Weiterleitung Geschäftlicher E-Mails an privaten Account: Klarer Verstoß gegen DSGVO

Oberlandesgericht München, Urteil vom 31. Juli 2024 – 7 U 351/23

Das Urteil des Oberlandesgerichts München rückt den Datenschutz, insbesondere die DSGVO, in den Fokus und verdeutlicht eindrucksvoll, wie weitreichend deren Auswirkungen auf die Arbeitswelt sind. Das Oberlandesgericht hat im vorliegenden Fall entschieden, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account ohne entsprechende Erlaubnis einen klaren Verstoß gegen die DSGVO darstellt. Diese Pflichtverletzung kann eine außerordentliche Kündigung rechtfertigen.

Der Sachverhalt

In dem der Entscheidung zugrunde liegenden Fall sandte ein Vorstandsmitglied einer nicht börsennotierten Aktiengesellschaft mehrere E-Mails an verschiedene Empfänger, darunter sein damaliger Mitvorstand, eine Mitarbeiterin der Schwestergesellschaft sowie die Steuerberatungsgesellschaft des Unternehmens. Die E-Mails umfassten unter anderem Übersichten zu Gehaltsabrechnungen, Umsatzerlösen sowie das Protokoll einer internen Besprechung. All diese E-Mails sandte der Vorstand über seinen dienstlichen E-Mail-Account, setzte jedoch seine private E-Mail-Adresse jeweils auf CC.

Nachdem das Unternehmen von den Umständen Kenntnis erlangte, beschloss der Aufsichtsrat, das Vorstandsmitglied aus dem Vorstand abzuberufen und den Vorstandsdienstvertrag aus wichtigem Grund außerordentlich und fristlos zu kündigen. Hiergegen hat das Vorstandsmitglied Klage erhoben.

Die Entscheidung

Das Oberlandesgericht München hat entschieden, dass das Weiterleiten von E-Mails auf den privaten Account einen Verstoß gegen die DSGVO darstellt. Zudem stellt dies einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB dar, der für eine wirksame außerordentliche Kündigung erforderlich ist.

Ein Verstoß gegen die DSGVO stellt zwar nicht zwangsläufig einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB dar, jedoch ist dies zumindest dann der Fall, wenn sensible Daten des Unternehmens oder Dritter betroffen sind. Die weitergeleiteten E-Mails beinhalteten derartige Daten.

Gemäß Art. 5 Abs. 1 lit. f DSGVO sind personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Da private E-Mail-Accounts in der Regel nicht die gleichen Sicherheitsstandards aufweisen wie geschäftliche E-Mail-Konten, stellt das Weiterleiten von E-Mails mit solchen Daten an einen privaten E-Mail-Account ein erhebliches Risiko für die Sicherheit und Vertraulichkeit der enthaltenen Daten dar. Dadurch besteht die Gefahr, dass unbefugte Dritte Zugriff auf diese Daten erhalten.

Die Weiterleitung der E-Mails durch das Vorstandsmitglied stellt einen Verstoß gegen die Sorgfaltspflicht gemäß § 93 Abs. 1 S. 1 AktG dar. Diese fordert vom Vorstand, für die Einhaltung der gesetzlichen Bestimmungen zu sorgen. Die Weiterleitung der E-Mails auf den privaten Account und die dortige Speicherung stellen eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar, die nicht gemäß Art. 6 Abs. 1 lit. a DSGVO durch eine Einwilligung der betroffenen Person gedeckt war. Eine Weiterleitung war auch nicht zur Wahrung der berechtigten Interessen des Vorstandmitgliedes erforderlich.

Die Weiterleitung der E-Mails kann nicht damit gerechtfertigt werden, dass nur solche E-Mails weitergeleitet worden sind, die aufgrund besorgniserregender Veränderungen im Betrieb unentbehrlich waren, um später beweisen zu können, dass das Vorstandsmitglied selbst keine zur Haftung führenden Fehler begangen hat. Eine prophylaktische Selbsthilfe ist nicht erforderlich, weil das Vorstandsmitglied während seiner Amtszeit Zugriff auf die Unterlagen hatte und ihm nach seiner Abberufung ein Einsichtsanspruch gemäß § 810 BGB zusteht.

Das Oberlandesgericht stufte die Weiterleitung der E-Mails als grob fahrlässig ein und erkannte darin einen erheblichen Pflichtverstoß des Vorstandsmitglieds. Das Gericht befand die außerordentliche Kündigung für wirksam, da eine wiederholte und systematische Missachtung von datenschutzrechtlichen Vorgaben einen gravierenden Vertrauensbruch darstellt.

Fazit

Das Urteil verdeutlicht die zunehmende Relevanz des Datenschutzes im Dienst- sowie Arbeitsverhältnis. Die Entscheidung macht deutlich, dass Verstöße gegen die DSGVO arbeitsrechtliche Konsequenzen nach sich ziehen können. Sowohl Arbeitgeber als auch Arbeitnehmer sind verpflichtet, sorgfältig mit personenbezogenen Daten umzugehen. Um Rechtsverstöße zu vermeiden, sind Arbeitgeber angehalten, Richtlinien zu erstellen, die den Arbeitnehmern die Handhabung von Daten vorgeben. In einer solchen Richtlinie sollte auch das Weiterleiten von E-Mails geregelt werden. Dabei wird empfohlen, das Weiterleiten an einen privaten E-Mail-Account generell zu untersagen.