Arbeitsrecht-Newsletter 12.09

VON:RA HEIKO HILDEBRANDT

Arbeitsverhältnis und IT-Sicherheit

Heiko Hildebrandt, Fachanwalt für Arbeitsrecht bei der auf Arbeits- und Unternehmensrecht spezialisierten Kanzlei CPS Schließmann Rechtsanwälte, Frankfurt am Main www.cps-schliessmann.de . heiko.hildebrandt@cps-schliessmann.de

Frage des Monats:

Arbeitsverhältnis und IT-Sicherheit - Erhöhte Anforderungen? Wie verhält sich der notwendige Schutz persönlicher und betrieblicher Daten zu den Anforderungen an das pflichtgemäße Verhalten der Arbeitnehmer? Welche Aufgaben haben Geschäftsleitung und Führungskräfte?

Antwort:

Das Landesarbeitsgericht München hat die außerordentliche Kündigung eines als Systemadministrator beschäftigten Arbeitnehmers bestätigt, der in dieser Eigenschaft Zugriff auf die E-Mails eines seiner Geschäftsführer genommen hat (LAG München, Urteil vom 08.07.2009 - 11 Sa 54/09). Obwohl er damit belegen wollte, dass der Empfänger der Nachrichten vertragswidrig gegen seine Pflichten verstieß und damit das Unternehmen schädigte, erkannte das Gericht in diesem Verhalten einen schwerwiegenden Verstoß gegen die arbeitsvertraglichen Pflichten des Systemadministrators. Dieser habe unter Missbrauch der ihm übertragenen Befugnisse und technischen Möglichkeiten auf die interne Korrespondenz seines Geschäftsführers zugegriffen, obwohl das  Unternehmen sich hätte darauf verlassen können müssen, dass er auch in Ausnahmesituationen seine Zugriffsrechte nicht missbraucht und nach Material sucht, das andere Arbeitnehmer oder gar den Geschäftsführer belastet.

Grundsätzlich liegt die IT-Sicherheit primär in der Verantwortung einer jeweiligen Unternehmensleitung. Sie ist zur Herstellung und Wahrung einer angemessenen IT-Sicherheit gehalten. Die dazu getroffenen Maßnahmen sind regelmäßig dahingehend zu überprüfen, dass diese noch dem aktuellen Risikoprofil des Unternehmens entsprechen. Das Erkennen und Bekämpfen von IT-Risiken gehört zu den allgemeinen Aufgaben des Risikomanagements eines Unternehmers. Wird hier nicht die notwendige Sorgfalt angewandt, kann es zu einer persönlichen Haftung der verantwortlichen Organe führen.

Was die Sicherheit in der Informationstechnik tatsächlich umfasst, ist gesetzlich jedoch nicht einheitlich und abschließend geregelt. Es finden sich dafür unterschiedlichste gesetzliche Anforderungen an spezifische Regelungssituationen und Organisationsverpflichtungen. So u.a. im Bundesdatenschutzgesetz, im Kreditwesengesetz, dem Wertpapierhandels-gesetz oder im Telekommunikationsgesetz. Zudem gibt es bestimmte Sicherheitsstandards wie z.B. Datensicherung, Archivierung oder Virenschutz, die in jedem Unternehmen aus gesetzlichen oder vertraglichen Gründen eingehalten werden müssen.

Ergeben sich die Handlungsverpflichtungen der Unternehmensführung zur Herstellung und Wahrung der IT-Sicherheit unmittelbar aus den gesetzlichen Bestimmungen, gibt es für die Arbeitnehmer hingegen keine allgemeinen gesetzlichen Handlungspflichten betreffend der Einhaltung von Sicherheitsstandards in den Unternehmen. Zwar bestehen mit den §§ 17 ff. des Gesetzes gegen den unlauteren Wettbewerb und §§ 201 ff. des Strafgesetzbuches Normen, die entsprechende Verbote enthalten und damit zwar in bestimmten Situationen im Ergebnis dem Schutz der IT dienen, sie sind jedoch nicht zur Prävention der IT-Sicherheit im Unternehmen geeignet, da sie als Verbotsgesetze zu spät eingreifen. Eine Ausnahme bilden dabei die Regelungen des Bundesdatenschutzgesetzes.

Zur Wahrung der IT-Sicherheit in einem Arbeitsverhältnis ist mithin auf die allgemeinen Treuepflichten des Arbeitnehmers und die arbeitsvertraglichen Nebenpflichten abzustellen. Dies unabhängig von Funktion und Stellung im Unternehmen. Eine Konkretisierung dieser Verpflichtungen erfolgt in der Regel mittels Richtlinien zur IT-Sicherheit, die zum Gegenstand des Arbeitsvertrages gemacht werden oder die im Wege des Weisungsrechtes in den einzelnen Arbeitsverhältnissen Geltung erlangen. In der Praxis große Bedeutung haben dabei neben der Verpflichtung der Wahrung von Betriebsgeheimnissen vor allem Vorgaben zum privaten Umgang mit E-Mail und Internet, der Handhabung von Passwörtern, das Herunterladen von Programmen aus dem Internet sowie dem Umgang mit Daten und betrieblicher Software.  

Bei Verletzung der sich daraus ergebenden Handlungspflichten setzt der Arbeitgeber die Wahrung seiner Sicherheitsinteressen mit den normalen Instrumenten des Arbeitsrechtes durch. Er kann abmahnen oder verhaltensbedingt kündigen, bei besonderes schweren Pflichtverletzungen sogar außerordentlich. Dabei ist im Rahmen einer Interessenabwägung u.a. zu berücksichtigen, wie die Stellung des Arbeitnehmers im Unternehmen ist, die Art und Schwere des Pflichtverstoßes sowie der Umfang der betrieblichen Sicherheitsvorgaben. Es kommt also auch entscheidend darauf an, inwieweit der Arbeitnehmer in dem Umgang mit der IT geschult und hinsichtlich der Sicherheit sensibilisiert wurde. Auf einen für die IT-Sicherheit zuständigen Systemadministrator mit allen Zugangsrechten muss sich der Arbeitgeber dabei also besonderes verlassen können. Er ist bei einem Verstoß wesentlich massiveren Sanktionen ausgesetzt als ein gewöhnlicher Arbeitnehmer.

Mein Rat:

Arbeitgeber müssen im eigenen Interesse für eine umfassende Einhaltung der Sicherheit bei der im Unternehmen verwendeten IT sorgen und konkrete Handlungspflichten sowie ggf. Verbote aufstellen und dafür Sorge tragen, dass diese auch Gegenstand des einzelnen Arbeitsvertrages werden und zudem die Einhaltung überwacht wird. Verstöße sind zu sanktionieren. Dabei kommt es auf den Einzelfall an. Doch Vorsicht: Der Arbeitgeber ist im Rahmen seiner Organisationsverantwortung auch gehalten, darauf zu achten, dass es durch Duldung oder die Nichtverfolgung der IT-Sicherheitsvorschriften im Einzelfall zu keiner betrieblichen Übung kommt. Billigt er bestimmte Verstöße wie z.B. die Privatnutzung des Internets, setzt er damit das Verbot faktisch wieder außer Kraft. Besonders häufig bilden sich auf diese Weise unterschiedliche Maßstäbe für Gruppen von Arbeitnehmern oder ganzen Abteilungen heraus.