Hintergrund des Falls
Der Kläger, ein Vorstandsmitglied eines Unternehmens, leitete während seiner Amtszeit in mindestens neun Fällen vertrauliche E-Mails an seinen privaten Account weiter. Diese E-Mails enthielten unter anderem Informationen über Umsatzübersichten, Bonifizierungen und Provisionszahlungen. Diese Praxis wurde von einem neu ernannten Vorstandsmitglied entdeckt und führte zu einer internen Untersuchung.
Das ehemalige Vorstandsmitglied gab an, die E-Mails nie heimlich oder ohne Wissen der Beklagten an seinen privaten E-Mail-Account weitergeleitet zu haben. Vielmehr hätten sich im Verteiler der fraglichen E-Mails stets andere Vorstands- oder Aufsichtsratsmitglieder befunden. Der Kläger habe zudem zu keinem Zeitpunkt vertrauliche Informationen weitergegeben oder die Daten für unternehmensfremde Zwecke weiterverarbeitet. Die Daten an seinen privaten E-Mail-Account habe er nur weitergeleitet, um über wichtige Aktivitäten Überblick zu behalten. Auch gab er an, wegen besorgniserregender Veränderungen im Unternehmen das Bedürfnis verspürt zu haben, aus Beweiszwecken die Mails unabhängig von der Unternehmens-IT speichern zu müssen, um später beweisen zu können, keinen haftungsbegründenden Fehler begangen zu haben.
Ungeachtet seiner Stellungnahme beschloss der Aufsichtsrat der Beklagten, den Kläger aus wichtigem Grund mit sofortiger Wirkung als Mitglied des Vorstands abzuberufen und seinen Anstellungsvertrag fristlos zu kündigen.
Datenschutzrechtliche Bewertung
Das OLG München weist in seiner Entscheidung vom 31. Juli 2024 (Az. 7 U 351/23 e) (darauf hin, dass nicht jeder Regelverstoß, insbesondere nicht jeder Verstoß gegen die DS-GVO, automatisch einen wichtigen Grund im Sinne des § 626 Abs. 1 BGB darstellt. Bei der hier vorliegenden unzulässigen Weiterleitung sensibler Daten an einen privaten E-Mail-Account ist dies jedoch der Fall. Zudem erfolgte die Weiterleitung nicht nur einmal, sondern in mindestens neun Fällen.
Auch dürfen die Pflichten eines Vorstandsmitglieds nicht anders bewertet werden als die eines Beschäftigten. Auch einem Beschäftigten ist es untersagt, sich ohne Zustimmung des Arbeitgebers betriebliche Unterlagen oder Daten anzueignen oder diese für externe Zwecke zu verwenden. Eine Weiterleitung an die private Mail-Adresse sah das Gericht als Verwendung zu externen Zwecken an.
Nach einer Gesamtwürdigung der Umstände und unter Berücksichtigung der Interessen des Klägers an einer Fortsetzung seiner Vorstandstätigkeit bis zum Vertragsende sowie der Interessen der Beklagten an einer alsbaldigen Beendigung des Anstellungsverhältnisses kam das OLG München zu dem Ergebnis, dass der Beklagten nach Bekanntwerden der Pflichtverletzungen eine weitere Zusammenarbeit mit dem Kläger bis zum Vertragsende nicht zumutbar war. Die vom ehemaligen Vorstandsmitglied gegenüber dem Kläger ausgesprochene fristlose Kündigung sowie die Abberufung als Vorstandsmitglied seien daher wirksam.
Konsequenzen für Unternehmen
Das Urteil verdeutlicht, dass Unternehmen ein hohes Maß an Sorgfalt im Umgang mit personenbezogenen Daten walten lassen müssen. Die unbefugte Weiterleitung von Unternehmensdaten, insbesondere in sensiblen Bereichen wie Finanzinformationen, kann schwerwiegende arbeitsrechtliche Konsequenzen nach sich ziehen. Dies gilt nicht nur für Vorstände, sondern auch für andere Mitarbeiter, die in ihrem beruflichen Alltag Zugang zu vertraulichen Daten haben.
Neben arbeitsrechtlichen Konsequenzen müssen Verantwortliche im Fall einer Datenschutzverletzung auch mit Maßnahmen, wie Rückfragen zu unternehmensinternen Prozessen der Aufsichtsbehörden rechnen. Dabei werden erfahrungsgemäß in etwa folgende Rückfragen durch die Aufsichtsbehörden an die Verantwortlichen gestellt:
- Hatte der Mitarbeiter im Rahmen seiner Tätigkeit berechtigten Zugriff auf die betroffenen Daten?
- Wenn nein, sind getroffene technische und organisatorische Maßnahmen zu beschreiben, welche einen unbefugten Zugriff verhindern sollten.
- Wie kam es zur Umgehung der Maßnahmen?
- Wurden/werden Maßnahmen gegen den Mitarbeiter eingeleitet, wenn ja, welche? (Anzeige, Abmahnung oder ähnliches)
- Wurde der Mitarbeiter um Löschung der Daten gebeten?
- Werden Beschäftigte in Datenschutzseminaren zum Umgang mit personenbezogenen Daten geschult?
- Welche technischen und organisatorischen Maßnahmen wurden zum Schutz personenbezogener Daten getroffen?
- Wurde zu Beginn des Beschäftigungsverhältnisses eine Erklärung zur Wahrung des Datenschutzes unterschrieben?
Handlungsempfehlungen für Unternehmen
Das Urteil des OLG München unterstreicht die Notwendigkeit eines robusten Datenschutzmanagements, insbesondere im Umgang mit E-Mails. Unternehmen sollten folgende Maßnahmen ergreifen, um rechtliche Risiken zu minimieren:
- Schulung der Mitarbeitenden: Regelmäßige Datenschutzschulungen sind unerlässlich, um Mitarbeitende für den korrekten Umgang mit personenbezogenen Daten und den Anforderungen der DS-GVO zu sensibilisieren.
- Richtlinien zur E-Mail-Nutzung: Es sollten klare Richtlinien existieren, die den Umgang mit geschäftlichen E-Mails regeln und explizit die Weiterleitung an private E-Mail-Accounts untersagen.
- Technische und organisatorische Maßnahmen: Unternehmen müssen sicherstellen, dass geeignete technische Schutzvorkehrungen getroffen werden, um unbefugte Zugriffe zu verhindern. Regelmäßige Audits und Kontrollen sollten implementiert werden, um die Einhaltung der Datenschutzvorschriften zu überwachen und Verstöße frühzeitig zu identifizieren.
- Sanktionen bei Verstößen: Es sollte eindeutig festgelegt sein, welche arbeitsrechtlichen Maßnahmen bei Datenschutzverstößen greifen. Diese reichen von Abmahnungen bis hin zu fristlosen Kündigungen bei besonders schwerwiegenden Verstößen.
Fazit
Der Fall des OLG München zeigt, dass Datenschutzverstöße nicht nur zu empfindlichen Bußgeldern führen können, sondern auch arbeitsrechtliche Konsequenzen wie fristlose Kündigungen nach sich ziehen. Unternehmen sind daher gut beraten, ihre Datenschutzvorgaben regelmäßig zu überprüfen und die Mitarbeitenden umfassend über die Risiken und Folgen von Datenschutzverletzungen zu informieren. Insbesondere der Umgang mit E-Mails muss klar geregelt und kontrolliert werden, um potenzielle Datenschutzverletzungen zu vermeiden.
Dieses Urteil dient als Erinnerung daran, dass Datenschutz in der täglichen Praxis ernst genommen werden muss – sowohl zum Schutz der betroffenen Personen als auch zum Schutz des Unternehmens vor rechtlichen Konsequenzen.