D: Administratoren ohne Selbstbeherrschung riskieren fristlose Kündigung
Rubrik: NachrichtenM. Schröder - 2B Advice GmbH - the privacy benchmark
Mit Urteil vom 14.05.2010, Aktenzeichen 4 Sa 1257/09, bestätigte das Landesarbeitsgericht Köln die fristlose Kündigung eines Systemadministrators, der seine für Administrationszwecke eingeräumten Zugriffsrechte dazu nutzte, E-Mails und Kalender von Vorständen einzusehen.
Die Besonderheit dieses Falles lag darin, dass der Systemadministrator ebenfalls für die Innenrevision sowie den Datenschutz zuständig war. Der Systemadministrator druckte zunächst eine E-Mail eines Vorstandsmitgliedes aus und räumte ein, bereits einige Male E-Mails von Vorstandsmitgliedern eingesehen zu haben. Er begründete dies sehr pauschal damit, dass er zu Zwecken der Revision gehandelt hätte. Nach der daraufhin ausgesprochenen Abmahnung griff der Systemadministrator auf den Kalender eines Vorstandsmitgliedes zu, um festzustellen ob dieser im Hause ist. Das Gericht stellte in seiner Entscheidung fest, dass die Stellung als Revisor nicht beinhalte, auch den Vorstand zu überwachen. Vielmehr sei die Revision das Mittel, dessen sich der Vorstand bediene, um die eigenen Aufsichtspflichten umzusetzen. Kontrollorgan des Vorstandes sei der Aufsichtsrat. Auch hätte ein Revisor einen Administrator auch nicht anweisen können, heimlich Unterlagen oder Informationen über Vorstandsaktivitäten zu beschaffen.
Die Entscheidung zeigt eindrucksvoll Folgendes: Klar beschriebene Rollen und Aufgaben in einem Unternehmen erfüllen wichtige Zwecke für den Datenschutz. Der Administrator darf seine technischen Möglichkeiten nur einsetzen, um das IT-System aufzusetzen und zu warten. Der Revisor muss sein Vorgehen mit dem Vorstand und gemäß den getroffenen Vereinbarungen abstimmen und hat kein eigenes allumfassendes Direktionsrecht. Der Datenschutzbeauftragte hätte in dem zur Entscheidung stehenden Fall konsequent auf die Abstellung des Verhaltens sowohl des Revisors als auch des Systemadministrators hinwirken müssen. Dies unterblieb, weil die Funktionen des Administrators, Revisors und Datenschutzbeauftragten in einer Person gebündelt wurden. Der vom LAG Köln entschiedene Fall ist daher ein gutes Beispiel für die Auswirkung von Interessenskonflikten, welche eine wirksame Bestellung zum Datenschutzbeauftragten ausschließen. Unternehmen sollten daher vermeiden, diese drei Schlüsselpositionen in einer Person zu bündeln.
(961 mal gelesen)
