Skip to content

EU-Kommission: Entwurf für EU Cyber Resilience Act vorgelegt - Vorschriften zur Cybersicherheit von Produkten mit digitalen Elementen

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.



Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "Daten weg - wer muss informiert werden"

In Ausgabe 5/22 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Daten weg - wer muss informiert werden" zu den Informationspflichten von Unternehmen bei einer Datenpanne oder einem Cyberangriff.

In Heft 5/22 der com! professional - Interview mit Rechtsanwalt Marcus Beckmann zum IT-Sicherheit und Cyberversicherungen

In Ausgabe 5/22, S.60 der Zeitschrift com! professional erschien im Rahmen des Beitrags "Elementarschutz des 21. Jahrhunderts - Die Firma für den Ernstfall absichern" von Konstantin Pfliege ein Interview mit Rechtsanwalt Marcus Beckmann zum Thema IT-Sicherheit und Cyberversicherungen.

Bundesrat: Gesetzentwurf zur Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme - Digitaler Hausfriedensbruch

Der Bundesrat hat den Entwurf eines Strafrechtsänderungsgesetzes zur Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme - Digitaler Hausfriedensbruch vorgelegt.

Aus dem Entwurf:

Zur Erreichung eines angemessenen Schutzniveaus für die Vertraulichkeit und Integrität informationstechnischer Systeme sollen die Rechtsgedanken des § 123 StGB und des § 248b StGB in die digitale Welt übertragen und ein neuer § 202e StGB geschaffen werden. Mit der neuen Vorschrift soll die unbefugte Benutzung informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme sind mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche Benutzungsrecht an Fahrzeugen. Derzeit sind sogar Fahrräder besser geschützt als Computer mit höchstpersönlichen Daten. Die Gefahr für die Allgemeinheit, die von unbefugt genutzten informationstechnischen Systemen ausgeht, ist, wie oben dargelegt, hoch.

Damit kann ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten sichergestellt werden, denn die Infiltration von Computern und Cyberangriffe jeder Art beinhalten als Teilkomponente regelmäßig die Fernsteuerung, also das Beeinflussen oder Auslösen von informationstechnischen Vorgängen durch Dritte.

Die Formulierung des § 202e StGB-E ist technikoffen, was zu einer guten praktischen Handhabbarkeit führen und Beweis- und Abgrenzungsschwierigkeiten vermeiden soll. Technische Zufälle in der Konfiguration der Opfersysteme sollen zukünftig keine Rolle mehr spielen.


IT-Sicherheitsgesetz 2.0 im Bundesgesetzblatt veröffentlicht und am 28.05.2021 in Kraft getreten - Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-SiG 2.0

Das IT-Sicherheitsgesetz 2.0 wurde im Bundesgesetzblatt veröffentlicht und ist am 28.05.2021 in Kraft getreten:

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)


BMI: Stand 19.11.2020 - Neuer Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0

Es liegt eine neue Version - Stand 19.11.2020 - des Referentenentwurfes eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.

Sie finden den Entwurf hier:
Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) - Stand 19.11.2020


BMI: Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0

Es liegt der Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.

Sie finden den Entwurf hier:
Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0


ArbG Siegburg: Missbrauch von Kundendaten durch IT-Mitarbeiter rechtfertigt fristlose Kündigung des Arbeitsverhältnisses

ArbG Siegburg
Urteil vom 15.01.2020
3 Ca 1793/19


Das ArbG Siegburg hat entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war seit 2011 bei der Beklagten als SAP-Berater tätig. Der Kläger bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt am 26.08.2019 eine fristlose Kündigung. Er erhob dagegen Kündigungsschutzklage.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung der 3. Kammer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Arbeitsgericht Siegburg – Aktenzeichen 3 Ca 1793/19 vom 15.01.2020.

BSI veröffentlicht Lagebericht zur IT-Sicherheit in Deutschland 2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Lagebericht zur IT-Sicherheit in Deutschland 2017 veröffentlicht.

Den vollständigen Lagebericht finden Sie hier:
BSI - Die Lage der IT-Sicherheit in Deutschland 2017

Die Pressemitteilung des BSI:

Die Lage der IT-Sicherheit in Deutschland 2017

Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.

Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger.

Die Cyber-Angriffe mit Erpressungs-Software (Ransomware) oder gezielte Angriffe auf den "Faktor Mensch" (CEO-Fraud) haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Das BSI arbeitet mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen und die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen .


BSI: Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes

Das BSI hat den Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes veröffentlicht.

BSI veröffentlicht Entwurf des neuen Risikomanagement-Standards

Im Rahmen des 3. IT-Grundschutz-Tags 2016 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der IT-Sicherheitsmesse it-sa in Nürnberg den ersten neuen BSI-Standard vorgestellt, der aus dem Modernisierungsprozess des IT-Grundschutzes hervorgegangen ist.

In dem neuen Risikomanagement-Standard 200-3 sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt in einem Dokument dargestellt. Anwender können dadurch mit einem deutlich reduzierten Aufwand das angestrebte Sicherheitsniveau erreichen. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt.

Der neue Standard wird zunächst als Community Draft veröffentlicht, damit auch Anwender ihre Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen können. Er bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Hierzu erklärt Arne Schönbohm, Präsident des BSI: "Infolge der Digitalisierung nimmt die Komplexität der IT und damit auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von IT stetig zu. Cyber-Sicherheit und ein umfassendes Risikomanagement sind entscheidende Kriterien für eine erfolgreiche Digitalisierung, insbesondere in Verwaltung und Wirtschaft. Der IT-Grundschutz und der neue BSI-Standard zum Risikomanagement sind eine wichtige Grundlage, um Gefährdungspotentiale zu untersuchen, realistisch zu bewerten und mögliche Risiken angemessen zu behandeln. Dazu gehört, einen soliden Prozess zur Risikoentscheidung aufzusetzen."



FG Baden-Württemberg: ELSTER ist sicher - Pflicht zur elektronischen Datenübermittlung an das Finanzamt kann nicht aufgrund von Datenschutzbedenken verweigert werden

FG Baden-Württemberg
Urteil vom 23.03.2016
7 K 3192/15


Das FG Baden-Württemberg hat entschieden, dass die Pflicht zur elektronischen Datenübermittlung an das Finanzamt nicht aufgrund von Datenschutzbedenken verweigert werden. Die Software ELSTER ist - so das Gericht - ausreichend sicher.

Aus den Entscheidungsgründen:

"Sie können insbesondere nicht aus allgemeinen Bedenken gegen die Sicherheit der von § 25 Abs. 4 Satz 1 EStG vorgeschriebenen elektronischen Übermittlung nach amtlich vorgeschriebenem Datensatz durch eine Datenübertragung hergeleitet werden (BFH-Urteil vom 14. März 2012 XI R 33/09, BStBl II 2012, 477 m.w.N.; BFH-Beschluss vom 15. Dezember 2015 V B 102/15 - juris-; Urteil des Finanzgerichts Bremen vom 26. Juni 2014 2 K 12/14 (2), DStRE 2015, 612; Urteil des Finanzgerichts Rheinland-Pfalz vom 15. Juli 2015 1 K 2204/13, BB 2015, 2134).

Die von den Kl abstrakt geäußerten Bedenken gegen das Medium des Internets und seiner Gefahren in Bezug auf eine (ungeschützte) Datenübermittlung unter Benennung der NSA-Affäre, der Person des Edward Snowden oder des BSI wegen einer Gefahr für Internetnutzer sind nicht geeignet, an diesem Befund etwas zu ändern. Den Kl darf insoweit abverlangt werden, ein befürchtetes „Datenausspähen“ auf ihrem Rechner durch geeignete, handelsübliche Sicherheitssoftware zu unterbinden. Soweit sie der Auffassung sein sollten, dass die Datenübermittlung über die kostenlose Software „ELSTERBASIS“, die nur den Sicherheitsstandard „hoch“ trage (während die gebührenpflichtigen Versionen „ELSTERSPEZIAL“ und „ELSTERPLUS“ den Sicherheitsstandard „sehr hoch“ trügen), ihnen zu unsicher sei, schließt sich der erkennende Senat diesen Bedenken nicht an. Das kostenlose Produkt „ELSTERBASIS“ wurde vom BSI zertifiziert und gewährleistet ein hinreichendes Maß an Datensicherheit. Es bleibt den Kl jedoch unbenommen, zur Erhöhung der individuell empfundenen Datensicherheit auf die kostenpflichtigen Produkte „ELSTERSPEZIAL“ und „ELSTERPLUS“ zurückzugreifen. Konkrete Sicherheitslücken bei der Datenfernübertragung haben die Kl nicht vorgebracht und sind auch weder dem Bekl noch dem Gericht bekannt.

Ferner ist eine von den Kl angedachte Datenübermittlung mittels eines Datenträgers, sei es in Form einer CD oder eines USB-Sticks, als Zwischenform zur elektronischen Datenübermittlung nicht zulässig, weil dies durch die Steuergesetze weder vorgesehen noch verfassungsrechtlich geboten ist (BFH-Urteil vom 17. August 2015 I B 133/14, BFH/NV 2016, 72).

Im Übrigen verweist der erkennende Senat - zur Vermeidung von Wiederholungen - auf die zutreffenden detaillierten Ausführungen in der Einspruchsentscheidung des Bekl vom 04. August 2015, die sich mit den technischen Übertragungsparametern des ELSTER-Verfahrens auseinandersetzen.



Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz: Unbewusste Installation von Schadsoftware beim privaten Herunterladen von Software am Arbeitsplatz rechtfertigt fristlose Kündigung

LAG Rheinland-Pfalz
Urteil vom 12.11.2015
5 Sa 10/15


Das LAG Rheinland-Pfalz hat entschieden, dass die unbewusste Installation von Schadsoftware beim privaten Herunterladen von Software am Arbeitsplatz eine fristlose Kündigung rechtfertigt.

Aus den Entscheidungsgründen:

"Zur Frage, wann bei einer vom Arbeitgeber nicht erlaubten privaten Nutzung des Internets oder des Dienst-PCs eine kündigungsrelevante Verletzung der arbeitsvertraglichen Pflichten vorliegt, sind in der Rechtsprechung des Bundesarbeitsgerichts sowohl im Zusammenhang mit ordentlichen als auch mit außerordentlichen Kündigungen verschiedene Fallgestaltungen skizziert worden (vgl. BAG 31.05.2007 - 2 AZR 200/06 - Rn. 19 mwN, NZA 2007, 923). Eine Verletzung der arbeitsvertraglichen Leistungspflicht sowie anderer vertraglicher Nebenpflichten kann sich bei der privaten Nutzung des Internets jedoch auch aus anderen Umständen ergeben.

bb) Das Verhalten des Klägers rechtfertigt eine außerordentliche Kündigung. Unter Berücksichtigung des gesamten Inhalts der mündlichen Verhandlungen und des Ergebnisses der zweitinstanzlichen Beweisaufnahme steht für die Berufungskammer gem. § 286 ZPO zweifelsfrei fest, dass der Kläger seine arbeitsvertraglichen Pflichten in erheblicher Weise verletzt hat, weil er am 03.04.2014 um 8:08 Uhr unter seinem Benutzeraccount zu privaten Zwecken eine Software, die zum Verkleinern und Konvertieren von Audiodateien geeignet ist ("Audiograbber" = "agsetup 183se"), auf seinem Dienst-PC installiert hat, obwohl ihm dies verboten war. In dieser Software verbarg sich ein Computervirus, der zur Installation der Schadsoftware "best-markit" und "Protegere" geführt hat. Der Kläger hat diese Schadsoftware bewusst heruntergeladen und installiert, weil er die Warnungen des Virenscanners willentlich übergangen ("weggedrückt") haben muss. Die Software "Protegere" hat dann weitere Schadsoftware, mindestens einen Backdoor-Virus, auf dem infizierten Rechner nachgeladen, der den unbefugten Zugriff von außerhalb des Netzwerks über das Internet und dadurch ggf. einen unkontrollierten Datenabfluss ermöglicht.

Der Zeuge E., der als externer EDV-Systembetreuer für die Beklagte tätig ist, hat bei seiner zweitinstanzlichen Vernehmung diesen von der Beklagten zur Begründung der fristlosen Kündigung vorgebrachten Sachverhalt in jeder Hinsicht glaubhaft geschildert. Die Berufungskammer hält den Zeugen nach dem persönlichen Eindruck für glaubwürdig. Seine Aussage war in sich stimmig und widerspruchsfrei sowie für die - sachverständig beratene - Berufungskammer plausibel nachvollziehbar. Der Zeuge hat ausgesagt, dass der Kläger unter seinem Benutzeraccount am 03.04.2014, um 8:08 Uhr, das Programm "best-markit" und das Programm "Protegere" aus dem Internet heruntergeladen und auf seinem Dienst-PC installiert habe. Er könne anhand des Internet-Protokolls erkennen, auf welcher Seite sich der Kläger bewegt und welche Downloads er ausgeführt habe. Von diesem Protokoll habe er den relevanten Zeitraum als Screenshot herauskopiert. Der Kläger habe das Programm "Audiograbber" gesucht, das sich unter dem Namen "agsetup 183se" verberge. Diese Software werde benutzt, um Audiodateien zu verkleinern und zu konvertieren. Der Kläger habe dieses Programm, das ihm [dem Zeugen] verdächtig klein erscheine, zunächst heruntergeladen. Darin sei wahrscheinlich der Virus enthalten gewesen, der am 03.04.2014 zur Installation der Schadsoftware "Protegere" geführt habe. Der Kläger müsse die Installation von "Protegere" von Hand angestoßen und auch bestätigt haben. "Protegere" habe dann mehrere andere Schadprogramme nachgeladen. Am 15.04.2014 habe er einen Virenscan durchgeführt, der diverse Bedrohungen angezeigt habe. Durch die Installation des Programms "Audiograbber" hätten sich, sozusagen als "Rattenschwanz", die Schadprogramme installiert. Der Kläger habe die Software "bewusst" geladen und installiert, weil er die Warnungen des Virenscanners übergangen haben müsse. Bei einem funktionierenden Virenscanner sei extra zu bestätigen, dass eine Aktion - trotz Warnung über eine potentielle Bedrohung - durchgeführt werden soll.

Es besteht kein Anhaltspunkt für die Annahme des Klägers, der Zeuge selbst oder der Geschäftsführer der Beklagten habe die Software heimlich - unter seinem Benutzeraccount und mit seinem Passwort - installiert. Der Zeuge E. hat in seiner Vernehmung glaubhaft bekundet, dass er das Programm "Audiograbber" zu keinem Zeitpunkt installiert habe. Dieses Programm sei im Betrieb der Beklagten nicht erforderlich. Auch der Geschäftsführer der Beklagten hat im Rahmen seiner förmlichen Parteivernehmung glaubhaft versichert, dass er zu keinem Zeitpunkt "irgendetwas am Rechner des Klägers gemacht" habe. Zwar hat der Kläger im Rahmen seiner förmlichen Parteivernehmung behauptet, dass er weder die Software "Audiograbber" noch "best-markit" noch "Protegere" heruntergeladen habe. Diese Angaben haben die Berufungskammer vor dem Hintergrund der Aussage des Zeugen E. jedoch nicht überzeugt. Die Berufungskammer schenkt der Aussage des Zeugen mehr Glauben als derjenigen des Klägers.

cc) Die Beklagte durfte in der mündlichen Berufungsverhandlung noch den ihr erst in der zweitinstanzlichen Beweisaufnahme bekannt gewordenen Umstand als Kündigungsgrund nachschieben, dass der Kläger bei der Installation der Software die Warnungen des Virenscanners bewusst übergangen haben muss. Es ist auch unschädlich, dass sie ihren laienhaften Sachvortrag zu EDV-technischen Vorgängen im Verlauf des Rechtsstreits präzisiert hat. Nach der ständigen Rechtsprechung des BAG und der herrschenden Meinung in der Literatur können Kündigungsgründe, die dem Kündigenden bei Ausspruch der Kündigung noch nicht bekannt waren, uneingeschränkt nachgeschoben werden, wenn sie bereits vor Ausspruch der Kündigung entstanden sind (vgl. BAG 23.05.2013 - 2 AZR 102/12 - Rn. 25, NZA 2013, 1416; BAG 06.09.2007 - 2 AZR 264/06 - Rn. 21, NZA 2008, 636). So liegt es hier. § 626 Abs. 2 Satz 1 BGB steht der Berücksichtigung nachgeschobener Tatsachen nicht entgegen. Neu bekannt gewordene, bei Kündigungsausspruch objektiv aber bereits gegebene Gründe können noch nach Ablauf der Zweiwochenfrist in den Prozess eingeführt werden (vgl. BAG 23.05.2013 - 2 AZR 102/12 - Rn. 33 mwN, aaO).

dd) Eine Abmahnung des Klägers war nach den Umständen des vorliegenden Falls entbehrlich.

Zwar gilt das durch § 314 Abs. 2 BGB konkretisierte Erfordernis einer Abmahnung grundsätzlich auch bei Störungen im Vertrauensbereich. Die Abmahnung ist aber, wie § 314 Abs. 2 Satz 2 BGB iVm. § 323 Abs. 2 BGB zeigt, unter besonderen Umständen entbehrlich. Das ist ua. der Fall, wenn es sich um eine so schwere Pflichtverletzung handelt, dass die Hinnahme durch den Arbeitgeber offensichtlich - für den Arbeitnehmer erkennbar - ausgeschlossen ist (vgl. BAG 25.10.2012 - 2 AZR 495/11 - Rn. 15 mwN, NZA 2013, 319).

Danach war eine Abmahnung entbehrlich. Es bedurfte keiner Klarstellung der vertraglichen Pflichten. Der Kläger konnte keinesfalls damit rechnen, dass die Beklagte die Installation von Schadsoftware billigen oder ihr lediglich mit einer Abmahnung begegnen würde, zumal sie ihn in einem Jahr dreimal datenschutzrechtlich geschult hatte. Die private Nutzung des Internets war dem Kläger unstreitig verboten. Es kann ihn nicht entlasten, dass er einmal im Auftrag des Geschäftsführers der Beklagten ein Zubehörteil auf eBay bestellt hat. Auch das private Surfen im Internet, das - nach seinem Vortrag - von nahezu sämtlichen Mitarbeitern in der Mittagspause praktiziert worden sein soll, ist mit dem Fehlverhalten des Klägers nicht vergleichbar. Das Gefährdungsrisiko beim Installieren sog. Free- oder Shareware aus unbekannten Quellen ist wesentlich höher als das normale Surfen im Internet auf bekannten Seiten (zB. eBay). Im Übrigen hat die Beweisaufnahme ergeben, dass der Kläger den Warnhinweis des Virenscanners ignoriert, dh. bewusst "weggedrückt" haben muss, um die Software auf den Dienst-PC installieren zu können. Damit handelte er besonders verantwortungslos.

ee) Der Beklagten war es unter Beachtung der Besonderheiten des Einzelfalls und der gebotenen Abwägung der Interessen beider Vertragsteile nicht zuzumuten, das Arbeitsverhältnis noch bis zum Ablauf der Kündigungsfrist am 31.05.2014 fortzusetzen.

Zu Gunsten des 45-Jährigen, ledigen Klägers spricht seine Unterhaltspflicht gegenüber einem Kind. Allerdings war er im Zeitpunkt des Kündigungsausspruchs erst ein Jahr bei der Beklagten beschäftigt, so dass er keinen nennenswerten sozialen Besitzstand erworben hat. Da er von Beruf staatlich geprüfter Elektrotechniker ist, dürfte es ihm auf dem Arbeitsmarkt schnell gelingen, eine neue Beschäftigung zu finden. Die für die Fortsetzung des Arbeitsverhältnisses erforderliche Vertrauensgrundlage war unwiederbringlich zerstört. Die Beklagte betreibt ein kriminaltechnisches Sachverständigenbüro und fertigt Gutachten für Versicherungen, Staatsanwaltschaften und Gerichte. Ihr Betrieb muss daher hohen datenschutzrechtlichen Anforderungen genügen. Die Beklagte konnte sich nicht (mehr) darauf verlassen, dass der Kläger der Sicherheit ihres EDV-Systems gegenüber seinen privaten Interessen absolute Priorität einräumt. Es kann den Kläger nicht entlasten, dass er den Zeugen E. von sich aus über einen Befall des Dienst-PC mit aggressiven Werbeeinblendungen unterrichtet hat, denn die Installation der Software am 03.04.2014 hat er ihm - trotz Nachfrage - verschwiegen.

b) Die Beklagte hat die Zweiwochenfrist des § 626 Abs. 2 BGB gewahrt.

Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. Im Streitfall begann die Frist nicht vor dem 14.04.2014. An diesem Tag hat der Zeuge E. den Geschäftsführer der Beklagten darüber unterrichtet, dass der Dienst-PC des Klägers, infolge der Installation von infizierter Software zu privaten Zwecken, von Schadsoftware, ua. von einem Backdoor-Virus, befallen war. Die Kündigung ist dem Kläger am 25.04.2015 und damit rechtzeitig zugestellt worden.

Entgegen der Ansicht des Klägers begann die Zweiwochenfrist nicht bereits am 08.04.2014. An diesem Tag hat er den externen EDV-Dienstleister telefonisch (nur) über lästige Werbeeinblendungen unterrichtet. Derartige Werbeeinblendungen können mannigfache Ursachen haben. Die ausdrückliche Frage des Zeugen E., ob er Programme installiert habe, hat der Kläger verneint. Nach den Umständen bestand für den Zeugen am 08.04.2014 noch kein Anlass, den Geschäftsführer zu unterrichten. Es braucht daher nicht geklärt zu werden, ob der Zeuge E. zu den Personen gehört, deren Kenntnis sich der Geschäftsführer der Beklagten zurechnen lassen müsste."



Den Volltext der Entscheidung finden Sie hier:

Vortrag als PDF - CeBIT-Vortrag - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder

Wir möchten uns ganz herzlich bei den zahlreichen Zuhörern unseres Vortrags "Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" auf der diesjährigen CeBIT am 16.03.2015 bedanken.

Unsere Vortragspräsentation können Sie hier als PDF-Datei downloaden: Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder.

Zudem finden Sie den Vortrag auch bei Slideshare: http://de.slideshare.net/marcusbeckmann1973



CeBIT-Vortrag von RA Beckmann - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder - 16.03.2015

" Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" lautet der Titel des Vortrags von Rechtsanwalt Marcus Beckmann am 16.03.2015 - 11.10 Uhr auf der CeBIT in Hannover Halle 5, Stand D04 ( Mittelstandslounge: „Digitalisierung von A-Z“).

Weitere Informationen zur Veranstaltung finden Sie auf den Seiten der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT) sowie auf der CeBIT-Seite .

Sie haben Interesse an einem persönlichen Gespräch auf der CeBIT ? Senden Sie uns einfach eine kurze Mail (info@beckmannundnorda.de) mit Ihren Terminvorschlägen. Rechtsanwalt Marcus Beckmann steht am 16.03.2015 gerne für ein persönliches Treffen zur Verfügung.