Löschen als Eingriff in die Integrität der Daten Für den Arbeitgeber stellen „Lösch-Aktionen“, wie die im oben beschriebenen Klageverfahren, auf mehreren Ebenen ein Problem dar. Unter anderem kann eine Datenlöschung auch einen Eingriff in die gemäß Artikel 5 Abs. 1 f DSGVO Integrität personenbezogener Daten darstellen. Der Verantwortliche hat nämlich dafür zu sorgen, dass personenbezogene Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Insbesondere hat er sicherzustellen, dass die personenbezogenen Daten vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität) geschützt sind. Jedem Verantwortlichen ist daher anzuraten, ein angemessenes Datensicherungskonzept zu implementieren, um im Notfall auf aktuelle und möglichst umfassende Backups zurückgreifen zu können. Werden Daten auf mobilen Endgeräten der Mitarbeiter abgelegt, erschwert dies den Backup-Prozess, da die auf diesen Geräten gespeicherten Daten nur gesichert werden, wenn die Geräte mit dem Unternehmensnetzwerk verbunden sind. Zudem sollten Zugriffs- und Löschrechte mit Bedacht vergeben werden. Löschen als Kündigungsgrund In unserem Fall konnte die IT die gelöschten Daten wiederherstellen. War die außerordentliche Kündigung dennoch wirksam? Das Gericht führt hierzu aus: „Die Löschung von Daten auf dem Server der Beklagten stellt einen wichtigen Grund - an sich - dar. (1) Als wichtiger Grund ist neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet (…). Das unbefugte, vorsätzliche Löschen betrieblicher Daten auf EDV-Anlagen des Arbeitgebers ist ebenso wie das Vernichten von Verwaltungsvorgängen (…) daher grundsätzlich als wichtiger Grund im Sinne des § 626 Abs. 1 BGB geeignet. Dabei kommt es nicht maßgeblich darauf an, ob sich der Arbeitnehmer durch das Löschen von Daten nach § 303a StGB oder § 303b StGB strafbar gemacht hat (…) auch nicht darauf, ob und mit welchem Aufwand ein Teil dieser gelöschten Daten wieder hergestellt werden konnte oder darauf, ob und in welchem Umfang die Arbeitgeberin für den weiteren Geschäftsablauf diese Daten tatsächlich benötigte. Denn es gehört zu den vertraglichen Nebenpflichten eines Arbeitsverhältnisses im Sinne des § 241 Abs. 2 BGB, dass der Arbeitnehmer seinem Arbeitgeber den Zugriff auf betriebliche Dateien nicht verwehrt oder unmöglich macht.“ Auf ein „Aufräumen“ als Rechtfertigung einer solchen Löschung kann sich ein Arbeitnehmer pauschal also nicht zurückziehen. Tipps für ein Datensicherungskonzept und zur Systemüberwachung finden sich übrigens auch unter "10 Tipps für eine erfolgreiche Datensicherung" und "Monitoring: So funktioniert die Systemüberwachung". Beitrag hier kommentieren |