Ein Urteil des Oberlandesgerichts München (AZ. 7 U 351/23 e) zieht weite Kreise und sorgt für Gesprächsstoff: Ein Vorstandsmitglied verliert seinen Job wegen der Weiterleitung betriebsinterner E-Mails an sein privates Postfach! Was steckt dahinter und warum sollte dieses Urteil auch Ihr Unternehmen alarmieren?
Am 31. Juli 2024 entschied das Gericht, dass die unerlaubte Weiterleitung unternehmensinterner E-Mails an private E-Mail-Accounts nicht nur einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) darstellt, sondern auch eine außerordentliche Kündigung nach sich ziehen kann. Diese Entscheidung ist ein klarer Appell an Unternehmen und Mitarbeitende, datenschutzrechtliche Vorgaben ernst zu nehmen.
Ausgangslage
Ein Vorstandsmitglied hatte wiederholt betriebsinterne E-Mails mit vertraulichen Inhalten, darunter Gehaltsabrechnungen und Provisionspläne, an seine private E-Mail-Adresse weitergeleitet und sich selbst in CC gesetzt. Ziel war es, die Nachrichten im privaten Postfach zu speichern – angeblich, um sich im Fall der Fälle gegen Haftungsansprüche abzusichern. Die Arbeitgeberin sah darin jedoch einen groben Verstoß gegen Verschwiegenheitspflichten und Datenschutz und zog Konsequenzen: Der Vorstand wurde abberufen und sein Anstellungsvertrag gekündigt. Daraufhin zog er vor Gericht.
Urteil & datenschutzrechtliche Aspekte
Das Urteil des OLG München verdeutlicht, dass die Weiterleitung der E-Mails an den privaten Account eine Verarbeitung gemäß DSGVO darstellt, für die keine Einwilligung der betroffenen Personen vorlag. Obwohl keine direkte Verletzung der Verschwiegenheitspflichten im Sinne des Aktiengesetzes festgestellt wurde, bewertete das Gericht die wiederholte Verletzung der DSGVO als schwerwiegenden Vertrauensbruch, der eine weitere Zusammenarbeit unzumutbar machte. Die außerordentliche Kündigung (in Österreich Entlassung bzw. Auflösung des Vorstandsvertrages) war daher gerechtfertigt.
Gleichzeitig stellte das Gericht klar, dass nicht jeder DSGVO-Verstoß einen Kündigungsgrund nach § 626 Abs. 1 BGB darstellt. In diesem Fall war jedoch die wiederholte Weiterleitung heikler personenbezogener Informationen als gravierender Datenschutzverstoß zu werten.
Handelte es sich um sensible Daten?
Das Urteil spricht immer wieder von „sensiblen Informationen“. Hierbei ist jedoch zu beachten, dass die aufgezählten Daten (z. B. Gehaltsabrechnungen, Provisionspläne) grundsätzlich nicht als „sensible Daten“ im Sinne von Art. 9 DSGVO eingestuft werden. Art. 9 DSGVO bezieht sich auf besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten, politische Meinung oder Religionszugehörigkeit, die einen besonderen Schutz genießen. Allerdings kann es in Gehaltsabrechnungen (insbesondere in Deutschland) durchaus vorkommen, dass solche besonderen Daten – etwa Religionszugehörigkeit – enthalten sind. Das Gericht ging jedoch vor allem auf die Risiken der ungesicherten Weiterleitung solcher E-Mails an private Server ein und stellte klar: Auch wenn die weitergeleiteten Daten keine sensiblen Informationen nach Art. 9 DSGVO enthielten, kann die Art der Weiterleitung ein erhebliches Risiko für die Vertraulichkeit und Sicherheit der Daten darstellen. Denn private E-Mail-Konten unterliegen in der Regel nicht den gleichen hohen Sicherheitsstandards wie geschäftliche Systeme.
Was Mitarbeitende und Arbeitgeber jetzt wissen müssen
Das Urteil sendet eine deutliche Warnung an alle Mitarbeitenden: Seien Sie besonders wachsam im Umgang mit internen Unternehmensdaten – KEINE Weiterleitung an private E-Mail-Konten. Gleichzeitig sind auch Arbeitgeber gefordert, klare Richtlinien zur Datennutzung einzuführen und regelmäßige Datenschutzschulungen durchzuführen, um Rechtsverstöße zu vermeiden und die Sicherheit im Unternehmen zu gewährleisten.
Müssen sich österreichische Arbeitnehmer vor den Auswirkungen dieses Urteils fürchten?
Österreichische Gerichte haben bereits mehrfach klare Zeichen gesetzt und sind gegen ähnliche Verstöße vorgegangen. Der Schutz personenbezogener Daten genießt auch hier höchste Priorität.
MeineBerater-Tipp
Führen Sie in Ihrem Unternehmen regelmäßig Datenschutzschulungen durch und schaffen Sie klare Richtlinien mit einem Verbot der Weiterleitung von Daten und Informationen an private Emailaccounts. Mitarbeitende müssen diese Vorgaben strikt befolgen und bei Unsicherheiten rechtzeitig Rücksprache mit dem Datenschutzbeauftragten halten, um Missverständnisse und Risiken zu vermeiden.
Denken Sie daran: Nicht nur sensible Daten verdienen Ihre volle Aufmerksamkeit – auch andere personenbezogene Daten können bei falscher Handhabung zu teuren Stolperfallen werden! Und keine Sorge, wir stehen bereit, um Sie vor rechtlichen Konsequenzen zu schützen: Am besten Kontakt aufnehmen unter office@meineberater.at 😊