Die Digitalisierung des Arbeitsalltags bringt neue Konfliktfelder ins Arbeitsrecht. Wo früher „klassische“ Gründe wie Zuspätkommen oder Beleidigungen im Vordergrund standen, geht es heute häufig um Datenschutzverstöße, private E-Mail- und Internetnutzung oder den Umgang mit IT-Systemen. Arbeitgeber greifen diese Themen gern auf, um Kündigungen zu begründen – nicht immer sauber und rechtlich tragfähig.
Dieser Beitrag ordnet moderne Kündigungsgründe rund um Datenschutz und IT-Nutzung juristisch ein, zeigt, wann eine Kündigung wirklich zulässig ist und wann der Vorwurf nur „vorgeschoben“ wirkt. Abschließend werden zwei ausführliche Praxisbeispiele dargestellt.
1. Rechtlicher Rahmen: Datenschutz und IT-Nutzung im Arbeitsverhältnis
Im Arbeitsverhältnis treffen mehrere Rechtsbereiche aufeinander. Zum einen das klassische Kündigungsrecht, etwa § 626 BGB für fristlose Kündigungen aus wichtigem Grund. Zum anderen das Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), die auch im Verhältnis Arbeitgeber–Arbeitnehmer gelten.
Die Verarbeitung personenbezogener Daten von Beschäftigten ist nach Art. 6 DSGVO nur zulässig, wenn dafür eine Rechtsgrundlage besteht. Speziell für Beschäftigtendaten regelt § 26 BDSG, unter welchen Voraussetzungen Daten zur Durchführung des Arbeitsverhältnisses verarbeitet werden dürfen. Verstöße gegen diese Regeln können nicht nur behördliche Bußgelder nach sich ziehen, sondern auch arbeitsrechtliche Konsequenzen.
Hinzu kommt das Thema IT- und Internetnutzung. Ob private Nutzung des Internets und von E‑Mails am Arbeitsplatz erlaubt ist, lässt sich nicht pauschal beantworten. Entscheidend sind der Arbeitsvertrag, etwaige Richtlinien oder Betriebsvereinbarungen und die tatsächliche Praxis im Unternehmen. Ist private Internetnutzung ausdrücklich verboten, kann ein Verstoß eine arbeitsrechtliche Pflichtverletzung darstellen. Wird sie dagegen ausdrücklich oder zumindest „stillschweigend“ geduldet, sind die Möglichkeiten der Überwachung stark eingeschränkt und sanktionierende Maßnahmen wie eine Kündigung rechtlich deutlich schwieriger durchsetzbar.[1]
2. Wann rechtfertigt ein Datenschutzverstoß eine Kündigung?
Ein Datenschutzverstoß allein führt nicht automatisch zur wirksamen Kündigung. Wie bei jeder verhaltensbedingten Kündigung prüft ein Gericht, ob ein „wichtiger Grund“ vorliegt (bei fristloser Kündigung nach § 626 BGB) beziehungsweise ob eine ordentliche Kündigung sozial gerechtfertigt ist.
Wesentliche Prüfschritte sind:
Zunächst wird betrachtet, welche Pflicht genau verletzt wurde. Datenschutzverstöße können sehr unterschiedlich gelagert sein. Beispiele sind die Weiterleitung sensibler Kunden- oder Patientendaten an eine private E-Mail-Adresse, das unbefugte Auslesen von HR-Datenbanken oder das Teilen interner Geschäftsgeheimnisse mit Dritten. Besonders kritisch wird es, wenn es um sensible personenbezogene Daten geht, etwa Gesundheitsdaten oder umfangreiche Kundendatenbanken.
Entscheidend ist die Schwere des Verstoßes. Hat der Mitarbeiter „nur“ aus Unwissenheit eine Datei ohne erkennbaren Schaden verschickt oder wurden hochsensible Daten massenhaft an externe Server übertragen, möglicherweise bewusst und trotz klarer Verbote? Gerichte legen hier ein abgestuftes System an: Leichtere Verstöße rechtfertigen meist zunächst eine Abmahnung; außerordentliche Kündigungen kommen vor allem bei schwerwiegendem oder wiederholtem Fehlverhalten mit erheblicher Schädigungsgefahr in Betracht.[2]
Das persönliche Verschulden spielt eine zentrale Rolle. Handelte der Arbeitnehmer vorsätzlich oder grob fahrlässig, obwohl er geschult und ausdrücklich belehrt worden war? Oder lagen unklare Prozesse, fehlende Schulungen oder widersprüchliche Anweisungen vor, sodass eher ein Organisationsverschulden des Arbeitgebers zu sehen ist? Ohne erkennbaren subjektiven Vorwurf ist eine Kündigung deutlich schwerer haltbar.
Schließlich wird eine Interessenabwägung vorgenommen. Hier wird die Dauer der Betriebszugehörigkeit, die bisherige Führung, der konkrete Schaden, mögliche milderer Mittel (Abmahnung, Versetzung, Änderung der Zugriffsrechte) und die Vertrauensstellung des Mitarbeiters berücksichtigt. Gerade bei langjährigen, bislang unauffälligen Beschäftigten mit „einmaligen Ausrutschern“ tendieren Gerichte eher zu einer Abmahnung.
Ein Datenschutzverstoß kann also durchaus eine Kündigung rechtfertigen – insbesondere, wenn er gravierend, bewusst und trotz vorheriger Belehrung erfolgt und das Vertrauen nachhaltig zerstört ist. Pauschale Formulierungen wie „schwerer Verstoß gegen die DSGVO“ ohne konkrete Tatsachendarstellung reichen dafür aber nicht aus.
3. Private IT- und Internetnutzung: Abmahnung oder Kündigung?
Streitigkeiten zur Kündigung wegen privater Internetnutzung gehören zu den arbeitsrechtlichen Klassikern. Der rechtliche Ausgang hängt stark von den betrieblichen Regeln und der tatsächlichen Handhabung ab.
Ist im Arbeitsvertrag oder einer IT-Richtlinie klar geregelt, dass private Internetnutzung während der Arbeitszeit verboten ist, kann ein Verstoß eine Pflichtverletzung darstellen. Je nach Ausmaß kommen Abmahnung oder Kündigung in Betracht. Wird über längere Zeit intensiv privat gesurft, gechattet oder gestreamt, kann dies als Arbeitszeitbetrug gewertet werden. Besonders heikel sind Zugriffe auf strafbare Inhalte, etwa kinderpornografisches oder extremistisches Material. In solchen Fällen ist häufig sogar eine fristlose Kündigung ohne vorherige Abmahnung möglich.
Kompliziert wird es, wenn die private Nutzung zwar formal verboten, faktisch aber von Vorgesetzten geduldet wird. Werden etwa Pausen zum schnellen Onlinebanking, privaten E-Mails oder Nachrichtenlesen genutzt und hat der Arbeitgeber dies jahrelang toleriert, kann daraus eine „betriebliche Übung“ folgen.[1] Die Schwelle, ab der eine Kündigung rechtlich trägt, liegt dann deutlich höher. Häufig ist zunächst mindestens eine klare Abmahnung erforderlich, die das bisherige Verhalten neu einordnet.
Ist die private Nutzung ausdrücklich in begrenztem Umfang gestattet (z.B. nur in Pausen oder „im Rahmen der Zumutbarkeit“), müssen Arbeitgeber sehr genau darlegen, worin konkret die Pflichtverletzung besteht. Ein kurzer Blick auf Nachrichtenportale während einer ruhigen Minute wird sich in der Regel nicht als kündigungsrelevante Pflichtverletzung darstellen lassen. Exzessive Nutzung, die Arbeitsleistung massiv beeinträchtigt oder IT-Sicherheitsrisiken schafft, kann hingegen durchaus eine Kündigung stützen.
4. Wenn Datenschutz und IT-Nutzung nur vorgeschoben sind
In der Praxis kommt es immer wieder vor, dass Datenschutz- oder IT-Verstöße nur als Begründung vorgeschoben werden, während der eigentliche Trennungsgrund an anderer Stelle liegt – etwa in persönlichen Konflikten, betrieblicher Umstrukturierung oder der „Unbequemlichkeit“ eines Betriebsratsmitglieds.
Typische Konstellationen sind zum Beispiel das jahrelange Dulden bestimmter Verhaltensweisen, etwa regelmäßige private Internetnutzung, bis plötzlich ein Konflikt eskaliert und gerade dieses Verhalten zum Kündigungsgrund erhoben wird. Wenn andere Mitarbeiter dasselbe Verhalten ohne Konsequenzen zeigen konnten, spricht viel für eine Ungleichbehandlung und einen vorgeschobenen Grund.
Auch unzureichend aufgeklärte Sachverhalte sind rechtlich problematisch. Gerade bei schwerwiegenden Vorwürfen, die eine Verdachtskündigung tragen sollen, muss der Arbeitgeber den Sachverhalt sorgfältig ermitteln, den Arbeitnehmer anhören und entlastende Aspekte berücksichtigen. Wird der Mitarbeiter nicht ordnungsgemäß angehört oder bleiben wesentliche Punkte ungeklärt, ist eine Kündigung häufig schon aus formellen Gründen unwirksam.
Ein weiteres Warnsignal sind sehr pauschale Formulierungen. Wenn im Kündigungsschreiben von „massiven Sicherheits- und Datenschutzverstößen“ die Rede ist, ohne konkrete Vorgänge, Datenarten, Zeiträume und Beteiligte zu benennen, deutet dies auf eine schwache Tatsachengrundlage hin. In einem möglichen Gerichtsverfahren muss der Arbeitgeber den Kündigungsgrund detailliert darlegen und beweisen. Allgemeine Floskeln reichen nicht aus.
Kurz gesagt: Je weniger der behauptete Verstoß belegt, dokumentiert und vorher kommuniziert wurde, desto größer ist das Risiko, dass Datenschutz oder IT-Nutzung im Kündigungsfall nur als bequemer Aufhänger dienen sollen.
5. Praxisbeispiel 1: Kündigung wegen Weiterleitung von Kundendaten an private E-Mail
Stellen wir uns folgende Situation vor: Eine langjährig beschäftigte Key-Account-Managerin wechselt nach über zehn Jahren Betriebszugehörigkeit in ein anderes Unternehmen. Einige Wochen vor ihrem Ausscheiden stellt die IT-Abteilung fest, dass sie mehrere E-Mails mit Kundendaten an ihre private E-Mail-Adresse weitergeleitet hat. Darunter befinden sich auch Excel-Listen mit den Kontaktdaten wichtiger Kunden, inklusive Umsatzvolumen und interner Rabattabsprachen.
Der Arbeitgeber reagiert drastisch und spricht eine fristlose Kündigung aus, obwohl bereits eine einvernehmliche Beendigung des Arbeitsverhältnisses zu einem späteren Zeitpunkt vereinbart worden war. Begründet wird dies mit einem „schweren Datenschutzverstoß“ und der Gefahr, dass die Daten beim neuen Arbeitgeber verwendet werden könnten. Eine vorherige Abmahnung gab es nicht. Die Mitarbeiterin bestreitet, die Daten missbräuchlich verwenden zu wollen; sie habe lediglich ihre eigenen Unterlagen sichern wollen und sei sich der Tragweite nicht bewusst gewesen.
Juristisch wird man zunächst anerkennen, dass die Weiterleitung sensibler Kundenlisten auf private Accounts grundsätzlich eine gravierende Pflichtverletzung darstellen kann.[2] Die Daten enthalten geschäftskritische Informationen und unterliegen dem Schutz sowohl datenschutzrechtlicher als auch vertraglicher Geheimhaltungspflichten. Dass die Mitarbeiterin diese Informationen außerhalb der geschützten IT-Umgebung des Arbeitgebers speichert, schafft erhebliche Risiken – etwa durch unzureichend gesicherte private Endgeräte.
Die Frage ist jedoch, ob in diesem konkreten Fall eine fristlose Kündigung ohne Abmahnung tatsächlich verhältnismäßig ist. Zu berücksichtigen ist, dass die Mitarbeiterin langjährig beschäftigt und zuvor nicht auffällig geworden ist. Auch ist offen, ob es im Unternehmen klare Richtlinien und Schulungen zu diesem Thema gab und ob die Weiterleitung sensibler Daten an private E-Mail-Konten ausdrücklich untersagt wurde. Ist dies nicht der Fall, könnte man argumentieren, dass der Arbeitgeber seine Organisations- und Hinweispflichten nicht ausreichend erfüllt hat.
Ein Gericht würde eine Interessenabwägung vornehmen. Auf der einen Seite steht das gewichtige Interesse des Arbeitgebers, seine Kundendaten und Geschäftsgeheimnisse zu schützen und Datenschutzverstöße konsequent zu sanktionieren. Auf der anderen Seite stehen die lange Betriebszugehörigkeit, der bisherige störungsfreie Verlauf des Arbeitsverhältnisses und die Möglichkeit milderer Mittel. Eine Abmahnung, kombiniert mit der Aufforderung, alle Daten zu löschen und eidesstattlich zu versichern, dass keine Kopien mehr existieren, hätte hier als Reaktion durchaus nahegelegen.
Je nach genauer Ausgestaltung der IT-Richtlinien, der Art der Daten und der Kommunikationspraxis im Unternehmen kann das Pendel daher unterschiedlich ausschlagen. In vielen Fällen werden Gerichte eher dazu neigen, bei einem erstmaligen Verstoß ohne erkennbar missbräuchliche Absicht eine Abmahnung für ausreichend zu halten. Die fristlose Kündigung könnte dann unwirksam sein. Gleichzeitig bleibt bestehen, dass das Verhalten an sich schwerwiegend ist und in Wiederholungsfällen sehr wohl eine Kündigung – bis hin zur fristlosen – rechtfertigen kann.
Dieses Beispiel zeigt, wie eng Datenschutz und klassische arbeitsrechtliche Kategorien verzahnt sind. Nicht jeder objektiv vorhandene Datenschutzverstoß trägt ohne Weiteres eine Kündigung. Entscheidend ist stets der konkrete Einzelfall mit allen Umständen, insbesondere der Verschuldensgrad, die Klarheit der Regeln und mögliche Alternativen zur sofortigen Beendigung des Arbeitsverhältnisses.
6. Praxisbeispiel 2: Fristlose Kündigung wegen exzessiver privater Internet- und Streamingnutzung
In einem anderen Fall arbeitet ein IT‑Mitarbeiter in einer internen Supportabteilung. Sein Arbeitgeber stellt ihm einen leistungsfähigen Bürorechner zur Verfügung, mit dem er während der Arbeitszeit Supporttickets bearbeiten und Systeme überwachen soll. Im Unternehmen existiert eine allgemeine IT-Richtlinie, die zwar auf „primär dienstliche Nutzung“ hinweist, private Nutzung jedoch „im Rahmen des Zumutbaren“ erlaubt, ohne dies näher zu definieren. Konkrete Schulungen oder Unterschriftsbestätigungen zu dieser Richtlinie gab es nicht.
Im Rahmen einer Serverumstellung fällt auf, dass die Internetverbindung bestimmter Arbeitsplätze über längere Zeiträume stark ausgelastet ist. Die IT wertet daraufhin Verbindungsprotokolle aus und stellt fest, dass der betroffene Mitarbeiter während seiner Arbeitszeit regelmäßig Streaming-Dienste für Filme und Serien genutzt hat. Teilweise laufen die Streams über Stunden, während gleichzeitig seine Ticketbearbeitungsquote deutlich niedriger ist als die seiner Kollegen. Eine vorherige Ermahnung oder Abmahnung gab es nicht.
Der Arbeitgeber kündigt daraufhin fristlos wegen exzessiver privater Internetnutzung, Arbeitszeitbetrugs und Missachtung der IT-Richtlinie. Der Mitarbeiter wehrt sich mit dem Argument, private Nutzung sei geduldet, andere Kollegen würden ebenfalls privat surfen und er sei nie auf ein Verbot oder eine Begrenzung hingewiesen worden.
Aus arbeitsrechtlicher Sicht liegt zunächst eine Pflichtverletzung nahe. Selbst wenn private Nutzung grundsätzlich gestattet ist, darf sie nicht in einem Umfang erfolgen, der die arbeitsvertraglich geschuldete Leistung erheblich beeinträchtigt. Stundenlanges Streaming während der Arbeitszeit, das sich nachweisbar in der Produktivität niederschlägt, überschreitet den üblichen Rahmen deutlich. Auch der erhebliche Ressourcenverbrauch kann ein relevantes Kriterium sein, insbesondere wenn dadurch Systeme verlangsamt oder andere Prozesse gestört werden.
Fraglich ist jedoch, ob sofort eine fristlose Kündigung gerechtfertigt ist oder ob nicht zunächst eine Abmahnung erforderlich gewesen wäre. Hier spielen mehrere Aspekte zusammen. Zum einen der Umstand, dass die IT-Richtlinie unklar formuliert ist und konkrete Grenzen („nicht mehr als kurze Abrufe in Pausen“, „kein Streaming während der Arbeitszeit“) fehlen. Zum anderen die fehlende Dokumentation, ob und wie diese Richtlinie den Mitarbeitern kommuniziert wurde. Schließlich dürfte es für die Beurteilung relevant sein, ob das Verhalten des Mitarbeiters ein Einzelfall ist oder ob im Betrieb allgemein lax mit privater Internetnutzung umgegangen wird.
Ein Gericht könnte zu dem Ergebnis gelangen, dass zwar eine erhebliche Pflichtverletzung vorliegt, diese aber angesichts der unklaren Regelung und fehlender vorheriger Abmahnung nicht ohne Weiteres eine fristlose Kündigung trägt. Denkbar wäre etwa, die fristlose Kündigung in eine ordentliche Kündigung „umzudeuten“ oder sie insgesamt für unwirksam zu erklären, wenn der Arbeitgeber exzessive Nutzung zuvor nicht deutlich sanktioniert hat. Stehen dem hingegen konkrete Hinweise gegenüber, dass der Mitarbeiter bewusst und trotz Ermahnung die Streamingnutzung verschleiert hat, könnte dies die Position des Arbeitgebers stärken.
Das Beispiel zeigt, wie wichtig klare, verständliche und gelebte IT-Regelungen sind. Nur wenn Mitarbeiter wissen, was erlaubt und was verboten ist, lässt sich bei Verstößen rechtssicher reagieren. Vage Formulierungen und fehlende Schulungen öffnen dagegen Tür und Tor für Streitigkeiten über angeblich „exzessive“ Nutzung und die Frage, ob eine Kündigung tatsächlich verhältnismäßig war – oder ob nicht andere Motive im Hintergrund stehen.
7. Was Arbeitgeber tun sollten
Um wirksam und zugleich rechtssicher auf Datenschutz- und IT-Verstöße reagieren zu können, brauchen Arbeitgeber ein sauberes Fundament. Dazu zählen klare schriftliche Richtlinien zur IT- und Internetnutzung, zur Nutzung privater Endgeräte (Bring your own Device) und zum Umgang mit personenbezogenen Daten. Diese Regeln sollten mit dem Betriebsrat abgestimmt und den Mitarbeitern nachweisbar bekannt gemacht werden.
Darüber hinaus sind regelmäßige Schulungen sinnvoll, in denen sowohl die datenschutzrechtlichen Grundlagen als auch praktische Anwendungsfälle erläutert werden. Nur wer weiß, dass die Weiterleitung von Kundendaten an private E-Mail-Konten unzulässig ist und warum, kann sein Verhalten entsprechend anpassen. Technische Maßnahmen wie rollenbasierte Zugriffskonzepte, Logging und abgestufte Freigaben können helfen, Risiken zu minimieren, dürfen aber nicht heimlich oder ohne Beachtung der Mitbestimmungsrechte eingeführt werden.
Kommt es dennoch zu Verstößen, sollte der Arbeitgeber strukturiert vorgehen: sorgfältige Sachverhaltsaufklärung, Dokumentation, Anhörung des Mitarbeiters und Prüfung milderer Mittel. Sofortige fristlose Kündigungen „aus dem Bauch heraus“ sind rechtlich riskant und erhöhen die Gefahr, dass Gerichte sie später kassieren.
8. Was Arbeitnehmer beachten sollten
Beschäftigte sind gut beraten, sich mit den im Unternehmen geltenden Richtlinien vertraut zu machen. Wer weiß, welche Regeln zur Nutzung von E-Mails, Internet, Cloud-Diensten und privaten Geräten gelten, kann Konflikten besser vorbeugen. Im Zweifel sollten Mitarbeiter nachfragen, statt „auf eigene Faust“ sensible Daten zu verschieben oder IT-Systeme zweckzuentfremden.
Besonders vorsichtig ist bei personenbezogenen Daten Dritter, Geschäftsgeheimnissen und vertraulichen Dokumenten zu sein. Solche Informationen sollten nur auf freigegebenen, ausreichend gesicherten Systemen des Arbeitgebers verarbeitet werden. Die Weiterleitung an private E-Mail-Konten, das Speichern auf privaten USB-Sticks oder in privaten Cloudspeichern ist in aller Regel ein hohes Risiko – rechtlich wie tatsächlich.
Geraten Arbeitnehmer mit einem angeblichen Datenschutz- oder IT-Verstoß in Konflikt, sollten sie frühzeitig rechtlichen Rat einholen, insbesondere wenn eine Abmahnung oder Kündigung im Raum steht. Nicht jeder Vorwurf ist berechtigt, und nicht jede Kündigung hält einer gerichtlichen Überprüfung stand. Gerade wenn der Eindruck entsteht, dass Datenschutz oder IT-Nutzung nur vorgeschoben sind, lohnt sich eine genaue Prüfung.
9. Fazit: Moderne Kündigungsgründe brauchen saubere Argumentation
Datenschutzverstöße und IT-Fehlverhalten sind typische moderne Kündigungsgründe. Sie können im Einzelfall schwerwiegend sein und durchaus eine (auch fristlose) Kündigung tragen. Gleichzeitig sind sie fehleranfällig, wenn sie nur pauschal behauptet werden oder wenn Arbeitgeber ihre eigenen Pflichten zur Organisation, Information und Schulung vernachlässigen.
Ob eine Kündigung wegen Datenschutzverstoß oder IT-Nutzung wirksam ist, hängt immer von den Umständen des Einzelfalls ab. Schwere, Verschulden, klare Regeln, gelebte Praxis und die Verhältnismäßigkeit der Reaktion spielen eine entscheidende Rolle. Dort, wo diese Elemente fehlen oder widersprüchlich sind, ist der Verdacht eines vorgeschobenen Kündigungsgrundes nicht fern – und die Erfolgsaussichten einer arbeitsgerichtlichen Klage können entsprechend gut sein.
