5. September 2016 - Private Internetnutzung

Schadsoftware auf Dienst-PC: Fristlose Kündigung und Schadensersatz

Ein Arbeitgeber verbietet zwar die private Nutzung des Internets. Im Alltag duldet er sie dann aber doch. Eines Tages lädt ein Arbeitnehmer für private Zwecke eine Software aus dem Internet herunter. Dabei infiziert er seinen Dienst-PC mit einem Backdoor-Virus und einigen anderen hässlichen Sachen. Sein Arbeitgeber kündigte ihm fristlos. Außerdem verlangt er 865 € Schadensersatz für die Bereinigung des Systems. Ist das alles rechtlich so in Ordnung?

Privat heruntergeladene Schadsoftware kann zur Kündigung führen Auch wenn die Privatnutzung geduldet ist, gibt es Grenzen (Bild: Imilian / iStock / Thinkstock)

Gerade dieser Kläger hätte wissen müssen, was EDV-Sicherheit heißt: Er war als Elektrotechniker bei einem kriminaltechnischen Sachverständigenbüro angestellt, das Gutachten für Versicherungen, Staatsanwaltschaften und Gerichte anfertigt.

Bis zu seiner fristlosen Kündigung war er etwa ein Jahr lang dort beschäftigt. In dieser Zeit nahm er an drei Datenschutzschulungen teil, die sein Arbeitgeber von einer Datenschutzkanzlei durchführen ließ.

Ein „Rattenschwanz“ von Schadsoftware

Am 3.4.2014 lud der Kläger zu privaten Zwecken eine Software („Audiograbber“) aus dem Internet herunter, die zum Verkleinern und Konvertieren von Audio-Dateien geeignet ist, und installierte sie auf seinem dienstlichen PC.

Das war definitiv keine gute Idee. In der Software verbarg sich nämlich ein Computervirus. Er bewirkte die Installation von „BestMarkit“ und „Protegere“ – beides üble Schadsoftware.

Die Software „Protegere“ bewirkte, dass weitere Schadsoftware auf dem infizierten Rechner nachgeladen wurde. Darunter befand sich mindestens ein Backdoor-Virus. Er ermöglichte einen unbefugten Zugriff auf das Netzwerk des Unternehmens über das Internet und einen unkontrollierten Datenabfluss.

Arbeitnehmer hat bewusst gehandelt

Wie ein Sachverständiger feststellte, muss der Kläger die Installation von „Protegere“ von Hand angestoßen und bestätigt haben. Nach den Ausführungen des Sachverständigen hält es das Gericht für sicher, dass der Virenscanner funktionierte und eine Warnmeldung anzeigte, die der Kläger aktiv „wegdrückte“.

Ein externer Systembetreuer beseitigt den Schaden

Am Morgen des 8.4.2015 bemerkte der Kläger nach seinen eigenen Angaben, dass „aggressive Werbeeinblendungen“ die Nutzung des Internets störten. Das habe er dem externen EDV-Systembetreuer unverzüglich gemeldet. Der Systembetreuer sei jedoch erst am 10.4.2014 vor Ort erschienen. Er habe an diesem Tag sowie nochmals vier Tage später mögliche Fehler behoben und Viren beseitigt.

Dabei fragte der Systembetreuer den Kläger ausdrücklich, ob er irgendwelche Programme installiert habe. Diese Frage verneinte der Kläger.

Durch umfangreiche Systemchecks fand der Systembetreuer schließlich heraus, dass doch ein Download stattgefunden haben musste. Am 14.4.2014 unterrichtete er darüber den Geschäftsführer des Arbeitgebers.

Kündigung und Schadensersatz-Forderung

Daraufhin kündigte der Arbeitgeber das Arbeitsverhältnis fristlos. Dies geschah durch ein Schreiben vom 25.4.2014, das dem Kläger noch am selben Tag zugestellt wurde.

Für seine Arbeit stellte der externe Systembetreuer 865 € in Rechnung. Diesen Betrag verlangt der Arbeitgeber vom Kläger als Schadensersatz.

Private Nutzung des Internets auch durch andere Arbeitnehmer

Der Kläger gibt zu, dass das Unternehmen allen Arbeitnehmern mitgeteilt habe, sie sollten eine private Nutzung des Internets aus Sicherheitsgründen unterlassen.

Er führt jedoch aus, dass diese Vorgabe in der Praxis nicht eingehalten worden sei. Fast alle Mitarbeiter hätten in ihrer Mittagspause das Internet privat genutzt. Der Arbeitgeber habe dies gewusst und toleriert. Einmal habe ihn der Geschäftsführer sogar damit beauftragt, über eBay Zubehör für das Handy des Geschäftsführers zu kaufen.

Entscheidung des Gerichts

Der Kläger ist der Auffassung, dass die Kündigung nicht gerechtfertigt ist und dass er keinen Schadensersatz zu leisten hat.

Das Gericht sieht beide Punkte anders: Es hält die fristlose Kündigung für gerechtfertigt und verpflichtet den Kläger außerdem dazu, Schadensersatz in Höhe von 865 € zu leisten.

Wichtiger Grund für eine fristlose Kündigung

Das Verhalten des Klägers rechtfertigt nach Auffassung des Gerichts eine fristlose Kündigung. Dabei weist es vor allem auf Folgendes hin:

  • Der Kläger hat seine arbeitsvertraglichen Pflichten in erheblicher Weise verletzt.
  • Dabei ist vor allem von Bedeutung, dass er einen Warnhinweis des Virenscanners bewusst ignoriert haben muss.
  • Dass ihm die Installation von Software für private Zwecke verboten war, kommt hinzu.

Keine vorherige Abmahnung nötig

Eine Abmahnung vor der Kündigung war nach den besonderen Umständen des Falls entbehrlich. Zwar ist normalerweise eine Abmahnung erforderlich, wenn es um ein Verhalten geht, das der Arbeitnehmer bewusst steuern und damit künftig ändern kann.

Das gilt jedoch nicht in allen Fällen. Es gibt schwere Pflichtverletzungen, bei denen einem Arbeitnehmer klar sein muss, dass der Arbeitgeber sie auf keinen Fall hinnehmen wird. Hier ist dann keine Abmahnung erforderlich. So lag der Fall hier:

  • Der Arbeitgeber hatte den Kläger in einem einzigen Jahr dreimal datenschutzrechtlich schulen lassen.
  • Es mag zwar sein, dass nahezu sämtliche Mitarbeiter in der Mittagspause privat im Internet surfen. Das Fehlverhalten des Klägers ist damit jedoch nicht vergleichbar.
  • Dem Kläger hätte klar sein müssen, dass die Gefährdung beim Installieren einer Software aus unbekannten Quellen wesentlich höher ist als die Gefährdung beim Surfen auf Seiten wie eBay.
  • Der Kläger hat besonders verantwortungslos gehandelt, weil er den Warnhinweis des Virenscanners weggeklickt hat.
  • Außerdem hat der Kläger die Frage des Systembetreuers, ob er Software installiert hat, wahrheitswidrig verneint.
  • Beim Kläger kann sich das Unternehmen künftig nicht mehr darauf verlassen, dass er der Sicherheit des EDV-Systems absolute Priorität einräumt.
  • Das muss ein Arbeitgeber, der ein kriminaltechnisches Sachverständigenbüro betreibt, nicht hinnehmen. Ein solches Büro muss hohen datenschutzrechtlichen Anforderungen genügen.

Ergebnis: Fristlose Kündigung rechtmäßig!

Unter dem Strich hält das Gericht die fristlose Kündigung für eindeutig gerechtfertigt. Dass das private Surfen zwar offiziell verboten war, aber wohl von nahezu allen Mitarbeitern praktiziert wurde, half dem Kläger angesichts der besonderen Umstände nichts.

Pflicht zur Leistung von Schadensersatz

Die Kosten für die Fehlerbeseitigung durch den externen Sachverständigen in Höhe von 865 € muss der Kläger an seinen früheren Arbeitgeber als Schadensersatz zahlen.

Diese vergleichsweise hohen Kosten sind dadurch entstanden, dass der externe Systembetreuer den PC neu aufsetzte. Zuvor hatte er bei einer umfangreichen Überprüfung des PC unter anderem einen Backdoor-Virus gefunden. Deshalb hielt er eine Systembereinigung allein für nicht ausreichend. Das damit verbundene Risiko, etwas zu übersehen, war aus seiner Sicht zu hoch.

Dieser Argumentation folgt das Gericht in vollem Umfang. „Als vernünftiger, wirtschaftlich denkender Auftraggeber“, so das Gericht, habe das Unternehmen die Kosten aufwenden müssen, um die Infektion des PC zuverlässig zu beseitigen.

Keine Rolle spielt es dabei, dass der Kläger bei seinem früheren Arbeitgeber monatlich 2800 € brutto verdient hat, so dass 865 € für ihn relativ viel Geld sind.

Keine „Haftungsprivilegierung“ für den Kläger

Die Verurteilung zu Schadensersatz scheint zunächst der Erfahrung zu widersprechen, dass Arbeitnehmer für Schäden, die sie bei der Arbeit anrichten, fast nie Schadensersatz leisten müssen.

Normalerweise kommt ihnen nämlich eine sogenannte „Haftungsprivilegierung“ zugute. Sie leitet sich aus der Fürsorgepflicht des Arbeitgebers gegenüber einem Arbeitnehmer ab. Sie soll verhindern, dass ein Arbeitnehmer wegen relativ kleiner Fehler bei der Arbeit hohen Schadensersatz leisten muss.

Damit ist aber auch schon gesagt, warum es im vorliegenden Fall auf diese Grundsätze nicht ankommt: Als der Kläger den Schaden angerichtet hat, hat er nicht etwa gearbeitet, sondern Software für private Zwecke heruntergeladen. Deshalb haftet er für Schäden, die er dabei verursacht hat, in voller Höhe.

Download ist keine normale „private Nutzung“

Generell ist zu dem Fall noch auf Folgendes hinzuweisen: Entgegen einer Meinung, die man oft hört, ist nicht „alles gut“, wenn ein Arbeitgeber die Nutzung des Internets für private Zwecke zwar „offiziell“ verbietet, es dann aber in der Praxis doch duldet, wenn in der Mittagspause privat gesurft wird.

Damit ist noch lange nicht geduldet, dass Mitarbeiter Software für private Zwecke herunterladen dürfen. Und genau das ist dem Kläger im vorliegenden Fall zum Verhängnis geworden.

Das Urteil des Landesarbeitsgerichts Mainz vom 12.11.2015 – 5 Sa 10/15 ist abrufbar unter http://www3.mjv.rlp.de/rechtspr/DisplayUrteil_neu.asp?rowguid={FF1576DD-062D-4430-B9A8-12047E97F905}.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

 

Bleiben Sie bei Urteilen zum Datenschutz auf dem Laufenden!
Melden Sie sich einfach für unsere kostenlosen Datenschutz-Newsletter an.
Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln