Das Oberlandesgericht München (OLG München, Urteil vom 31.07.2024, Az. 7 U 351/23) hielt die außerordentliche, fristlose Kündigung des Dienstvertrages eines Vorstandsmitglieds für rechtmäßig, weil das Vorstandsmitglied wiederholt dienstliche E-Mails an seine private E-Mail-Adresse gesandt hatte. Ob Vorstand oder Arbeitnehmer: Die Entscheidung zeigt erneut auf: Datenschutzrechtliche Pflichten sind nicht zu unterschätzen.

Die Entscheidung

Das Vorstandsmitglied einer Aktiengesellschaft hatte wiederholt dienstliche E-Mails, die unter anderem Gehaltsabrechnungen, Angaben zu Umsatzerlösen, Provisionsansprüchen, Spesenzahlungen und Zuständigkeitsregelungen sowie ein Organigramm enthielten, an seinen privaten E-Mail-Account gesandt. Die Dokumente enthielten eine Vielzahl von personenbezogenen Daten. Die Motivation des Vorstandsmitglieds bestand darin, die Daten für die Verteidigung gegen etwaig ihm gegenüber bestehender Haftungsansprüche zu verwenden. 

Das OLG sah die Pflichtverletzung des Vorstandsmitglieds nicht in einer Verschwiegenheitspflichtverletzung, da diese erst bei einer Offenbarung der Daten gegenüber Dritten eingetreten wäre. Das Vorstandsmitglied habe aber durch die Weiterleitung der dienstliche E-Mails Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) verletzt.   

Zwar hatte das Vorstandsmitglied berechtigten Zugriff auf die Daten, durch die Verwendung für einen privaten Zweck hat das Vorstandsmitglied die Daten aber nicht mehr in seiner internen Funktion für die Gesellschaft als Teil des „Verantwortlichen“ im Sinne der DS-GVO, sondern im privaten Interesse verwandt. Damit kam es zu einer Datenübermittlung von der Gesellschaft an das Vorstandsmitglied als Privatperson, also an einen Dritten. Das Vorstandsmitglied hat nicht mehr als Vorstandsmitglied für die Gesellschaft, sondern als Privatperson gehandelt. Man spricht in solchen Fällen auch von einem „Mitarbeiterexzess“. Für diese Datenübermittlung gab es nicht die erforderliche Rechtsgrundlage. Hinzu kam, dass die Daten damit besonderen Sicherheitsrisiken ausgesetzt wurden. 

Das OLG hielt diese Pflichtverletzung nicht nur grundsätzlich für geeignet, einen wichtigen Grund für eine außerordentliche Kündigung darzustellen, es hielt die fristlose Kündigung auch unter den Umständen des Einzelfalls für gerechtfertigt. Das OLG sah insbesondere keine ausreichende Rechtfertigung der Datenübermittlung in dem Interesse des Vorstandsmitglieds, sich selbst abzusichern. Dieses Interesse hätte das Vorstandsmitglied auf andere Weise verfolgen können, z.B. während des Vertragsverhältnisses durch den fortbestehenden Zugriff auf die E-Mails sowie nach einer etwaigen Beendigung des Vertragsverhältnisses durch einen Anspruch auf Einsicht in Urkunden nach § 810 BGB. 

Die Entscheidung wurde rechtskräftig.

Auswirkungen auf die Praxis 

Die Entscheidung zeigt einmal mehr, dass eine strikte Trennung von dienstlicher und privater Datenverarbeitung sowohl für die Gesellschaft als Verantwortliche i.S.d. DS-GVO wie auch für Organmitglieder und Beschäftigte anzustreben ist. Dies gilt nicht nur für die Verarbeitung privater Daten auf dienstlichen Datenträgern, sondern auch für die Verarbeitung dienstlicher Daten auf privaten Datenträgern. 

Zwar kommt es bei der Bewertung des wichtigen Grundes immer auf alle Umstände des Einzelfalls an, Organmitglieder und Beschäftigte riskieren aber mit einer Weiterleitung an einen privaten Account den Bestand ihres Dienstverhältnisses sowie eine Haftung für eintretende Schäden. Auch die Gesellschaft bzw. der Arbeitgeber trägt bei einer rechtswidrigen Datenverarbeitung erhebliche Risiken (z.B. Bußgelder, Schadensersatzansprüche von betroffenen Personen), die nicht immer durch die Durchsetzung von Regressansprüchen gegen Organe oder Beschäftigte ausgeglichen werden können. Außerdem droht ein Kontrollverlust in Bezug auf Geschäftsgeheimnisse. 

Datenschutzverletzungen wie diese sind wie „Hackerangriffe von Innen“. Sie führen deshalb in vielen Fällen zu Meldepflichten gegenüber den Datenschutz-Aufsichtsbehörden und ggf. zu Benachrichtigungspflichten gegenüber den betroffenen Personen. Damit werden sich in der Regel die Risiken in Bezug auf Bußgelder und Schadensersatzansprüche erhöhen und ein Reputationsverlust eintreten. 

Praxistipp

Vorsätzlich rechtswidriges Handeln kann die beste Datenschutzorganisation nicht mit Sicherheit verhindern. Dennoch wird ist es sehr zweckmäßig, die Frage von Datenübermittlung an private Accounts eindeutig durch entsprechende Weisungen (Richtlinien) zu verbieten und Organmitglieder und Beschäftigte ausreichend datenschutzrechtlich zu schulen. Dies schafft Klarheit für die handelnde Personen, verhindert fahrlässiges Verhalten und unterstützt ggf. die spätere Durchsetzung von dienst- bzw. arbeitsrechtlichen Maßnahmen.  

Weiterführende Links 
OLG München, Urteil vom 31.07.2024, Az. 7 U 351/23