Es kommt immer wieder vor, dass Beschäftigte dienstliche E-Mails an ihren privaten E-Mail-Account weiterleiten. Erlaubt ist dies jedoch keinesfalls. Ein solcher Verstoß kann schwerwiegende Folgen haben, wie ein Vorstandsmitglied einer Aktiengesellschaft schmerzlich erfahren musste (Urteil des OLG München vom 31. Juli 2024 Az.: 7 U 351/23).
Der Vorfall
Ein Vorstandsmitglied einer Aktiengesellschaft leitete über einen längeren Zeitraum betriebsinterne und teils vertrauliche E-Mails, die Informationen über Gehälter, Provisionsabrechnungen und Unternehmensvorgänge enthielten, an seinen privaten E-Mail-Account weiter. Dafür setzte das Vorstandsmitglied seine private E-Mail-Adresse in CC, so dass die Weiterleitung für andere Empfänger der E-Mails erkennbar war.
Als der Aufsichtsrat von diesem Verhalten erfuhr, sprach er die fristlose Kündigung des Vorstandsmitglieds aus.
Das Urteil
Das Oberlandesgericht (OLG) München bestätigte mit Urteil vom 31. Juli 2024 die Rechtmäßigkeit der fristlosen Kündigung. Es stellte fest, dass die Weiterleitung dienstlicher E-Mails an den privaten Account einen Verstoß gegen die EU-Datenschutz-Grundverordnung (DSGVO) darstellt und somit einen wichtigen Grund im Sinne des § 626 Abs. 1 Bürgerliches Gesetzbuch (BGB) für eine fristlose Kündigung bildet.
Zwar sah das Gericht keinen Verstoß gegen die aktienrechtliche Verschwiegenheitspflicht gemäß § 93 Abs. 1 Satz 3 Aktiengesetz (AktG), da keine Geschäftsgeheimnisse an Dritte weitergegeben wurden. Dennoch verletzte das Vorstandsmitglied seine Sorgfaltspflicht aus § 91 Abs. 1 Satz 1 AktG, die eine rechtmäßige Unternehmensführung fordert.
Die Weiterleitung personenbezogener Daten, insbesondere sensibler Informationen wie Gehälter und Provisionsabrechnungen, an private E-Mail-Accounts stellt eine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dar. Im vorliegenden Fall war diese Weiterleitung weder durch eine Einwilligung der betroffenen Personen gedeckt (Art. 6 Abs. 1 lit. a) DSGVO) noch zur Wahrung der berechtigten Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit. f) DSGVO).
Der Kläger argumentierte, er habe vorsorglich Unterlagen zusammenstellen wollen, um sich gegen etwaige Haftungsansprüche der Aktiengesellschaft wehren zu können. Das Gericht stellte in seiner Begründung jedoch fest, solange der Kläger noch als Vorstand tätig war, hatte er uneingeschränkten Zugriff auf die relevanten Unterlagen der Gesellschaft. Nach seiner Abberufung hätte er zudem gemäß § 810 BGB ein gesetzliches Einsichtsrecht, falls er die Dokumente für seine Verteidigung benötigt. Zudem bestehe keine Gefahr, dass wichtige Unterlagen verloren gehen oder vernichtet werden, da die Aktiengesellschaft handels- und steuerrechtlichen Aufbewahrungspflichten unterliegt.
Im Ergebnis waren die Weiterleitung und die Speicherung somit rechtswidrig. Solche Handlungen gefährden zudem die Vertraulichkeit und Sicherheit der Daten und können zu unbefugten Zugriffen führen. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Schutz personenbezogener Daten zu gewährleisten. Mitarbeiter, insbesondere in Führungspositionen, müssen sich dieser Verantwortung bewusst sein und entsprechende Richtlinien strikt einhalten.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Datenschutzrechtliche Einschätzung
Dieses Urteil unterstreicht die Bedeutung des sorgsamen Umgangs mit vertraulichen Unternehmensdaten. Arbeitnehmer sollten sich bewusst sein, dass die Weiterleitung dienstlicher E-Mails an private Accounts im Normalfall einen ernsten Datenschutzverstoß darstellt. Je nach Umständen des Einzelfalls kann das auch zur Kündigung des Arbeitsverhältnisses führen.
Im Gegensatz zu einem Vorstandsmitglied muss der Arbeitgeber bei einem regulären Arbeitnehmer jedoch stets prüfen, ob eine Abmahnung als mildere Maßnahme ausreicht. Insbesondere bei einem erstmaligen Verstoß ist dies in den meisten Fällen – wenn nicht sogar grundsätzlich – zu erwarten. Dies gilt umso mehr, wenn die Weiterleitung nicht aus vorsätzlichen oder missbräuchlichen Gründen erfolgte.
Dennoch ist es essenziell, die unternehmensinternen Datenschutzrichtlinien zu kennen und zu befolgen, um sowohl persönliche als auch rechtliche Risiken zu vermeiden. Für Arbeitgeber ist es deshalb essenziell, Beschäftigte regelmäßig (!) zum DSVO-konformen Umgang mit personenbezogenen Daten zu schulen bzw. sensibilisieren und auf die Wahrung der diesbezüglichen Verschwiegenheit zu verpflichten.
Fazit
Das Urteil des OLG München verdeutlicht, dass der Schutz vertraulicher Informationen und die Einhaltung datenschutzrechtlicher Bestimmungen höchste Priorität haben. Verstöße gegen diese Pflichten können insbesondere in höchsten Unternehmenspositionen zu einer fristlosen Kündigung führen. Arbeitnehmer sollten daher den Umgang mit sensiblen Daten stets mit größter Sorgfalt behandeln und die internen Richtlinien ihres Arbeitgebers strikt befolgen.
