DSGVO-widriges Weiterleiten von Geschäftsmails: OLG bestätigt fristlose Kündigung

Wer interne und vertrauliche Firmen-E-Mails an seinen Privataccount weiterleitet, kommt in Konflikt mit dem Datenschutz und dem Arbeitsrecht. In der Praxis wird es eine Grauzone zahlreicher Fälle geben, in denen niemand zur Rechenschaft gezogen wird. Bei einem leitenden Angestellten aus Bayern sah das anders aus. Er hatte gegen seine fristlose Kündigung geklagt – das Oberlandesgericht (OLG) München urteilte aber im Sinne des Arbeitgebers.

Sensible persönliche Daten ins private Postfach

2021 hatte der Vorstand einer AG, die Internetservices anbietet, wiederholt geschäftliche E-Mails mit hochsensiblen Informationen über Gehälter, interne Vorgänge und Provisionsabrechnungen per CC-Setzung an seine private Mailadresse weitergeleitet. Bei der Durchsicht von Unterlagen durch ein neues Vorstandsmitglied wurde das offenkundig und mündete in eine fristlose, außerordentliche Kündigung des Vorstandsdienstvertrags durch den Aufsichtsrat. Der Ex-Vorstand klagte und fand das zuständige Landgericht auf seiner Seite. In der Berufung hat nun das OLG die Klage des entlassenen Chefs abgewiesen ebenso eine Anschlussberufung.

Mail-Übermittlung verstieß gegen DSGVO

Die Richter des OLG München sahen die Kündigung in verschiedener Hinsicht als gerechtfertigt. Zwar konnte kein Verstoß gegen die arbeitsvertragliche Geheimhaltungspflicht festgestellt werden — es gab keine Kenntnisnahme der fraglichen E-Mails durch Dritte. Jedoch wog der Verstoß gegen die DSGVO durch die Übermittlung brisanter personenbezogener Unternehmensdaten schwer. In der Urteilsbegründung heißt es daher:

„Auch wenn der Vorstand nicht gegen die ihm als solcher obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstieß, so hat er doch durch die Weiterleitung der E-Mails gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht, die in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue fordert, verstoßen. Denn die Weiterleitung der E-Mails auf seinen privaten Account und die dortige Speicherung stellt eine Verarbeitung iSd Art. 4 Nr. 2 DS-GVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war.“

Vertrauensbasis zerrüttet

Das OLG hält eine Weiterbeschäftigung für nicht zumutbar: Einerseits handele es sich bei dem Datenschutzverstoß am Arbeitsplatz um eine Vielzahl an sensiblen Daten – auf der anderen Seite hatte der Kläger selbst zugegeben, dass die Mail-Weiterleitungen im Hinblick auf eine mögliche gerichtliche Auseinandersetzung mit seinem Unternehmen erfolgt war. „Es ist nicht ersichtlich, wie unter solchen Umständen die Beklagte noch das notwendige Vertrauen in den Kläger haben sollte“, urteilte das Gericht (Urteil des Oberlandesgerichts München vom 31.07.2024 – 7 U 351/23 e).