News
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
Sachverhalt
Der Kläger war seit Oktober 2022 als Fachassistent bei einem Jobcenter der Beklagten tätig. Im Rahmen seiner Tätigkeit im Team Kundenanmeldung war er u. a. für die Bearbeitung des Posteingangs zuständig.
Die Mutter des Klägers beantragte Bürgergeld. Im zugehörigen Verfahren leitete der Kläger an drei Tagen eingegangene Unterlagen seiner Mutter intern weiter und erstellte jeweils einen Vermerk im System VerBIS. Darüber hinaus griff er im Zeitraum von Juli bis Dezember 2023 insgesamt mehrere Dutzend Mal auf die Kundenstammdaten seiner Mutter in den digitalen Akten zu, ohne hierfür zuständig zu sein.
Die Beklagte kündigte das Arbeitsverhältnis ordentlich und stützte die Kündigung auf Verstöße gegen das Mitwirkungsverbot nach § 16 SGB X sowie auf unberechtigte Zugriffe auf Sozialdaten unter Verstoß gegen das Sozialgeheimnis und die einschlägigen Dienstanweisungen. Die Beklagte argumentierte ferner, die Zugriffe stellten eine Form der Datenverarbeitung i. S. d. Art. 4 Nr. 2 DSGVO dar und seien nicht rechtmäßig gewesen. Einer vorherigen Abmahnung bedürfe es nicht, da dem Kläger die Pflichtwidrigkeit seines Verhaltens bekannt gewesen sei.
Der Kläger hielt die Kündigung für sozial ungerechtfertigt. Seine Tätigkeit habe seinen regulären Aufgaben entsprochen, und klare Anweisungen für den Umgang mit Post von Angehörigen habe es nicht gegeben. Die Datenzugriffe räumte er im Grundsatz ein, bestritt aber, dass ihm deren Unzulässigkeit bewusst gewesen sei. Zudem fehle es aus seiner Sicht an einer vorherigen Abmahnung.
Entscheidung des Gerichts
Nach Auffassung des Gerichts war die Kündigung sozial ungerechtfertigt. Eine ordentliche verhaltensbedingte Kündigung setzt nicht nur eine Pflichtverletzung voraus, sondern auch, dass eine dauerhaft störungsfreie Vertragserfüllung in Zukunft nicht mehr zu erwarten steht und die Weiterbeschäftigung dem Arbeitgeber nicht mehr zumutbar ist. Die Kündigung ist also keine Sanktion für eine begangene Pflichtverletzung. Sie dient vielmehr der Vermeidung künftiger Pflichtverletzungen. Gemessen an diesen Grundsätzen war die Kündigung nicht gerechtfertigt, obwohl eine Pflichtverletzung vorlag. Nach den Umständen des Falles war nicht damit zu rechnen, dass der Mitarbeiter künftig ähnliche Verstöße begehen würde. Daher hätte die Beklagte den Kläger durch eine Abmahnung darauf hinweisen können, dass auch rein lesende Zugriffe ohne dienstlichen Anlass untersagt sind.
Praktische Relevanz
Die Entscheidung zeigt, dass selbst erhebliche Datenschutzverstöße (z. B. wenn sensible Daten betroffen sind) nicht zwangsläufig zu einem Kündigungsrecht des Arbeitgebers führen. Ist ein Verstoß als Einzelfall zu werten und lässt sich daraus keine negative Prognose für das künftige Verhalten ableiten, reicht in der Regel eine Abmahnung. Das Gericht macht damit deutlich, dass die Kündigung stets Ultima Ratio bleiben muss.
Gleichzeitig ist eine Kündigung allein wegen eines Datenschutzverstoßes nicht von vornherein ausgeschlossen. Das LAG Rheinland-Pfalz stellt ausdrücklich fest, dass ein solcher Verstoß eine Verletzung arbeitsvertraglicher Nebenpflichten darstellt und unter Umständen sogar als wichtiger Grund i. S. d. § 626 Abs. 1 BGB in Betracht kommen kann. Damit bestätigt das Gericht die Auffassung des LAG Berlin-Brandenburg (Urt. v. 1. September 2016, 10 Sa 192/16).
Aus der Entscheidung lassen sich wichtige Erkenntnisse dafür ableiten, welche Umstände Arbeitgeber berücksichtigen müssen, wenn eine Kündigung nach einem Datenschutzverstoß im Raum steht:
- Gewicht der Verstöße: Welche Daten sind betroffen? Unterliegen die Daten einem Berufsgeheimnis? Beinhalten die betroffenen Datensätze besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO?
- Dauer der Verstöße: Handelt es sich um einen Einzelfall oder werden die Verstöße wiederholt begangen?
- Art der Verstöße: Was geschieht mit den Daten? Handelt es sich lediglich um lesende Zugriffe oder werden die Daten weiterverwendet?
- Anzahl der Betroffenen: Greift der Arbeitnehmer auf einzelne Einträge zu oder exportiert er gesamte Kundenlisten?
- Information über die Regelungslage: War dem Arbeitnehmer bekannt, dass die Zugriffe untersagt sind? Gibt es entsprechende interne Anweisungen?
Für die Praxis bedeutet das: Arbeitgeber sollten ihre internen Datenschutzrichtlinien so ausgestalten, dass die Grenzen zulässiger Zugriffe klar definiert und den Beschäftigten nachweisbar kommuniziert werden.
Die Entscheidung ist also trotz des Ausgangs nicht als Freifahrtschein für Datenschutzverstöße der Arbeitnehmer zu werten. Vielmehr macht das LAG klar, dass jeder Fall einzeln zu bewerten ist und die Konsequenzen in einem angemessenen Verhältnis zum Verstoß stehen müssen. Arbeitgeber sollten daher das Instrument der Abmahnung nicht unterschätzen, da sie insbesondere bei erstmaligen Verstößen oft das Mittel der Wahl sein wird und im Wiederholungsfall die Gerichtsfestigkeit der Kündigung absichert.
News
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben: