Zum Schutz von Geschäftsgeheimnissen muss der Inhaber angemessene Schutzmaßnahmen auch im Bereich der Arbeitsorganisation treffen. Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).
Clean Desk Policy als Schutzmaßnahme
Die zentrale Neuerung des GeschGehG besteht, wie mittlerweile allgemein bekannt sein dürfte, in dem Erfordernis, dass der Geheimnisinhaber angemessene Schutzmaßnahmen treffen muss (§ 2 Nr 1 a) GeschGehG). Welche Maßnahmen nun im Einzelfall angemessen sind, lässt sich nicht pauschal sagen. Über verschiedene Entscheidungen, die eine gewisse Orientierung bieten, haben wir bereits hier und hier berichtet.
Im Bereich der Arbeitsorganisation gehört die strikte Einhaltung des „need to know“-Prinzips zum Grundstandard. Weiter muss der Geheimnisinhaber darauf achten, dass die Mitarbeiter bei der täglichen Arbeit sorgfältig mit den Geheimnissen umgehen, um das Risiko einer Kenntnisnahme durch Dritte von vornherein zu verhindern. Bestandteil des organisatorischen Geheimnisschutzes ist häufig und sinnvollerweise eine „Clean Desk Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.
Der vom LAG Sachsen entschiedene Fall betraf eine Bank, in der eine „Arbeitsanweisung „Procedure zur Informationssicherheit am Arbeitsplatz und Clean Desk Policy“ Anwendung fand. Diese Arbeitsanweisung beinhaltete folgende Regelungen:
Es ist dafür Sorge zu tragen, dass schützenswerte oder geheime Informationen ‒ egal ob in papierhafter Form oder auf dem Bildschirm ‒ nicht durch Dritte eingesehen werden können.
Wenn der Arbeitsplatz verlassen wird oder unbeaufsichtigt ist:
– Sind schützenswerte Akten, Datenträger oder Hardware mit Informationen ordnungsgemäß wegzuschließen oder ordnungsgemäß zu entsorgen. Für Notebooks gilt der nächste Punkt.
– Muss darauf geachtet werden, dass das jeweilige Arbeitsgerät immer gesperrt wird, also mindestens der Bildschirmschoner aktiv ist.
– Dürfen Ausdrucke mit vertraulichem Inhalt und Datenträger nicht offen liegen gelassen werden, sondern müssen in eine Schublade, einen Schrank oder dergleichen gesperrt werden.
– Dürfen der Schlüssel für Rollcontainer oder Schränke mit vertraulichem Inhalt nicht am Arbeitsplatz oder an den Schlössern verbleiben.
– Dürfen Passwörter auf keinen Fall sichtbar (als Klebezettel am Monitor oder an einem leichterratenden Ort wie z. B. unter der Schreibtischauflage z. B. in der unverschlossenen Schreibtischschublade oder unter der Tastatur bzw. Mousepad) aufbewahrt werden.
– Sind am Ende des Arbeitstages die IT-Systeme abzumelden und herunterzufahren. Ausnahmen bilden Systems, die aus technischen oder organisatorischen Gründen nicht neu gebootet werden dürfen.
Nichteinhaltung der Clean Desk Policy als Kündigungsgrund
Die Mitarbeiterin, die sich mit einer Kündigungsschutzklage gegen ihre verhaltensbedingte ordentliche Kündigung zur Wehr setzte, war in dem Unternehmen als Kreditsachbearbeiterin im Bereich Baufinanzierung beschäftigt. Sie hatte wiederholt Kreditakten in Papierform und ausgedruckte E-Mails auf dem Schreibtisch trotz Abwesenheit liegen gelassen oder nicht eingeschlossen. In manchen Fällen waren Darlehensnummern auf Zetteln vermerkt, die nicht ordnungsgemäß entsorgt wurden. Weiter hatte die Mitarbeiterin es wiederholt unterlassen, sich zum Ende des Arbeitstages in den IT-Systemen abzumelden. Wegen der Pflichtverletzungen hatte die Mitarbeiterin bereits mehrere Ermahnungen und Abmahnungen erhalten, bevor ihr nach einer weiteren Pflichtverletzung ordentlich gekündigt wurde.
Das LAG Sachsen (und zuvor das ArbG Leipzig) halten die Kündigung für gerechtfertigt. Zweifel an der Eindeutigkeit der Regelungen in der Arbeitsanweisung bestünden nicht. Es handele sich auch nicht lediglich um Nebenpflichtverletzungen. Auch wenn die einzelnen Verstöße nicht schwer wögen, lägen wiederholte Verstöße trotz einschlägiger und ordnungsgemäß erfolgter Er- und Abmahnungen vor. Das Unternehmen habe daher den weiteren Verstoß als Anlass für die Kündigung nehmen dürfen, die sich aufgrund einer negativen Prognose des weiteren Verhaltens auch als verhältnismäßig erweise.
Bewertung für die Praxis des GeschGehG
Der primäre Regelungszweck der Clean Desk Policy in diesem Unternehmen war zwar weniger der Geheimnisschutz als die Befolgung datenschutzrechtlicher Bestimmungen. Die oben zitierte Clean Desk Policy könnte aber mit exakt diesem Wortlaut auch ausschließlich zum Zweck des Geheimnisschutzes in einer Forschungsabteilung Anwendung finden.
Für die Praxis wichtig ist der Hinweis, dass ein Verstoß gegen datenschutzrechtliche Bestimmungen jedenfalls nicht von Dritten beanstandet wurde, also offenbar keine Daten nach außen gedrungen sind. Auch hat das Gericht klargestellt, dass eine offene Wiedergabe von einzelnen Darlehensnummern von geringer Relevanz sei. Dies ändere nichts am Vorliegen einer Pflichtverletzung. Schließlich misst das Gericht auch dem Umstand keine Bedeutung zu, dass die Räumlichkeiten, in denen die Arbeitnehmerin tätig war, keinen Publikumsverkehr hatten und nur mit einer Zugangskarte zu betreten waren. Es spricht einiges dafür, dass ein Arbeitsgericht dem Schutz von Geschäftsgeheimnissen zumindest keine niedrigere Bedeutung beimessen würde. Wiederholte Verstöße können daher auch ohne konkrete Gefährdung oder gar Verlust von Geschäftsgeheimnissen die verhaltensbedingte Kündigung von Mitarbeitern rechtfertigen, die es mit dem Geheimnisschutz nicht so genau nehmen.