Welche fatalen Folgen die Weiterleitung dienstlicher E-Mails an den privaten E-Mail-Account haben kann, zeigt ein Urteil des Oberlandesgerichts (OLG) München: Das Gericht bestätigte die fristlose Kündigung eines Vorstandsmitglieds wegen schwerwiegender Verletzung der DSGVO.
Fristlose Kündigung nach Weiterleitung vertraulicher E-Mails
Die Entscheidung des OLG München vom 31. Juli 2024 (Az. 5 HK O 14476/21) behandelt die außerordentliche fristlose Kündigung und Abberufung eines Vorstandsmitglieds einer ehemaligen Aktiengesellschaft (AG), die mittlerweile zur GmbH umgewandelt wurde. Der Kläger, ein ehemaliges Vorstandsmitglied, klagte gegen die Abberufung und Kündigung seines Vorstandsanstellungsvertrags.
Der Fall drehte sich hauptsächlich um die Weiterleitung von vertraulichen E-Mails des Unternehmens durch das Vorstandsmitglied an seinen privaten GMX-Account.
Schwerwiegender DSGVO-Verstoß reicht für fristlose Kündigung
Das Gericht stellte fest, dass die wiederholte Weiterleitung vertraulicher Informationen an das private E-Mail-Konto des Klägers einen schwerwiegenden Verstoß gegen Datenschutzvorschriften, insbesondere gegen die Datenschutz-Grundverordnung (DSGVO), darstellte. Diese Verstöße begründeten einen wichtigen Grund für die fristlose Kündigung gemäß § 626 BGB.
„Zu Lasten des Klägers war in die Abwägung miteinzustellen, dass die weitergeleiteten Emails äußerst sensible Daten (Provisionspläne, Gehalts- und Provisionsabrechnungen, Compliance-Vorgänge, Auseinandersetzungen zwischen Vorständen der Beklagten) enthielten, an deren Vertraulichkeit die Beklagte ein sehr hohes Interesse hatte und die sich auch nicht nur auf das Verhältnis zwischen den Parteien bezogen, sondern darüber hinaus auch Dritte betrafen (insbesondere den Mitarbeiter …), die davon ausgehen konnten, dass ihre Daten nicht auf private Email-Accounts wie dem des Klägers gelangten“, erklärt das OLG München.
Auch ohne Weitergabe der Daten an unbefugte Dritte sah das Gericht eine schwerwiegende Verletzung der Sorgfaltspflicht nach § 93 Abs. 1 AktG, die sich insbesondere in der Missachtung von Datenschutzvorschriften widerspiegelte. Der Kläger hatte seine private E-Mail-Adresse in mindestens neun Fällen in CC gesetzt, ohne entsprechende Einwilligungen einzuholen.
Lese-Tipp: EuGH-Urteil zu DSGVO-Bußgeldern: Welches Ermessen hat eine Datenschutzbehörde?
Nach OLG-Urteil: Folgen für Unternehmen
Die Entscheidung des OLG München hat weitreichende Konsequenzen für Unternehmen, insbesondere für deren Vorstände, Geschäftsführer und Aufsichtsräte:
- Strikte Einhaltung der DSGVO:
Unternehmen müssen sicherstellen, dass Vorstände und Geschäftsführer die Vorschriften der DSGVO streng beachten. Die unzulässige Weiterleitung von personenbezogenen Daten, insbesondere vertraulichen Unternehmensinformationen, kann einen wichtigen Kündigungsgrund darstellen. Vorstände sind verpflichtet, entsprechende Maßnahmen zu ergreifen, um die Einhaltung der Datenschutzvorschriften in ihren Unternehmen zu gewährleisten. - Verantwortung von Aufsichtsgremien:
Aufsichtsräte und Gesellschafterversammlungen müssen bei Vorliegen eines Kündigungsgrundes rasch handeln und eine unverzügliche Einberufung des Kollegialorgans sicherstellen. Eine Verzögerung kann dazu führen, dass die Zwei-Wochen-Frist des § 626 Abs. 2 BGB abläuft, was die Wirksamkeit einer fristlosen Kündigung gefährden könnte. - Interne Richtlinien zur Datensicherheit:
Unternehmen sollten interne Richtlinien entwickeln, die den Umgang mit sensiblen Daten klar regeln. Dazu gehört auch die Festlegung von Sanktionen bei Verstößen. Diese Richtlinien sollten regelmäßig kommuniziert und durch Schulungen begleitet werden. - Abwägung der Verhältnismäßigkeit bei Kündigungen:
Das Gericht hat erneut bestätigt, dass selbst bei langjährigen und erfolgreichen Tätigkeiten eines Vorstandsmitglieds eine schwerwiegende Pflichtverletzung eine fristlose Kündigung rechtfertigen kann, wenn das Vertrauen des Unternehmens in den Vorstand zerstört ist. Dies zeigt, dass eine sorgfältige Abwägung der Interessen erforderlich ist, bei der insbesondere die Schwere der Pflichtverletzung im Vordergrund steht.
Auch Vorstände müssen sich an DSGVO halten
Das Urteil des OLG München verdeutlicht, dass der Datenschutz inzwischen auch für Vorstände eine zentrale Rolle spielt. Unternehmen sind gut beraten, klare Richtlinien zum Umgang mit vertraulichen Daten aufzustellen und deren Einhaltung konsequent zu überwachen. Für Vorstände und Geschäftsführer bedeutet dies, dass Datenschutzverletzungen erhebliche persönliche und berufliche Konsequenzen nach sich ziehen können – bis hin zur fristlosen Kündigung.