News
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
Sachverhalt
Der Kläger war seit Oktober 2022 als Fachassistent bei einem Jobcenter der Beklagten tätig. Im Rahmen seiner Tätigkeit im Team Kundenanmeldung war er u. a. für die Bearbeitung des Posteingangs zuständig.
Die Mutter des Klägers beantragte Bürgergeld. Im zugehörigen Verfahren leitete der Kläger an drei Tagen eingegangene Unterlagen seiner Mutter intern weiter und erstellte jeweils einen Vermerk im System VerBIS. Darüber hinaus griff er im Zeitraum von Juli bis Dezember 2023 insgesamt mehrere Dutzend Mal auf die Kundenstammdaten seiner Mutter in den digitalen Akten zu, ohne hierfür zuständig zu sein.
Die Beklagte kündigte das Arbeitsverhältnis ordentlich und stützte die Kündigung auf Verstöße gegen das Mitwirkungsverbot nach § 16 SGB X sowie auf unberechtigte Zugriffe auf Sozialdaten unter Verstoß gegen das Sozialgeheimnis und die einschlägigen Dienstanweisungen. Die Beklagte argumentierte ferner, die Zugriffe stellten eine Form der Datenverarbeitung i. S. d. Art. 4 Nr. 2 DSGVO dar und seien nicht rechtmäßig gewesen. Einer vorherigen Abmahnung bedürfe es nicht, da dem Kläger die Pflichtwidrigkeit seines Verhaltens bekannt gewesen sei.
Der Kläger hielt die Kündigung für sozial ungerechtfertigt. Seine Tätigkeit habe seinen regulären Aufgaben entsprochen, und klare Anweisungen für den Umgang mit Post von Angehörigen habe es nicht gegeben. Die Datenzugriffe räumte er im Grundsatz ein, bestritt aber, dass ihm deren Unzulässigkeit bewusst gewesen sei. Zudem fehle es aus seiner Sicht an einer vorherigen Abmahnung.
Entscheidung des Gerichts
Nach Auffassung des Gerichts war die Kündigung sozial ungerechtfertigt. Eine ordentliche verhaltensbedingte Kündigung setzt nicht nur eine Pflichtverletzung voraus, sondern auch, dass eine dauerhaft störungsfreie Vertragserfüllung in Zukunft nicht mehr zu erwarten steht und die Weiterbeschäftigung dem Arbeitgeber nicht mehr zumutbar ist. Die Kündigung ist also keine Sanktion für eine begangene Pflichtverletzung. Sie dient vielmehr der Vermeidung künftiger Pflichtverletzungen. Gemessen an diesen Grundsätzen war die Kündigung nicht gerechtfertigt, obwohl eine Pflichtverletzung vorlag. Nach den Umständen des Falles war nicht damit zu rechnen, dass der Mitarbeiter künftig ähnliche Verstöße begehen würde. Daher hätte die Beklagte den Kläger durch eine Abmahnung darauf hinweisen können, dass auch rein lesende Zugriffe ohne dienstlichen Anlass untersagt sind.
Praktische Relevanz
Die Entscheidung zeigt, dass selbst erhebliche Datenschutzverstöße (z. B. wenn sensible Daten betroffen sind) nicht zwangsläufig zu einem Kündigungsrecht des Arbeitgebers führen. Ist ein Verstoß als Einzelfall zu werten und lässt sich daraus keine negative Prognose für das künftige Verhalten ableiten, reicht in der Regel eine Abmahnung. Das Gericht macht damit deutlich, dass die Kündigung stets Ultima Ratio bleiben muss.
Gleichzeitig ist eine Kündigung allein wegen eines Datenschutzverstoßes nicht von vornherein ausgeschlossen. Das LAG Rheinland-Pfalz stellt ausdrücklich fest, dass ein solcher Verstoß eine Verletzung arbeitsvertraglicher Nebenpflichten darstellt und unter Umständen sogar als wichtiger Grund i. S. d. § 626 Abs. 1 BGB in Betracht kommen kann. Damit bestätigt das Gericht die Auffassung des LAG Berlin-Brandenburg (Urt. v. 1. September 2016, 10 Sa 192/16).
Aus der Entscheidung lassen sich wichtige Erkenntnisse dafür ableiten, welche Umstände Arbeitgeber berücksichtigen müssen, wenn eine Kündigung nach einem Datenschutzverstoß im Raum steht:
- Gewicht der Verstöße: Welche Daten sind betroffen? Unterliegen die Daten einem Berufsgeheimnis? Beinhalten die betroffenen Datensätze besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO?
- Dauer der Verstöße: Handelt es sich um einen Einzelfall oder werden die Verstöße wiederholt begangen?
- Art der Verstöße: Was geschieht mit den Daten? Handelt es sich lediglich um lesende Zugriffe oder werden die Daten weiterverwendet?
- Anzahl der Betroffenen: Greift der Arbeitnehmer auf einzelne Einträge zu oder exportiert er gesamte Kundenlisten?
- Information über die Regelungslage: War dem Arbeitnehmer bekannt, dass die Zugriffe untersagt sind? Gibt es entsprechende interne Anweisungen?
Für die Praxis bedeutet das: Arbeitgeber sollten ihre internen Datenschutzrichtlinien so ausgestalten, dass die Grenzen zulässiger Zugriffe klar definiert und den Beschäftigten nachweisbar kommuniziert werden.
Die Entscheidung ist also trotz des Ausgangs nicht als Freifahrtschein für Datenschutzverstöße der Arbeitnehmer zu werten. Vielmehr macht das LAG klar, dass jeder Fall einzeln zu bewerten ist und die Konsequenzen in einem angemessenen Verhältnis zum Verstoß stehen müssen. Arbeitgeber sollten daher das Instrument der Abmahnung nicht unterschätzen, da sie insbesondere bei erstmaligen Verstößen oft das Mittel der Wahl sein wird und im Wiederholungsfall die Gerichtsfestigkeit der Kündigung absichert.
News
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.