News
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
Sachverhalt
Der Kläger war seit Oktober 2022 als Fachassistent bei einem Jobcenter der Beklagten tätig. Im Rahmen seiner Tätigkeit im Team Kundenanmeldung war er u. a. für die Bearbeitung des Posteingangs zuständig.
Die Mutter des Klägers beantragte Bürgergeld. Im zugehörigen Verfahren leitete der Kläger an drei Tagen eingegangene Unterlagen seiner Mutter intern weiter und erstellte jeweils einen Vermerk im System VerBIS. Darüber hinaus griff er im Zeitraum von Juli bis Dezember 2023 insgesamt mehrere Dutzend Mal auf die Kundenstammdaten seiner Mutter in den digitalen Akten zu, ohne hierfür zuständig zu sein.
Die Beklagte kündigte das Arbeitsverhältnis ordentlich und stützte die Kündigung auf Verstöße gegen das Mitwirkungsverbot nach § 16 SGB X sowie auf unberechtigte Zugriffe auf Sozialdaten unter Verstoß gegen das Sozialgeheimnis und die einschlägigen Dienstanweisungen. Die Beklagte argumentierte ferner, die Zugriffe stellten eine Form der Datenverarbeitung i. S. d. Art. 4 Nr. 2 DSGVO dar und seien nicht rechtmäßig gewesen. Einer vorherigen Abmahnung bedürfe es nicht, da dem Kläger die Pflichtwidrigkeit seines Verhaltens bekannt gewesen sei.
Der Kläger hielt die Kündigung für sozial ungerechtfertigt. Seine Tätigkeit habe seinen regulären Aufgaben entsprochen, und klare Anweisungen für den Umgang mit Post von Angehörigen habe es nicht gegeben. Die Datenzugriffe räumte er im Grundsatz ein, bestritt aber, dass ihm deren Unzulässigkeit bewusst gewesen sei. Zudem fehle es aus seiner Sicht an einer vorherigen Abmahnung.
Entscheidung des Gerichts
Nach Auffassung des Gerichts war die Kündigung sozial ungerechtfertigt. Eine ordentliche verhaltensbedingte Kündigung setzt nicht nur eine Pflichtverletzung voraus, sondern auch, dass eine dauerhaft störungsfreie Vertragserfüllung in Zukunft nicht mehr zu erwarten steht und die Weiterbeschäftigung dem Arbeitgeber nicht mehr zumutbar ist. Die Kündigung ist also keine Sanktion für eine begangene Pflichtverletzung. Sie dient vielmehr der Vermeidung künftiger Pflichtverletzungen. Gemessen an diesen Grundsätzen war die Kündigung nicht gerechtfertigt, obwohl eine Pflichtverletzung vorlag. Nach den Umständen des Falles war nicht damit zu rechnen, dass der Mitarbeiter künftig ähnliche Verstöße begehen würde. Daher hätte die Beklagte den Kläger durch eine Abmahnung darauf hinweisen können, dass auch rein lesende Zugriffe ohne dienstlichen Anlass untersagt sind.
Praktische Relevanz
Die Entscheidung zeigt, dass selbst erhebliche Datenschutzverstöße (z. B. wenn sensible Daten betroffen sind) nicht zwangsläufig zu einem Kündigungsrecht des Arbeitgebers führen. Ist ein Verstoß als Einzelfall zu werten und lässt sich daraus keine negative Prognose für das künftige Verhalten ableiten, reicht in der Regel eine Abmahnung. Das Gericht macht damit deutlich, dass die Kündigung stets Ultima Ratio bleiben muss.
Gleichzeitig ist eine Kündigung allein wegen eines Datenschutzverstoßes nicht von vornherein ausgeschlossen. Das LAG Rheinland-Pfalz stellt ausdrücklich fest, dass ein solcher Verstoß eine Verletzung arbeitsvertraglicher Nebenpflichten darstellt und unter Umständen sogar als wichtiger Grund i. S. d. § 626 Abs. 1 BGB in Betracht kommen kann. Damit bestätigt das Gericht die Auffassung des LAG Berlin-Brandenburg (Urt. v. 1. September 2016, 10 Sa 192/16).
Aus der Entscheidung lassen sich wichtige Erkenntnisse dafür ableiten, welche Umstände Arbeitgeber berücksichtigen müssen, wenn eine Kündigung nach einem Datenschutzverstoß im Raum steht:
- Gewicht der Verstöße: Welche Daten sind betroffen? Unterliegen die Daten einem Berufsgeheimnis? Beinhalten die betroffenen Datensätze besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO?
- Dauer der Verstöße: Handelt es sich um einen Einzelfall oder werden die Verstöße wiederholt begangen?
- Art der Verstöße: Was geschieht mit den Daten? Handelt es sich lediglich um lesende Zugriffe oder werden die Daten weiterverwendet?
- Anzahl der Betroffenen: Greift der Arbeitnehmer auf einzelne Einträge zu oder exportiert er gesamte Kundenlisten?
- Information über die Regelungslage: War dem Arbeitnehmer bekannt, dass die Zugriffe untersagt sind? Gibt es entsprechende interne Anweisungen?
Für die Praxis bedeutet das: Arbeitgeber sollten ihre internen Datenschutzrichtlinien so ausgestalten, dass die Grenzen zulässiger Zugriffe klar definiert und den Beschäftigten nachweisbar kommuniziert werden.
Die Entscheidung ist also trotz des Ausgangs nicht als Freifahrtschein für Datenschutzverstöße der Arbeitnehmer zu werten. Vielmehr macht das LAG klar, dass jeder Fall einzeln zu bewerten ist und die Konsequenzen in einem angemessenen Verhältnis zum Verstoß stehen müssen. Arbeitgeber sollten daher das Instrument der Abmahnung nicht unterschätzen, da sie insbesondere bei erstmaligen Verstößen oft das Mittel der Wahl sein wird und im Wiederholungsfall die Gerichtsfestigkeit der Kündigung absichert.
News
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.
EuGH-Urteil zum Personenbezug und Informationspflichten – pseudonymisierte Daten können für den Empfänger auch anonym sein
Das EuGH-Urteil in der Rechtssache EDSB vs. SRB (Rs. C‑413/23 P) und dessen Folgen für die Rechtsanwendung werden derzeit zu Recht kontrovers diskutiert. In dem Urteil geht es zwar um Bestimmungen aus der Verordnung 2018/1725, die für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Der EuGH hat aber ausdrücklich entschieden, dass der Begriff „personenbezogene Daten“ in dieser Verordnung und der DSGVO und der nicht mehr gültigen Richtlinie 95/46 EG identisch auszulegen ist (Rn. 52). Das Urteil ist für Unternehmen und mitgliedstaatliche Behörden gleichermaßen bedeutsam.
Rechtswidrigkeit von (Gebühren) Bescheiden wegen DSGVO-Verstoß - Dürfen öffentliche Stellen ihre Verfahren automatisieren?
Automatisierte Entscheidungen unterliegen gem. Art. 22 DSGVO besonderen gesetzlichen Anforderungen, welche auch im Bereich der öffentlichen Verwaltung gelten. Zentrale Voraussetzung für die Zulässigkeit solcher Entscheidungen ist das Vorliegen einer entsprechenden Rechtsgrundlage. Fehlt diese, ist der Bescheid rechtswidrig. Wie die Verwaltungsgerichte damit umgehen, zeigt eine aktuelle Entscheidung des VG Bremen (Urt. v. 14.07.2025, 2 K 763/23).
Dürfen Datenschutzbehörden die Namen der sanktionierten Unternehmen veröffentlichen?
Sowohl die BfDI als auch die Landesdatenschutzbehörden informieren regelmäßig in Pressemitteilungen über aktuelle Bußgeldverfahren. Mitunter werden dabei auch die betroffenen Unternehmen namentlich genannt. Doch ist dieses Vorgehen überhaupt rechtlich zulässig und welche Grenzen haben die Behörden dabei einzuhalten? In anderen Rechtsgebieten existiert zu diesen Fragen durch umfangreiche Rechtsprechung - allerdings bislang nicht speziell im Bereich des Datenschutzrechts.
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.
Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde
Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.