In Zeiten von Wikileaks fühlt sich offenbar der eine oder andere Arbeitnehmer dazu berufen, auf seiner Ansicht nach bestehende Missstände hinzuweisen. Einen besonders bizarren Fall hatte das Arbeitsgericht Siegburg am 15.01.2020, 3 Ca 1793/19, zu entscheiden.
Ein kurioser Fall
Geklagt hatte ein Mitarbeiter, der als Senior-Entwickler im Home-Office beschäftigt war.
Im Juli 2019 hatte er seinem Vorgesetzten davon berichtet, dass er wegen des Verdachts der Erpressung eines Kunden seines Arbeitgebers verhaftet worden sei!
Für dieses Verfahren spielte dies jedoch keine Rolle. Nur einen Tag später räumte er gegenüber seinem Vorgesetzten ein, dass er Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin seines Arbeitgebers bestellt habe und zwar vom Rechner eines Spielcasinos aus. Um per Lastschrift zahlen zu können, hatte er von einem verschlüsselten Rechner der Kundin auf einem privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden dieser Kundin zurückgegriffen. Den Vorständen der Kundin seines Arbeitgebers ließ er die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, so dass die bestellten Kopfschmerztabletten durchaus helfen können!
Kündigung folgte prompt
Seinen Arbeitgeber vorher über die Sicherheitslücken bei der Kundin zu informieren, hatte er nicht als notwendig erachtet, was dieser verständlicherweise nicht besonders witzig fand und die außerordentliche, hilfsweise ordentliche Kündigung aussprach.
Der Mitarbeiter sah dies jedoch nicht ein und reichte Kündigungsschutzklage ein.
Seine Verteidigungsstrategie bestand darin zu behaupten, dass er bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt habe, die sein Handeln erst möglich gemacht hätten. Er habe die Kunden der Beklagten zuvor mehrfach vergeblich darauf aufmerksam gemacht, reagiert hätten diese jedoch nicht.
Sein Handeln sei im Sinne der Allgemeinheit und der Kundin gewesen, nämlich um datenschutzrechtliche Verstöße zu verhindern.
Sein Arbeitgeber sah dies naturgemäß anders und hatte im Wesentlichen vorgetragen, dass durch sein Handeln die eschäftsbeziehung zur Kundin gestört worden sei, außerdem hätte der Kläger die vermeintliche Sicherheitslücke auf dem Hinweisgeberportal des Kunden oder dem eigenen Hinweisgebersystem des Arbeitgebers melden können.
Schutz von Kundendaten verletzt
Das Arbeitsgericht Siegburg hatte zu der Problematik eine klare Meinung, war nämlich der Auffassung, dass hier ein wichtiger Grund vorliegt, der es dem Arbeitgeber unzumutbar macht, den Kläger auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiter zu beschäftigen. Der Kläger hat hier gegen seine Pflicht zur Rücksichtnahme auf die Interessen der Beklagten in eklatanter Weise verstoßen. Die Beklagte muss das Interesse ihrer Kunden am Datenschutz und deren dabei bestehenden Pflichten bei ihrer eigenen Tätigkeit beachten, also den Schutz von Daten beim Kunden gewährleisten.
Der Kläger hat durch sein Handeln jedoch die ihm im Rahmen seiner Tätigkeit zugänglich gewordenen hochsensiblen Daten missbraucht, indem er für zwei Vorstandsmitglieder einer Kundin der Beklagten unter Nutzung Name, Anschrift und Bankverbindung Dritter, namentlich Kunden der Kunden der Beklagten im Lastschriftverfahren Medikamente bestellt hat und damit offenbar ohne Offenlegung seiner Identität und seiner Nichtberechtigung, Zugriff auf Kunden Dritter genommen hat.
Nach dem eigenen Vortrag des Arbeitnehmers hat er für sein Vorgehen eine Sicherheitslücke bei der Kundin der Beklagten ausgenutzt, so dass diese Kundin sich einem Verhalten gegenüber ausgesetzt gesehen hat, vor dem sie naturgemäß geschützt sein wollte. Der Kläger hat also massiv das Vertrauen der Kundin der Beklagten und deren Mitarbeiter gestört und damit die Kundenbeziehung gefährdet.
Kündigung rechtmäßig
Es handelt sich um eine erhebliche Verletzung der Rücksichtnahmepflicht gegenüber der Beklagten, so dass ein Grund für eine außerordentliche Kündigung vorlag. Hinzukommt, dass der Kläger durch seine Handlungsweise bewiesen hat, dass er offensichtliche Grenzen des zulässigen Handelns zu überschreiten bereit ist, was sein Verhalten für die Zukunft unkalkulierbar gemacht hat.
Es mag sein, dass die vom Kläger behauptete Sicherheitslücke bei der Kundin der Beklagten tatsächlich bestanden hat und es ihm bei seinem Vorgehen ausschließlich um ihre Beseitigung ging. Hierfür hat er jedoch das falsche Mittel gewählt. Außerdem ist das Vorgehen, durch den unbefugten Zugriff auf fremde Bankkonten zuzugreifen, durch keinerlei Rechtfertigung gedeckt, der Kläger hat unbeteiligte Dritte durch die unberechtigte Belastung deren Konten miteinbezogen!
Abmahnung nicht erforderlich
Einer vorherigen Abmahnung bedürfte es hier nicht. Er kann sich auch nicht auf die Entscheidung des Europäischen Gerichtshofs zu Whistleblowern berufen, da es ihm nicht darum ging, Missstände öffentlich zu machen. Er hat Missstände für sein Vorgehen schlicht missbraucht. Diese Entscheidung sollte Arbeitnehmern deutlich machen, dass es vom Whistleblower bis zur außerordentlichen Kündigung häufig nur ein schmaler Grat ist, insbesondere, wenn man den Begriff des Whistleblowers missversteht.
Fazit
Was darf ein Arbeitnehmer? Man darf jedenfalls nicht seinen Arbeitgeber belügen, Kunden schädigen und sensible Daten missbrauchen.
Praxishinweise:
Entscheidung des Arbeitsgerichts Siegburg vom 15.01.2020, Aktenzeichen: 3 Ca 1793/19.
Autor: Rechtsanwalt Stefan Engelhardt, Sozietät Roggelin & Partner, Hamburg.