Darf der IT-Administrator auf Anweisung seines Chefs in die Postfächer der Mitarbeiter schauen? Ist die unberechtigte Suche nach harmlosen Daten im geschützten IT-System ein Kavaliersdelikt? Der Gesetzgeber sagt dazu ganz klar "Nein". Zwei Urteile illustrieren die Rechtslage:

E-Mails gelesen - gekündigt

Das Ausspähen von E-Mails ist Grund genug für eine außerordentliche Kündigung, stellte das Landesarbeitsgericht Köln in einem Urteil vom 14. Mai 2010 fest (Aktenzeichen 4 Sa 1257/09). In dem verhandelten Fall hatte der IT-Administrator einer Bank seine Zugriffsrechte genutzt, um die E-Mails seines Vorgesetzten zu kontrollieren und teilweise sogar auszudrucken. Er war überzeugt, zum Wohle seines Arbeitgebers zu handeln, da er auch als Innenrevisor angestellt war. Das war auch nicht abwegig, immerhin gab es eine interne Richtlinie, wonach der IT-Administrator im Auftrag eines Vorstandsmitglieds die Mails und Anhänge öffnen und auf verdächtige Vorgänge kontrollieren durfte. Der fristlos gekündigte Mitarbeiter, der zugleich auch Datenschutzbeauftragter im Unternehmen war, machte eine Klausel geltend, dass er als Innenrevisor auch Führungskräfte überwachen müsse. Weil im Unternehmen nur der dienstliche E-Mail-Verkehr erlaubt sei, habe er eine Einsichtnahme in private Kommunikation ausschließen können.

Diese Einwände akzeptierte das Gericht nicht. Es betonte, dass auch einem Innenrevisor und Datenschutzbeauftragten der Einblick in die Daten anderer Mitarbeiter verboten sei. Nur im Rahmen eines vom Vorstand genehmigten Prüfungsplans sei es internen Prüfern erlaubt, E-Mails zu checken. Grundsätzlich dürfen demnach weder Innenrevisoren noch Datenschutzbeauftragte ohne Legitimation die Inhalte von E-Mails einsehen geschweige denn ausdrucken. Selbst wenn der Administrator wie im konkreten Fall mit den besten Absichten gehandelt habe, sei die Kündigung rechtens, urteilte das Gericht.

Zugriffsrechte manipuliert - fristlos gekündigt

In einem anderen Fall hatte ein SAP-Nutzer selbsttätig seine Zugriffsrechte im ERP-System erweitert und sich die kompletten Lese- und Schreibrechte verschafft. Der 49-Jährige hatte die Aufgabe, für seinen Arbeitgeber ein Dokumentations- und Schulungskonzept über das Kosten- und Leistungsrechnungssystem zu erstellen. Da sich das Projekt stark verspätete, änderte er kurzerhand seine Zugriffsrechte und verschaffte sich so Zugang zu dem SAP-Modul Qualitätssicherung, um an die von ihm dringend benötigten Daten zu kommen. Das blieb der IT-Abteilung nicht verborgen, sie meldete die unberechtigte Änderung dem zuständigen Abteilungsleiter. Dieser kündigte dem Fachintegrator daraufhin fristlos.

Das Landesarbeitsgericht München bestätigte die Kündigung am 5. August 2009 (AZ: 11 Sa 1066/08). Der Eingriff in das System wurde sogar als Hacker-Angriff bewertet. Der Mitarbeiter hatte sich unbegrenzte Zugriffsrechte erschlichen, die aber nur einem begrenzten Personenkreis vorbehalten waren. Daher folgerte das Gericht, für eine Fortführung des Arbeitsverhältnisses fehle die erforderliche Vertrauensbasis.

IT-Mitarbeiter haften bei Verfehlungen

Weder einer Geschäftsführung noch einer Innenrevision ist es also uneingeschränkt erlaubt, sich die E-Mails der Angestellten anzusehen. Auch gegen die Anweisungen des Vorgesetzten muss die IT-Abteilung das Bundesdatenschutzgesetz beachten. Verfehlungen sind besonders heikel, wenn Mitarbeiter die Unternehmens-IT auch privat nutzen dürfen oder der Arbeitgeber dies duldet. Dann greifen nämlich die Vorgaben des Fernmeldegeheimnisses.

Künftig wird der Gesetzgeber den Umgang mit schützenswerten Daten wahrscheinlich weiter einschränken. Voraussichtlich zum Jahresende tritt das novellierte Bundesdatenschutzgesetz (BDSG) in Kraft. Es soll explizit regeln, was der Arbeitgeber in Bezug auf die IT-Nutzung seiner Mitarbeiter tun darf. Klar ist, dass Detektivarbeit in Eigenregie ohne genaue Kenntnis des Datenschutzrechts jeden Mitarbeiter in der IT-Abteilung den sicher geglaubten Job kosten kann. (jha)