Missbrauch von Kundendaten – fristlose Kündigung des IT-Mitarbeiters gerechtfertigt

Das Arbeitsgericht Siegburg bestätigte die fristlose Kündigung eines IT-Mitarbeiters wegen Missbrauch von Kundendaten der eigenen Firma.

Die fristlose Kündigung eines Mitarbeiters in der IT kann gerechtfertigt sein, wenn dieser Sicherheitslücken ausnutzt und Kundendaten missbraucht – so entschied das Arbeitsgericht Siegburg mit seinem Urteil vom 15.01.2020 (Az.: 3 Ca 1793/19).

Geklagt hatte ein IT-Mitarbeiter gegen seinen Arbeitgeber. Das Gericht wies die Klage ab.

Verstoß gegen Pflicht zur Rücksichtnahme auf Interessen des Arbeitgebers

Der IT-Mitarbeiter habe im vorliegenden Fall gegen die Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers verstoßen und massiv die Kundenbeziehung gefährdet.

Das Arbeitsgericht stellte fest, dass es auch zum Aufdecken von Sicherheitslücken nicht zulässig sei, sensible Kundendaten zu missbrauchen. Auch wenn es das Ziel des Mitarbeiters gewesen sei, den Kunden über die Sicherheitslücke zu informieren, habe er mit seinem Vorgehen das Vertrauen des Kunden in den beklagten Arbeitgeber erheblich gestört. Der Kunde erwarte vom beklagten Arbeitgeber den Schutz seiner sensiblen Daten. Auch der Arbeitgeber dürfe von seinen Mitarbeitern erwarten, dass diese Sicherheitslücken nicht ausnutzen, sondern den Arbeitgeber darüber informieren. Gerade IT-Mitarbeiter seien zum Schutz von sensiblen Daten verpflichtet. Im vorliegenden Fall sei die fristlose Kündigung des IT-Mitarbeiters daher gerechtfertigt gewesen.

IT-Mitarbeiter verstand sich als „Whistleblower“

Der klagende Mitarbeiter war seit 2011 bereits als SAP-Berater bei dem beklagten Arbeitgeber tätig. Statt seinen Arbeitgeber über die gefundenen Sicherheitslücken zu informieren, hatte er die Daten des betreffenden Kunden missbraucht, um Bestellungen zu tätigen, per Lastschrift zu zahlen und diese dem Vorstand des Kunden zukommen zu lassen. Damit habe er den Kunden auf die Sicherheitslücke aufmerksam machen wollen. Der Mitarbeiter wollte sich vor Gericht als „Whistleblower“ verstanden wissen.

Konkret hatte der Mitarbeiter Daten von einem verschlüsselten Rechner des Kunden auf einen Stick heruntergeladen. Die Daten umfassten Namen, Anschriften und Bankverbindung von Kunden des Kunden. Damit bestellte er vom Rechner eines Spielcasinos aus Kopfschmerztabletten für Vorstandsmitglieder des Kunden und ließ ihnen diese mit der Nachricht zukommen, dass sie an diesem Beispiel sehen könnten, wie schnell Daten missbraucht würden und dass die mitversandten Tabletten die daraus entstehenden Kopfschmerzen lindern sollten.

Das Urteil zeigt, dass der Missbrauch von Daten auch für einen vermeintlich guten Zweck nicht zulässig ist und dass gerade IT-Mitarbeiter zum Schutz von sensiblen Daten verpflichtet sind. Verletzen sie diese Pflicht, müssen sie mit einer außerordentlichen Kündigung und der Geltendmachung von Schadensersatzansprüchen rechnen.

 

Sie möchten Ihre Mitarbeiter für Datenschutz und IT-Sicherheit sensibilisieren? Wir bieten eLearnings zu diesen Themen! Sprechen Sie uns gerne einfach darauf an. Rufen Sie uns unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus.

This post is also available in: Englisch