Kündigungsgrund Datenschutzverstoß

Zuletzt aktualisiert am 1. Juni 2026

Ein Datenschutzverstoß zieht nicht nur Konsequenzen für das betroffene Unternehmen mit sich, sondern auch für den entsprechenden Mitarbeiter. Die arbeitsrechtlichen Konsequenzen können dabei bis hin zur Kündigung verlaufen, wie kürzlich auch vom LAG Sachsen bestätigt.

Aktuelle Rechtsprechung

Das LAG Sachsen hat mit Urteil vom 07.04.2022 (AZ: 9 Sa 250/21) klargestellt, dass datenschutzrechtliche Verstöße eines Arbeitnehmers arbeitsrechtliche Folgen für diesen haben können.

Der Sachverhalt: „Clean Desk Policy“

Im zu beurteilenden Sachverhalt ging es um folgendes: Die Klägerin arbeitete als Kreditsachbearbeiterin bei der Beklagten. Die Beklagte schrieb allen Mitarbeitern eine „Clean Desk Policy“ vor. Deren Inhalt war es hauptsächlich, dass geheime und schützenswerte Informationen vor Zugriff durch Dritte in der Weise geschützt werden müssen, dass entsprechende Dokumente weggeschlossen, entsorgt oder in digitalen Form entsprechend gesichert und beim Verlassen des Arbeitsplatzes geschlossen werden. Zudem sollten die Mitarbeiter die IT-Systeme zu jedem Feierabend komplett herunterfahren.

Die Klägerin hat gegen diese Policy während ihres Arbeitsverhältnisses mehrfach verstoßen. Daraufhin wurde sie mehrfach vom beklagten Arbeitgeber auf die Policy hingewiesen. Bei den darauf folgenden Verstößen erfolgten jeweils Abmahnungen und schließlich eine ordentliche Kündigung.

Ansicht der Gerichte: Datenschutzverstoß ist Pflichtverletzung

Dagegen legte die Klägerin eine Kündigungsschutzklage, der das Arbeitsgericht Leipzig zunächst stattgab. Unter anderem berief sich die Klägerin darauf, dass das „Wegsperren“ entsprechender Dokumente nach der „Clean Desk Policy“ nicht beinhalte, dass sie den entsprechenden Aktenschrank auch abzuschließen habe.

Das LAG Sachsen sah die Sache in der Berufung jedoch anders: Zunächst legte das Gericht den Wortlaut der „Clean Desk Policy“ so wie der Abreitgeber aus und sah eine Verpflichtung zum Abschließen der entsprechenden Schränke. Des weiteren führte das Gericht aus, dass der Schutzzweck (Schutz vor unbefugtem Zugriff durch Dritte) auch dritte Mitarbeiter umfasst, die im Rahmen ihrer Arbeitstätigkeit selbst keinen Zugriff auf die entsprechenden Dokumente haben. Im Verhalten der Arbeitnehmerin sei demnach eine Pflichtverletzung zu sehen. Dies könne auch unabhängig davon feststehen, ob bereits ein Schaden eingetreten sei.

Bedeutung für Datenschutzverstöße im Unternehmen

Dieses Urteil hat vor allem hinsichtlich einer Feststellung eine hohe Bedeutung: Datenschutzverstöße können arbeitsrechtlich gesehen erhebliche Pflichtverletzungen darstellen. Der Verstoß gegen datenschutzrechtliche Vorgaben des Arbeitgebers ist dann zudem eine Verletzung der Hauptleistungspflicht im Arbeitsverhältnis und nicht nur eine Nebenpflichtverletzung. Das liegt daran, dass die Hauptleistungspflicht im Arbeitsverhältnis gerade darin liegt, die Arbeitsleistung im Rahmen der rechtmäßigen Anweisungen des Arbeitgebers zu erbringen. Arbeitsanweisungen, die zum Datenschutz dienen, gehören ebenso dazu.

Somit kann datenschutzrechtliches Fehlverhalten erhebliche Konsequenzen für Mitarbeiter haben, wenn sie dabei gegen Vorgaben und Richtlinien des Arbeitgebers verstoßen. Der Arbeitgeber muss sich auf die Einhaltung dieser verlassen können, da sonst meldepflichtige Datenschutzverstöße vorliegen können, die für den Arbeitgeber drohende Bußgelder, Schadensersatzforderungen und Sanktionen bedeuten.

Tipps für die Praxis

Arbeitgeber sollten immer darauf achten, ihre Mitarbeiter entsprechend datenschutzrechtlich zu verpflichten und zu schulen. Mitarbeiter, die im Datenschutzrecht fit und sensibilisiert sind, verstoßen weniger gegen das Datenschutzrecht. Auch ist es wichtig, im Unternehmen Strukturen zu schaffen, die den Datenschutz und die Prävention von Verstößen fördern.

Ihr Unternehmen ist noch nicht fit im Bereich Datenschutz? Unser Team an Experten bietet neben Online- und individuellen Präsenzschulungen auch Dienstleistungen als externer Datenschutzbeauftragter an. Kontaktieren Sie uns gerne!

Arbeitsrechtliche Bewertung von Datenschutzverstößen

Die arbeitsrechtliche Bewertung eines Datenschutzverstoßes hängt von mehreren Faktoren ab. Wichtig sind die Schwere des Verstoßes, der eingetretene Schaden, das Verschulden des Mitarbeiters und die bisherige Dauer des Arbeitsverhältnisses. Grundsätzlich gilt: Nicht jeder Datenschutzverstoß rechtfertigt automatisch eine Kündigung. Die Gerichte prüfen stets, ob mildere Mittel — wie eine Abmahnung oder Versetzung — ausreichend gewesen wären.

Das Bundesarbeitsgericht hat in seiner Rechtsprechung mehrfach betont, dass bei der Interessenabwägung auch zu berücksichtigen ist, ob der Arbeitgeber seinen Mitarbeitern ausreichende Datenschutz-Schulungen angeboten hat. Fehlt es an einer ordnungsgemäßen Schulung, kann dies zugunsten des Arbeitnehmers wirken und eine Kündigung unwirksam machen.

Typische Fälle aus der Rechtsprechung

In der arbeitsgerichtlichen Praxis finden sich zahlreiche Beispiele für Kündigungen wegen Datenschutzverstößen. Ein häufiger Fall ist das unbefugte Einsehen von Kundendaten oder Patientenakten aus privater Neugier. So wurde die fristlose Kündigung einer Krankenhausmitarbeiterin bestätigt, die ohne dienstlichen Anlass Patientendaten einer prominenten Person eingesehen hatte.

Ein weiterer typischer Fall betrifft die unbefugte Weiterleitung von Unternehmensdaten an private E-Mail-Adressen. Auch das unerlaubte Kopieren von Kundenlisten vor dem Wechsel zu einem Wettbewerber stellt einen schwerwiegenden Datenschutzverstoß dar, der regelmäßig eine fristlose Kündigung rechtfertigt.

Pflichten des Arbeitgebers bei Datenschutzverstößen

Arbeitgeber stehen bei Datenschutzverstößen ihrer Mitarbeiter vor einer doppelten Herausforderung: Einerseits müssen sie arbeitsrechtliche Konsequenzen ziehen, andererseits sind sie verpflichtet, den Vorfall datenschutzrechtlich zu bewerten und gegebenenfalls gemäß Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden.

Außerdem kann der Arbeitgeber selbst für Datenschutzverstöße seiner Mitarbeiter haftbar gemacht werden. Die DSGVO sieht in Art. 83 Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Diese Verantwortung unterstreicht, wie wichtig präventive Maßnahmen wie regelmäßige Schulungen, klare Richtlinien und eine funktionierende Datenschutzorganisation sind.

Prävention: Datenschutzverstöße vermeiden

Die beste Strategie gegen Datenschutzverstöße durch Mitarbeiter ist Prävention. Unternehmen sollten ein vollständiges Datenschutzkonzept implementieren, das folgende Elemente umfasst:

• Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiter
• Klare Richtlinien zum Umgang mit personenbezogenen Daten
• Technische Zugriffsbeschränkungen nach dem Need-to-know-Prinzip
• Ein transparentes Meldeverfahren für Datenpannen
• Dokumentation aller datenschutzrelevanten Prozesse im Verarbeitungsverzeichnis

Die DATUREX GmbH als erfahrener externer Datenschutzbeauftragter unterstützt Unternehmen in Dresden und Sachsen dabei, eine wirksame Datenschutzorganisation aufzubauen und so das Risiko von Verstößen und deren arbeitsrechtlichen Konsequenzen zu minimieren.

Abmahnung als milderes Mittel

Vor einer Kündigung wegen eines Datenschutzverstoßes ist in den meisten Fällen zunächst eine Abmahnung erforderlich. Die Abmahnung muss den konkreten Verstoß beschreiben, den Mitarbeiter auf die Pflichtverletzung hinweisen und für den Wiederholungsfall arbeitsrechtliche Konsequenzen androhen. Nur bei besonders schwerwiegenden Verstößen — etwa dem vorsätzlichen Datendiebstahl oder der bewussten Weitergabe vertraulicher Informationen — kann auf eine vorherige Abmahnung verzichtet werden.

Arbeitgeber sollten zudem beachten, dass die Dokumentation des Verstoßes für ein mögliches Gerichtsverfahren wichtig ist. Beweislast für den Datenschutzverstoß und die Verhältnismäßigkeit der Kündigung trägt der Arbeitgeber. Ein gut dokumentiertes Datenschutz-Audit kann hier wertvolle Nachweise liefern.