Dr. Ines Keitel: Nutzung sozialer Medien am Arbeitsplatz: Notwendige Maßnahmen zum Schutz von Betriebs- und Geschäftsgeheimnissen und personenbezogenen Daten
Mit Urteil vom 11. April 2014 (17 Sa 2200/13) hat das LAG Berlin-Brandenburg entschieden, dass das Einstellen von Patientenbildern in Facebook durch eine Krankenschwester zwar grundsätzlich die außerordentliche Kündigung des Arbeitsverhältnisses durch den Arbeitgeber rechtfertigen könne. Im Ergebnis hielten jedoch weder die außerordentliche noch die hilfsweise ordentliche Kündigung der gerichtlichen Überprüfung stand. Das LAG verkannte dabei nicht, dass die Krankenschwester ein Merkblatt zur Verschwiegenheitspflicht unterzeichnet, auf das Datengeheimnis gemäß § 5 BDSG verpflichtet worden war und zudem § 203 StGB zu beachten war. Es übersah auch nicht, dass die Patientenbilder jedenfalls für rund 170 Facebook-Friends sichtbar gewesen waren und eine Weiterverbreitung nicht mehr auszuschließen war. Gleichwohl hielt es die vorherige Abmahnung nicht für entbehrlich. Aus Sicht des Gerichts sprach im Rahmen der Interessenabwägung u.a. gegen eine Wirksamkeit der Kündigungen, dass dem Arbeitgeber weder Reputationsschäden noch Schadensersatzforderungen drohen würden, weil das Klinikum auf den Fotos nicht erkennbar gewesen sei und überdies Betrachter der Fotos nicht auf eine Billigung durch den Arbeitgeber schließen könnten.
Dass dies zu kurz greift, liegt auf der Hand; die Entscheidung ist den Umständen des Einzelfalls geschuldet. Sie sollte jedoch Anlass für Arbeitgeber auch außerhalb der Klinik- und Pflegebranche sein, zu hinterfragen, ob im jeweiligen Betrieb tatsächlich effektive Maßnahmen zum Schutz vor Verletzungen des Datengeheimnisses und vor Preisgabe von Betriebs- und Geschäftsgeheimnissen getroffen sind.
Der Fall zeigt: Merkblätter reichen nicht, die Krankenschwester schloss nicht von diesen auf ihre Facebook-Nutzung rück, die sie für Privatsache hielt. Die Wahrscheinlichkeit von schadensverursachenden Handlungen und das potenzielle Ausmaß von Reputations- und finanziellen Schäden, die durch solche Handlungen entstehen können, haben sich durch den verstärkten Einsatz von sozialen Medien und neuen Kommunikationsformen am Arbeitsplatz (z.B. instant messaging, chats), die die virale Verbreitung von Informationen erlauben, exponentiell vergrößert. Arbeitgeber müssen daher noch effektivere Mittel zur Reduzierung des Risikos einer ungewollten Verbreitung schützenswerter Informationen ergreifen.
Was können Arbeitgeber tun? Eine effektive Prävention setzt zunächst einfach verständliche Richtlinien bzw. Betriebsvereinbarungen zur Nutzung von Sozialen Medien am Arbeitsplatz und – soweit Betriebs- und Geschäftsgeheimnisse bzw. das Datengeheimnis betroffen sind – auch bzgl. der Nutzung außerhalb des Arbeitsplatzes voraus. Hinzukommen müssen detaillierte Richtlinien zur Nutzung von E-Mail und sonstigen IT-Mitteln des Arbeitgebers. Arbeitgeber sind hierbei gut beraten, Fehlern bei der Nutzung der "Reply to all"-Funktion des E-Mailprogramms ebenso vorzubeugen, wie Regelungen zum Umgang mit Meta-Daten in E-Mailanhängen (wie Kommentare, Änderungshistorie) vorzusehen, die Empfängern ungewollt Aufschluss über Umstände der Erstellung von Dokumenten geben könnten. Die Sorge, hierbei zu "kleinteilig" zu regeln, ist häufig unberechtigt; erfahrungsgemäß begrüßen es auch Betriebsräte, wenn Beispiele in Betriebsvereinbarungen verdeutlichen, was der Arbeitnehmer darf und was nicht. Sinnvollerweise werden diese Regelungen begleitet durch technische Absicherungsmaßnahmen wie sog. Meta Data Removal Tools, die den Arbeitnehmer vor der Versendung von Dokumenten in E-Mailanhängen automatisch zur Löschung oder ausdrücklichen Bestätigung der Versendung von Meta-Daten auffordern, von E-Mailkategorisierungssystemen und anderen automatischen Fehlerkontrollen. Entscheidend ist jedoch insbesondere die regelmäßige Schulung der Arbeitnehmer im Umgang mit IT-Mitteln und den hierzu eingeführten Regelungen, die den neuesten technischen Entwicklungen am und außerhalb des Arbeitsplatzes Rechnung tragen sollte.
Dabei darf nicht vergessen werden, dass der Schutz von Betriebs- und Geschäftsgeheimnissen bereits bei der internen Kommunikation ansetzen muss. Arbeitgeber müssen abwägen, welche Risiken sie durch die Aufgabe eines strikten "need-to-know"-Ansatzes zugunsten eines kreativen Austausches verschiedener Abteilungen im Unternehmen einzugehen bereit sind. In jedem Fall gilt: Je offener die Kommunikation innerhalb des Unternehmens gestaltet wird, desto wichtiger sind effektive Schutzmechanismen nach außen und die Aufklärung der Arbeitnehmer darüber, dass es nicht nur darauf ankommt, mit wem Informationen geteilt werden, sondern gerade auch die Frage, wie dies inner- und außerhalb des Unternehmens getan wird (Perpetuierung von Inhalten oder lediglich mündlicher Austausch, Ort der Kommunikation, etc.), entscheidend ist.
Wo es Arbeitnehmern erlaubt ist, eigene technische Mittel zu Arbeitszwecken in die IT-Infrastruktur des Arbeitgebers einzubringen ("Bring your own device"), müssen nicht nur die technischen Sicherheitsanforderungen sorgfältig nachgehalten werden, sondern auch bedacht werden, dass der Zugriff auf das Gerät des Arbeitnehmers im Ernstfall praktisch und rechtlich schwierig sein kann. Arbeitgeber sollten sich deshalb über eine entsprechende Richtlinie hinaus durch eine individuelle Nutzungsvereinbarung mit dem jeweiligen Arbeitnehmer schützen, die Kontroll- und Zugriffsrechte einräumt und ausgestaltet.
Sensibilisierung tut schließlich im Hinblick auf die Nutzung privater IT-Mittel in Pausen am Arbeitsplatz not, etwa hinsichtlich des Gebrauchs der Kamerafunktion des Smartphones. Eine Ordneraufschrift im Hintergrund, lesbar vielleicht erst durch Bildbearbeitung Dritter, mag diesen bereits Aufschluss darüber geben, an welchen Verfahren oder Rezepturen gearbeitet wird. Auch hier sollten Arbeitgeber daher frühzeitig durch Schulungen für Aufklärung sorgen, um sich und Arbeitnehmer vor potenziell folgenreichen Fehlern zu schützen.
Dr. Ines Keitel ist Rechtsanwältin im Arbeitsrecht bei Clifford Chance Clifford Chance Deutschland LLP. Sie ist spezialisiert auf die arbeitsrechtliche Umsetzung von Compliance-Maßnahmen sowie Arbeitnehmerdatenschutz und begleitet regelmäßig interne Untersuchungen arbeitsrechtlich.
