Una sentenza del Tribunale superiore di Monaco di Baviera (OLG) mostra le conseguenze fatali che può avere l'inoltro di e-mail di lavoro a un account di posta elettronica privato: Il tribunale ha confermato il licenziamento senza preavviso di un membro del Comitato esecutivo per una grave violazione del GDPR.
Cessazione senza preavviso dopo l'inoltro di e-mail riservate
La decisione del Tribunale regionale superiore di Monaco del 31 luglio 2024 (caso n. 5 HK O 14476/21) riguarda la risoluzione straordinaria senza preavviso e il licenziamento di un membro del consiglio di amministrazione di una ex società per azioni (AG), nel frattempo trasformata in GmbH. Il ricorrente, ex membro del Consiglio di amministrazione, ha presentato un ricorso contro il licenziamento e la risoluzione del suo contratto di lavoro nel Consiglio di amministrazione.
Il caso era incentrato principalmente sull'inoltro di e-mail riservate dell'azienda da parte del membro del consiglio di amministrazione al suo account privato GMX.
Una grave violazione del GDPR è sufficiente per il licenziamento senza preavviso
Il tribunale ha ritenuto che il ripetuto inoltro di informazioni riservate all'account di posta elettronica privato del ricorrente costituisse una grave violazione delle norme sulla protezione dei dati, in particolare del Regolamento generale sulla protezione dei dati (GDPR). Queste violazioni costituivano una buona causa per il licenziamento senza preavviso ai sensi dell'articolo 626 del BGB.
"Il fatto che le e-mail inoltrate contenessero dati estremamente sensibili (piani di provvigione, dichiarazioni di stipendio e provvigione, processi di conformità, controversie tra i membri del consiglio di amministrazione della convenuta), alla cui riservatezza la convenuta aveva un interesse molto elevato e che non solo riguardavano il rapporto tra le parti, ma riguardavano anche terzi (in particolare il dipendente ...), che potevano presumere che i loro dati non sarebbero finiti su caselle di posta elettronica private come quella del ricorrente", spiega l'OLG di Monaco.
Anche senza trasmettere i dati a terzi non autorizzati, il tribunale ha riscontrato una grave violazione del dovere di diligenza ai sensi dell'art. 93 (1) AktG, che si riflette in particolare nell'inosservanza delle norme sulla protezione dei dati. Il ricorrente aveva utilizzato il suo indirizzo e-mail privato in CC in almeno nove casi senza ottenere il relativo consenso.
Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: Quale discrezionalità ha l'autorità di protezione dei dati?
Dopo la sentenza dell'OLG: conseguenze per le aziende
La decisione del Tribunale superiore di Monaco ha conseguenze di vasta portata per le società, in particolare per i loro consigli di amministrazione, amministratori delegati e consigli di sorveglianza:
- Rigorosa conformità al GDPR:
Le aziende devono assicurarsi che i membri del consiglio di amministrazione e gli amministratori delegati osservino rigorosamente le disposizioni del GDPR. La trasmissione non autorizzata di dati personali, in particolare di informazioni aziendali riservate, può costituire un importante motivo di licenziamento. I consigli di amministrazione sono tenuti ad adottare misure adeguate per garantire la conformità alle norme sulla protezione dei dati nelle loro aziende. - Responsabilità degli organi di vigilanza:
I consigli di sorveglianza e le assemblee degli azionisti devono agire rapidamente in presenza di un motivo di cessazione e garantire che l'organo collegiale sia convocato senza indugio. Un ritardo può far scadere il termine di due settimane previsto dall'articolo 626 (2) del BGB, mettendo a rischio l'efficacia di una revoca senza preavviso. - Linee guida interne sulla sicurezza dei dati:
Le aziende dovrebbero sviluppare linee guida interne che regolino chiaramente la gestione dei dati sensibili. Ciò include anche la definizione di sanzioni in caso di violazione. Queste linee guida dovrebbero essere comunicate regolarmente e accompagnate da corsi di formazione. - Ponderare la proporzionalità delle cancellazioni:
Il tribunale ha confermato ancora una volta che una grave violazione dei doveri può giustificare il licenziamento senza preavviso anche nel caso di attività di lunga data e di successo da parte di un membro del Comitato esecutivo, se la fiducia dell'azienda nel Comitato esecutivo è stata distrutta. Ciò dimostra che è necessaria un'attenta ponderazione degli interessi, in cui la gravità della violazione dei doveri assume un ruolo centrale.
Anche i consigli di amministrazione devono rispettare il GDPR
La sentenza del Tribunale superiore di Monaco di Baviera chiarisce che la protezione dei dati ha ora un ruolo centrale anche per i membri del consiglio di amministrazione. Le aziende fanno bene a redigere linee guida chiare per la gestione dei dati riservati e a controllarne costantemente il rispetto. Per i membri del consiglio di amministrazione e gli amministratori delegati, ciò significa che le violazioni della protezione dei dati possono avere notevoli conseguenze personali e professionali, fino al licenziamento senza preavviso.
Fonte: OLG Monaco, sentenza definitiva del 31/07/2024 - 7 U 351/23 e