Die Entscheidung des Kassationsgerichtshofs über den unbefugten Zugriff eines Mitarbeiters

Insbesondere hatte das Krankenhaus über einen Zeitraum von etwa drei Jahren mehr als dreißig unrechtmäßige Zugriffe der Mitarbeiterin auf die elektronischen Gesundheitsakten einiger Nachbarn festgestellt, ohne dass dafür eine Rechtfertigung oder ein dienstlicher Grund vorlag. Zudem hatte sie die Betroffenen zuvor beleidigt und in manchen Fällen Morddrohungen gegen sie ausgesprochen, wofür die Mitarbeiterin bereits strafrechtlich verurteilt wurde. Nach der Kündigung aus wichtigem Grund hatte die Frau gegen die Entscheidung Berufung eingelegt. Dabei machte sie geltend, dass die Zugriffe nicht missbräuchlich gewesen seien und dass sie aufgrund ihrer Tätigkeit in ihrem Büro Zugang zu den Gesundheitsakten der Patienten benötigt habe. Ferner seien die im Strafverfahren gesammelten Beweise unbrauchbar und ihr Verhalten nicht als besonders schwerwiegend einzustufen. 

In seinem Urteil schloss sich der Gerichtshof der Vorinstanz an. Nach Auffassung des Gerichtshofs ist das Urteil über das Vorliegen eines Disziplinarvergehens und dessen Schwere auf der Grundlage einer logischen und nachvollziehbaren Tatsachenfeststellung getroffen worden. Nach Ansicht des Obersten Gerichtshofs kann ein Unternehmen keinem Mitarbeiter vertrauen, der seine Position und seine Zugriffsprivilegien auf IT-Systeme missbraucht. Dies gilt insbesondere, wenn der Mitarbeiter besonders sensible Informationen, wie hier von Gesundheitsdaten Dritter, für persönliche Zwecke erlangt oder zu erlangen versucht. Dabei sieht die Disziplinarordnung die Entlassung als Sanktion für „die Begehung von vorsätzlichen Handlungen oder Taten, auch gegenüber Dritten, die zwar keine Straftaten darstellen, aber so schwerwiegend sind, dass sie nicht einmal eine vorübergehende Fortsetzung des Arbeitsverhältnisses zulassen” vor.  

Darüber hinaus hatte der Kassationsgerichtshof bereits in der Vergangenheit in Bezug auf Disziplinarstrafen den Rechtsgrundsatz aufgestellt, wonach die Beurteilung der Verhältnismäßigkeit zwischen Kündigung und beanstandeter Anschuldigung dem Richter der ersten Instanz unterliegt, da sie eine Würdigung der Tatsachen erfordert, die zu der Streitigkeit geführt haben. Dabei kann die Rechtmäßigkeit der Entscheidung der ersten Instanz nur dann überprüft werden, wenn die Begründung des angefochtenen Urteils bezüglich der Verhältnismäßigkeit völlig fehlt oder erhebliche Rechtsmängel aufweist. 

Im vorliegenden Fall haben die vom Krankenhaus ergriffenen Maßnahmen zum Schutz der Zugriffsrechte auf die IT-Systeme maßgeblich zur Überführung der Mitarbeiterin bezüglich des vorsätzlichen Fehlverhaltens am Arbeitsplatz beigetragen. Dadurch wurde dem Arbeitgeber die rechtmäßige Berufung auf eine Kündigung aus wichtigem Grund ermöglicht. 

Präventiv können Krankenhäuser die bestehenden Sicherheitsmaßnahmen zum Schutz besonderes sensibler Daten weiter verstärken. Eine geeignete Maßnahme ist dabei beispielsweise Mitarbeiter mit erweiterten Zugriffsrechten zu verpflichten, bei jeder Abfrage den Zweck der Datenabfrage anzugeben. 

Zu den wirksamsten Schutzmaßnahmen zählen die Verschlüsselung von Datenbanken, eine starke Authentifizierungsfunktion, eine detaillierte Protokollierung sowie die bereits erwähnte rollenbasierte Zugriffskontrolle. 

Daneben empfiehlt es sich, einen strukturierten Schulungs- und Sensibilisierungsplan für das Personal zu erstellen, um die zulässigen Verhaltensweisen und die disziplinarischen und strafrechtlichen Folgen bei Verstößen klar zu vermitteln. Die Ernennung eines Datenschutzbeauftragten kann unter anderem die Überwachung und Einhaltung der Schulungsvorschriften versichern und darüber hinaus die Wirksamkeit der Methoden und der technischen Maßnahmen kontrollieren. 

Von entscheidender Bedeutung ist die digitale Rückverfolgbarkeit: Automatische Überwachungs- und Warnsysteme ermöglichen es, Anomalien zu erkennen und liefern nützliche Beweise für eventuelle Gerichtsverfahren.  

Auf disziplinarischer Ebene ermöglicht ein interner Kodex, der mit dem Arbeitnehmerstatut im Einklang steht, ein zeitnahes Bestreiten der Vorwürfe und gewährleistet das Recht des Arbeitnehmers auf ein faires Verfahren. Die Sanktionen können abgestuft sein: von einer schriftlichen Verwarnung bis hin zur Kündigung aus wichtigem Grund bei schwerwiegendem oder wiederholtem Fehlverhalten. 

Ein kombinierter Ansatz aus IT-Governance, Schulungen und korrekter Anwendung eines Disziplinarsystems ermöglicht es nicht nur, auf rechtswidriges Verhalten zu reagieren, sondern dieses auch zu verhindern und so die Betriebskontinuität und den Ruf des Unternehmens zu schützen. 

Schließlich ist zu beachten, dass ein unbefugter Zugriff auf personenbezogene Daten sowie deren Verarbeitung zu weiteren unrechtmäßigen Zwecken ohne angemessene Rechtsgrundlage einen Verstoß gegen den Datenschutz darstellt. Nach der DSGVO ist das Unternehmen verpflichtet, einen solchen Vorfall, insbesondere angesichts der möglichen Auswirkungen bei besonders sensiblen Daten, sowohl der zuständigen Datenschutzbehörde als auch betroffenen Personen zu melden.