04. Dezember 2024 von Vera Franz
Das Oberlandesgericht (OLG) München hat am 31. Juli 2024 (Az. 7 U 351/23 e) ein wegweisendes Urteil zur fristlosen Kündigung und Abberufung eines Vorstandsmitglieds gefällt. Im Mittelpunkt des Verfahrens stand die systematische Weiterleitung betrieblicher E-Mails auf einen privaten E-Mail-Account. Das Gericht stellte klar: Ein solches Verhalten verletzt sowohl datenschutzrechtliche als auch arbeitsrechtliche Pflichten.
Der ehemalige Vorstand leitete in neun Fällen geschäftliche E-Mails mit personenbezogenen Daten an seine private E-Mail-Adresse weiter. Nach Ansicht des OLG verstößt dieses Vorgehen gegen § 91 Abs. 1 Satz 1 AktG, der die Pflicht zur ordnungsgemäßen Unternehmensführung regelt. Zudem stellte das Gericht fest, dass die E-Mail-Weiterleitung eine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2 DSGVO darstellt. Da eine Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO fehlte, war die Verarbeitung unrechtmäßig. Unternehmen sind gemäß Art. 4 Nr. 7 DSGVO als Verantwortliche für die Einhaltung der Datenschutzvorschriften zuständig. Das Urteil verdeutlicht, dass Unternehmen auch für Verstöße durch ihre Mitarbeiter haften können, wenn interne Daten ohne entsprechende Schutzmaßnahmen auf privaten Plattformen verarbeitet werden.
Das OLG München hat in seinem Urteil drei zentrale Aspekte hervorgehoben, die für Unternehmen und Führungskräfte gleichermaßen von Bedeutung sind:
Das Gericht stellte klar, dass die Weiterleitung geschäftlicher E-Mails mit personenbezogenen und sensiblen Daten auf private Server unzulässig ist. Nach Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden. Private Server erfüllen diese Anforderungen häufig nicht, wodurch ein erhöhtes Risiko für Datenschutzverletzungen entsteht.
Der Datenschutzverstoß wurde als schwerwiegender Pflichtverstoß und Vertrauensbruch gewertet. Das Gericht sah hierin eine ausreichende Grundlage für eine außerordentliche Kündigung gemäß § 626 Abs. 1 BGB. Einem Unternehmen sei es nicht zuzumuten, die Zusammenarbeit mit einer Person fortzusetzen, die zentrale arbeitsvertragliche Pflichten missachtet.
Das Urteil zeigt deutlich, dass die Einhaltung der DSGVO sowohl auf Arbeitgeber- als auch auf Arbeitnehmerseite höchste Priorität hat. Unternehmen sind gut beraten, klare Richtlinien zur Nutzung von Kommunikationsmitteln und zur Verarbeitung personenbezogener Daten aufzustellen. Gleichzeitig sind Mitarbeiter verpflichtet, diese Vorgaben einzuhalten und geschäftliche Daten ausschließlich über autorisierte und geschützte Systeme zu verarbeiten.
Das Urteil des OLG München setzt einen klaren Präzedenzfall für den Umgang mit Datenschutzverstößen in Arbeitsverhältnissen – insbesondere bei Führungskräften. Es unterstreicht die Bedeutung, die datenschutzrechtlichen Standards im beruflichen Kontext einzuhalten.
Unternehmen sollten präventiv handeln, indem sie transparente Datenschutzregelungen implementieren und ihre Mitarbeiter regelmäßig schulen. Führungskräfte tragen hierbei eine besondere Verantwortung – sie sind Vorbilder bei der Einhaltung rechtlicher Vorgaben. Nur so kann ein sicherer Umgang mit sensiblen Daten gewährleistet und potenziellen Datenschutzverletzungen vorgebeugt werden.