Urteil : Kündigung infolge unbefugter „Dokumentation“ einer Sicherheitslücke durch einen externen Sicherheitsberater : aus der RDV 3/2020, Seite 155 bis 157
(Arbeitsgericht Siegburg, Urteil vom 15. Januar 2020 – 3 Ca 1793/19 –)
Die Offenbarung einer Sicherheitslücke der Datenverarbeitungen eines Kunden seines Arbeitgebers, bei dem der Beschäftigte als Berater eingesetzt ist, kann von diesem nicht durch den unbefugten Zugriff auf Bankdaten der Geschäftsführer des Kunden „dokumentiert“ werden.
(Nicht amtlicher Leitsatz)
Sachverhalt:
Die Parteien streiten über die Wirksamkeit einer außerordentlichen sowie einer hilfsweise erklärten ordentlichen Kündigung der Beklagten. Der schwerbehinderte Kläger ist seit dem 01.07.2011 bei der Beklagten bzw. deren Rechtsvorgängerin als SAP-Berater tätig.
Nachdem der Kläger bereits am 28.07.2019 seinem Vorgesetzten von seiner Verhaftung wegen des Verdachts der Erpressung eines Kunden der Beklagten berichtet hatte, wobei dieser Sachverhalt nicht der streitgegenständlichen Kündigung zu Grunde liegt, räumte er am 29.07.2019 räumte gegenüber seinem Vorgesetzten in einem weiteren Telefonat ein, dass er vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder der Kundin der Beklagten, für die er für die Beklagte tätig war, bestellt hatte, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Tatsächlich hatte sich dies zuvor so ereignet. Im Rahmen der Bestellung ließ der Kläger nach eigenen Angaben den Vorständen der Kundin der Beklagten die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über Sicherheitslücken bei der Kundin informiert.
Noch am gleichen Tag wurde der kündigungsberechtigte Geschäftsführer der Beklagten hierüber informiert. Die Beklagte beantragte daraufhin mit Schreiben vom 09.08.2019 die Zustimmung zur außerordentlichen, hilfsweise ordentlichen Kündigung des Klägers beim Integrationsamt, wobei der Kläger den Sachverhalt im Rahmen dieses Verfahrens einräumte. Das Integrationsamt ließ die bis zum 23.08.2019 laufende Entscheidungsfrist zur außerordentlichen Kündigung verstreichen, teilte dies der Beklagten mit Schreiben vom 26.08.2019 mit und stimmte der ordentlichen Kündigung unter dem 27.08.2019, der Beklagten am 29.08.2019 zugegangen, zu. Die Beklagte kündigte das Arbeitsverhältnis mit dem Kläger zunächst mit Schreiben vom 26.08.2019, dem Kläger am gleichen Tag zugegangen, fristlos und sodann mit Schreiben vom 30.08.2019 hilfsweise ordentlich zum 30.11.2019. Hiergegen wendet sich der Kläger mit seiner am 09.09.2019 erhobenen Klage.
Er behauptet, er habe bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt, die sein Handeln erst möglich gemacht hätten und auf die er die Kunden der Beklagten zuvor mehrfach vergeblich aufmerksam gemacht habe, ohne dass diese reagiert habe. Eine Verknüpfung von Datensätzen sei für sein Vorgehen nicht erforderlich gewesen, da sich Name, Adresse und Bankdaten der Kunden der Kundin in dem gleichen Datensatz befunden hätten. Er habe im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen. Er meint, sein Vorgehen sei gerechtfertigt und die effektivste Handlungsoption gewesen, jedenfalls aber weniger einschneidend als der Gang an die Öffentlichkeit. Vor einer Kündigung sei zunächst eine Abmahnung auszusprechen und zudem in der Kündigungsfrist keine Wiederholung zu befürchten gewesen, zumal er seine Handlung selbst offen gelegt habe. Zudem sei der Vortrag der Beklagten unsubstantiiert, da sie nicht erforscht habe, wann er genau was wem gegenüber getan habe.
Aus den Gründen:
Die Klage ist hinsichtlich des Antrags festzustellen, dass das Arbeitsverhältnis fortbesteht, unzulässig, im Übrigen ist sie unbegründet.
II. Das Arbeitsverhältnis zwischen den Parteien ist durch die fristlose Kündigung der Beklagten vom 26.08.2019 mit Ablauf des gleichen Tages aufgelöst worden.
1. Es liegt ein wichtiger Grund im Sinne des § 626 Abs. 1 BGB vor, der es der Beklagten unzumutbar macht, den Kläger bis zum Ablauf der ordentlichen Kündigungsfrist weiter zu beschäftigen. Gemäß § 626 Abs. 1 BGB kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und bei Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann.
b) Ein wichtiger Grund zur Kündigung kann nicht nur in einer erheblichen Verletzung der vertraglichen Hauptleistungspflichten liegen. Auch die schuldhafte Verletzung von Nebenpflichten kann ein wichtiger Grund zur außerordentlichen Kündigung sein. Da die ordentliche Kündigung die übliche und grundsätzlich ausreichende Reaktion auf die Verletzung einer Nebenpflicht ist, kommt eine außerordentliche Kündigung nur in Betracht, wenn das Gewicht dieser Pflichtverletzung durch erschwerende Umstände verstärkt wird (BAG, Urteil v. 12.05.2010 – 2 AZR 845/08 – juris, Rn 19).
2. Unter Zugrundelegung dieser Grundsätze liegt ein Pflichtenverstoß des Klägers vor, der an sich geeignet ist, Grund für eine außerordentliche Kündigung zu sein.
b) Durch sein Vorgehen hat der Kläger auch gegen seine Pflicht zur Rücksichtnahme auf die Interessen der Beklagten eklatant verstoßen. Die Beklagte ist im IT-Bereich tätig und setzt den Kläger bei ihren Kundinnen und Kunden dazu ein, IT-Lösungen zu finden bzw. umzusetzen. In der EDV werden oftmals hochsensible persönliche Daten, wie vorliegend Name An-schrift und Bankverbindung von Kunden, gespeichert, die des Schutzes bedürfen, was die Beklagte im Rahmen ihrer Tätigkeit zu beachten hat. Sie muss das Interesse ihrer Kunden am Datenschutz und deren dabei bestehende Pflichten bei ihrer eigenen Tätigkeit beachten. Ist es aber auch Aufgabe der Beklagten, den Schutz von Daten beim Kunden zu gewährleisten, steht dem das Vorgehen des Klägers diametral entgegen, da dieser die ihm im Rahmen seiner Tätigkeit zugänglich gewordenen hochsensiblen Daten missbraucht hat, indem er für zwei Vorstandsmitglieder einer Kundin der Beklagten unter Nutzung von Name, Anschrift und Bankverbindung Dritter, namentlich Kunden der Kunden der Beklagten, im Lastschriftverfahren Medikamente bestellt hat, und damit offenbar ohne Offenlegung seiner Identität und damit seiner Nichtberechtigung, Zugriff auf Konten Dritter genommen hat. Die kündigungsrechtliche Beurteilung dieses Verhaltens hängt nicht von der strafrechtlichen Bewertung des mitgeteilten Kündigungssachverhalts ab. Entscheidend ist der mit dem Verhalten oder dem Verdacht ein-hergehende Vertrauensverlust (vgl. BAG, Urteil vom 20.06.2013 – 2 AZR 546/12 –, BAGE 145, 278-295, Rn. 15). Nach eigener Darstellung hat der Kläger für sein Vorgehen eine Sicherheitslücke bei der Kundin der Beklagten ausgenutzt. Die Kundin der Beklagten sah sich damit einem Verhalten des Klägers gegenüber ausgesetzt, vor dem sie naturgemäß geschützt sein wollte. Von Seiten der Beklagten und deren Mitarbeiter durfte sie allenfalls Schutz vor, keinesfalls aber Missbrauch von etwaigen Sicherheitslücken erwarten. Der Kläger hat somit massiv das Vertrauen der Kundin die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung gefährdet, aber nicht nur diese sondern auch die Geschäftsbeziehung zwischen den Kunden der Kundin und der Kundin selbst. Dies musste ihm auch klar sein. Der Kläger hat also derart massiv seine Rücksichtnahmepflicht gegenüber der Beklagten verletzt, dass an sich ein wichtiger Grund für eine außerordentliche Kündigung anzunehmen ist.
3. Auch unter Berücksichtigung der Umstände des Einzelfalls macht dieses Verhalten des Klägers der Beklagten die Weiterbeschäftigung bis zum Ablauf der Kündigungsfrist nicht zumutbar.
a) Der Kläger hat durch seine Handlungsweise gezeigt, dass er grundlegende und offenkundige Grenzen zulässigen Handelns zu überschreiten bereit ist, was sein Verhalten in der Zukunft unkalkulierbar macht. Zu Gunsten des Klägers kann unterstellt werden, dass die von ihm in seinem Vorbringen nicht näher dargestellte Sicherheitslücke bei der Kundin der Beklagten tatsächlich bestand und es ihm bei seinem Vorgehen ausschließlich um deren Beseitigung ging. Das hierbei von ihm gewählte Mittel steht jedoch offensichtlich außer Verhältnis zu dem von ihm verfolgten Ziel, weil er nicht nur mit Worten auf die Sicherheitslücke aufmerksam gemacht, sondern sie nach eigener Darstellung gerade ausgenutzt hat. Während ein Hinweis auf eine Sicherheitslücke das Vertrauen der Kunden der Beklagten in diese zu verstärken vermag, muss das Vorgehen des Klägers genau das Gegenteil bewirken, wenn die Kundin gewahr wird, dass ein Mitarbeiter der Beklagten unter Nutzung von hochsensiblen Daten unbefugt in dem Rechtskreis ihrer Kunden herumpfuscht. Prekär ist das Vorgehen insbesondere durch den unbefugten Zugriff auf fremde Bankkonten, was für jeden – offenbar außer dem Kläger – erkennbar weder durch den Auftrag der Beklagten bei der Kundin noch die Aufgabenstellung des Klägers abgedeckt sein kann, zumal der Kläger unbeteiligte Dritte durch die unberechtigte Belastung von deren Konten mit einbezieht. Diese Nichtbeachtung jedem einleuchtender Grenzen zulässigen Handelns macht es der Beklagten unzumutbar, den Kläger noch bis zum Ablauf der angesichts der achtjährigen Beschäftigungszeit bis Ende November 2019 laufenden Kündigungsfrist weiter zu beschäftigen.
b) Dabei steht der Kündigung auch nicht entgegen, dass die Beklagte den Kläger nicht abgemahnt hat.
aa) Grundsätzlich gilt bei der Beurteilung der Frage, ob eine Kündigung wirksam ist, das Prognoseprinzip. Zweck einer verhaltensbedingten Kündigung ist nicht eine Sanktion für die begangene Pflichtverletzung, sondern die Vermeidung künftiger Pflichtenverstöße – ggf. selbst bis zum Ablauf der Kündigungsfrist. Die fragliche Pflichtverletzung muss sich deshalb noch für die Zukunft belastend auswirken. Eine entsprechende Prognose ist berechtigt, wenn aus der konkreten Vertragspflichtverletzung und der daraus resultierenden Vertragsstörung geschlossen werden kann, der Arbeitnehmer werde den Arbeitsvertrag auch künftig erneut in gleicher oder ähnlicher Weise verletzten. Das ist häufig ungewiss. Eine Kündigung wegen einer Vertragspflichtverletzung setzt deshalb regelmäßig eine einschlägige Abmahnung voraus. Diese dient der Objektivierung der negativen Prognose. Liegt eine solche Abmahnung vor und verletzt der Arbeitnehmer gleichwohl erneut seine vertraglichen Pflichten, kann regelmäßig davon ausgegangen werden, es werde auch künftig zu weiteren Vertragsstörungen kommen. Außerdem ist in Anwendung des Verhältnismäßigkeitsgrundsatzes die Abmahnung als milderes Mittel einer Kündigung vorzuziehen, wenn schon durch ihren Ausspruch das Ziel, die künftige Einhaltung der Vertragspflichten zu bewirken, erreicht werden kann (BAG, Urteil vom 26.11.2009 – 2 AZR 751/08 – juris, Rn. 10). Allerdings kann eine Abmahnung bei schweren Pflichtverletzungen entbehrlich sein. Bei einer schweren Pflichtverletzung ist nämlich regelmäßig dem Arbeitnehmer die Rechtswidrigkeit seines Handelns ohne weiteres genauso erkennbar, wie der Umstand, dass eine Hinnahme des Verhaltens durch den Arbeitgeber offensichtlich ausgeschlossen ist (BAG, Urteil vom 23.06.2009 – 2 AZR 283/08 – juris, Rn. 18).
bb) Vorliegend ist eine schwere Pflichtverletzung des Klägers gegeben, die eine Abmahnung entbehrlich macht, da die Beklagte angesichts des „Exzesses“ des Klägers nicht ausschließen konnte, dass dieser weitere, nicht voraussehbare Grenzverletzungen begehen würde. Dies wird auch durch das Verhalten des Klägers im vorliegenden Prozess belegt. Anstatt das Gewicht seiner Pflichtverletzung einzusehen, sieht er sein Vorgehen geradezu als gerechtfertigt, jedenfalls aber als einzig effektiven und verhältnismäßigen Weg zur Erreichung seines Ziels an. Selbst der Ausspruch der Kündigung hat den Kläger mithin nicht zur Einsicht bewegen können. Soweit der Kläger zur Rechtfertigung seiner Handlung die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte zu Whistleblowern heranziehen will, geht dies fehl. Nach dessen Urteil vom 21.07.2011 (28274/08 –, juris) fallen Strafanzeigen von Arbeitnehmern gegen ihren Arbeitgeber mit dem Ziel, Missstände in ihren Unternehmen oder Institutionen offenzulegen (whistleblowing), in den Geltungsbereich des die Meinungsfreiheit schützenden Art. 10 MRK. Vorliegend geht es jedoch nicht darum, dass der Kläger, und sei es auch aus einem an sich nicht zu beanstandenden Motiv, Missstände bei seinem Arbeitgeber oder Dritten öffentlich gemacht oder zur Anzeige gebracht hat, sondern dass er vermeintliche Missstände oder jedenfalls ihm bei seiner Tätigkeit zugänglich gewordene Daten für sein Vorgehen missbraucht hat. Der Kläger hat also überhaupt nicht von der durch Art. 10 MRK geschützten Meinungsfreiheit Gebrauch gemacht, so dass er sich auf die auf diese Vorschrift gestützte Entscheidung des Europäischen Gerichtshofs für Menschenrechte nicht berufen kann.
cc) Daran, dass mithin auch unter Berücksichtigung der Umstände des Einzelfalles ein Grund für eine fristlose Kündigung gegeben ist, ändert schließlich auch nicht der Umstand etwas, dass der Kläger sein Verhalten selbst offenbart hat. Diese Offenbarung ist nämlich offenbar nicht wegen besserer Einsicht erfolgt, sondern im Hinblick auf seine vorherige Verhaftung wegen eines anderen Sachverhaltes, sodass er seine Arbeitgeberin letztendlich lediglich Sachverhalte offenbart hat, von der diese früher oder später ohnehin Kenntnis erlangt hätte.
dd) Schließlich ist der Beklagten auch nicht zumutbar, den Kläger bis zum Ablauf der Kündigungsfrist anderweitig einzusetzen. Einen entsprechenden Arbeitsplatz im Unternehmen der Beklagten, mit dem der eingetretene Vertrauensverlust keine Rolle spielen würde, hat der Kläger nicht benennen können. Die von ihm in der mündlichen Verhandlung benannte Entwicklungsabteilung ist unstreitig bei der Beklagten nicht angesiedelt.