Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.

Sachverhalt

Der Kläger war seit Oktober 2022 als Fachassistent bei einem Jobcenter der Beklagten tätig. Im Rahmen seiner Tätigkeit im Team Kundenanmeldung war er u. a. für die Bearbeitung des Posteingangs zuständig.

Die Mutter des Klägers beantragte Bürgergeld. Im zugehörigen Verfahren leitete der Kläger an drei Tagen eingegangene Unterlagen seiner Mutter intern weiter und erstellte jeweils einen Vermerk im System VerBIS. Darüber hinaus griff er im Zeitraum von Juli bis Dezember 2023 insgesamt mehrere Dutzend Mal auf die Kundenstammdaten seiner Mutter in den digitalen Akten zu, ohne hierfür zuständig zu sein.

Die Beklagte kündigte das Arbeitsverhältnis ordentlich und stützte die Kündigung auf Verstöße gegen das Mitwirkungsverbot nach § 16 SGB X sowie auf unberechtigte Zugriffe auf Sozialdaten unter Verstoß gegen das Sozialgeheimnis und die einschlägigen Dienstanweisungen. Die Beklagte argumentierte ferner, die Zugriffe stellten eine Form der Datenverarbeitung i. S. d. Art. 4 Nr. 2 DSGVO dar und seien nicht rechtmäßig gewesen. Einer vorherigen Abmahnung bedürfe es nicht, da dem Kläger die Pflichtwidrigkeit seines Verhaltens bekannt gewesen sei.

Der Kläger hielt die Kündigung für sozial ungerechtfertigt. Seine Tätigkeit habe seinen regulären Aufgaben entsprochen, und klare Anweisungen für den Umgang mit Post von Angehörigen habe es nicht gegeben. Die Datenzugriffe räumte er im Grundsatz ein, bestritt aber, dass ihm deren Unzulässigkeit bewusst gewesen sei. Zudem fehle es aus seiner Sicht an einer vorherigen Abmahnung.

Entscheidung des Gerichts

Nach Auffassung des Gerichts war die Kündigung sozial ungerechtfertigt. Eine ordentliche verhaltensbedingte Kündigung setzt nicht nur eine Pflichtverletzung voraus, sondern auch, dass eine dauerhaft störungsfreie Vertragserfüllung in Zukunft nicht mehr zu erwarten steht und die Weiterbeschäftigung dem Arbeitgeber nicht mehr zumutbar ist. Die Kündigung ist also keine Sanktion für eine begangene Pflichtverletzung. Sie dient vielmehr der Vermeidung künftiger Pflichtverletzungen. Gemessen an diesen Grundsätzen war die Kündigung nicht gerechtfertigt, obwohl eine Pflichtverletzung vorlag. Nach den Umständen des Falles war nicht damit zu rechnen, dass der Mitarbeiter künftig ähnliche Verstöße begehen würde. Daher hätte die Beklagte den Kläger durch eine Abmahnung darauf hinweisen können, dass auch rein lesende Zugriffe ohne dienstlichen Anlass untersagt sind.

Praktische Relevanz

Die Entscheidung zeigt, dass selbst erhebliche Datenschutzverstöße (z. B. wenn sensible Daten betroffen sind) nicht zwangsläufig zu einem Kündigungsrecht des Arbeitgebers führen. Ist ein Verstoß als Einzelfall zu werten und lässt sich daraus keine negative Prognose für das künftige Verhalten ableiten, reicht in der Regel eine Abmahnung. Das Gericht macht damit deutlich, dass die Kündigung stets Ultima Ratio bleiben muss.

Gleichzeitig ist eine Kündigung allein wegen eines Datenschutzverstoßes nicht von vornherein ausgeschlossen. Das LAG Rheinland-Pfalz stellt ausdrücklich fest, dass ein solcher Verstoß eine Verletzung arbeitsvertraglicher Nebenpflichten darstellt und unter Umständen sogar als wichtiger Grund i. S. d. § 626 Abs. 1 BGB in Betracht kommen kann. Damit bestätigt das Gericht die Auffassung des LAG Berlin-Brandenburg (Urt. v. 1. September 2016, 10 Sa 192/16).

Aus der Entscheidung lassen sich wichtige Erkenntnisse dafür ableiten, welche Umstände Arbeitgeber berücksichtigen müssen, wenn eine Kündigung nach einem Datenschutzverstoß im Raum steht:

• Gewicht der Verstöße: Welche Daten sind betroffen? Unterliegen die Daten einem Berufsgeheimnis? Beinhalten die betroffenen Datensätze besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO?
• Dauer der Verstöße: Handelt es sich um einen Einzelfall oder werden die Verstöße wiederholt begangen?
• Art der Verstöße: Was geschieht mit den Daten? Handelt es sich lediglich um lesende Zugriffe oder werden die Daten weiterverwendet?
• Anzahl der Betroffenen: Greift der Arbeitnehmer auf einzelne Einträge zu oder exportiert er gesamte Kundenlisten?
• Information über die Regelungslage: War dem Arbeitnehmer bekannt, dass die Zugriffe untersagt sind? Gibt es entsprechende interne Anweisungen?

Für die Praxis bedeutet das: Arbeitgeber sollten ihre internen Datenschutzrichtlinien so ausgestalten, dass die Grenzen zulässiger Zugriffe klar definiert und den Beschäftigten nachweisbar kommuniziert werden.

Die Entscheidung ist also trotz des Ausgangs nicht als Freifahrtschein für Datenschutzverstöße der Arbeitnehmer zu werten. Vielmehr macht das LAG klar, dass jeder Fall einzeln zu bewerten ist und die Konsequenzen in einem angemessenen Verhältnis zum Verstoß stehen müssen. Arbeitgeber sollten daher das Instrument der Abmahnung nicht unterschätzen, da sie insbesondere bei erstmaligen Verstößen oft das Mittel der Wahl sein wird und im Wiederholungsfall die Gerichtsfestigkeit der Kündigung absichert.