Die Datenschutzgrundverordnung (DSGVO) enthält umfangreiche Anforderungen mit Blick auf den Umgang mit personenbezogenen Daten. Verstöße können für Unternehmen unangenehme Folgen nach sich ziehen: Neben rechtlichen und finanziellen Konsequenzen in Form empfindlicher Bußgelder drohen Reputationsschäden. Doch die Konsequenzen treffen nicht nur die Unternehmen selbst: Verstoßen Mitarbeiter gegen datenschutzrechtliche Vorschriften, kann dies – je nach den Umständen des Einzelfalls – arbeitsrechtliche Konsequenzen bis hin zu einer fristlosen Kündigung nach sich ziehen. Dies gilt insbesondere in dem in der Praxis nicht selten vorkommenden Fall, dass Mitarbeiter sensible personen- und geschäftsbezogene Daten an ihre private E-Mail-Adresse weiterleiten.
Arbeitsrechtliche Konsequenzen bei Datenschutzverstößen
Verstößt ein Mitarbeiter gegen die Vorgaben der DSGVO, kann dies unterschiedliche arbeitsrechtliche Maßnahmen nach sich ziehen. Diese reichen von einer Abmahnung bis hin zur fristlosen Kündigung. Ob ein Verstoß gegen Vorschriften der DSGVO einen wichtigen Grund i.S.d. § 626 Abs. 1 BGB für eine außerordentliche Kündigung darstellt, richtet sich stets nach den Umständen des Einzelfalls. Insofern sind unter anderem folgende Faktoren zu berücksichtigen: Neben der Schwere des Datenschutzverstoßes und der Folgen für das Unternehmen spielt das Verschulden des Arbeitnehmers eine Rolle. Daneben ist im Rahmen der Verhältnismäßigkeit zu prüfen, ob ein milderes Mittel – insbesondere eine Abmahnung – in Frage kommt.
Weiterleitung sensibler Daten an private E-Mail-Adresse als fristloser Kündigungsgrund
Insbesondere der in der Praxis häufig vorkommende Fall, dass Mitarbeiter sensible personen- und geschäftsbezogene Daten an ihre private E-Mail-Adresse weiterleiten, kann einen „an sich“ wichtigen Grund i.S.d. § 626 Abs. 1 BGB darstellen und eine fristlose Kündigung rechtfertigen. Dies hat zuletzt das OLG München (Urteil vom 31. Juli 2024 – 7 U 351/23e) entschieden. Die Entscheidung zeigt: Die Konsequenzen gelten nicht nur für Arbeitnehmer, sondern auch für Führungskräfte bis hin zur Vorstandsebene.
In dem der Entscheidung zugrunde liegenden Fall hatte ein Vorstandsmitglied einer Aktiengesellschaft über einen längeren Zeitraum hinweg betriebsinterne E-Mails an seinen privaten E-Mail-Account weitergeleitet. Diese E-Mails enthielten sensible Daten, darunter Gehaltsinformationen, interne Abstimmungen und strategische Dokumente. Nach Bekanntwerden des Sachverhalts wurde das Vorstandsmitglied abberufen und das Dienstverhältnis außerordentlich und fristlos gekündigt.
Das Gericht bestätigte die Wirksamkeit der Kündigung. Zwar lag nach Auffassung des OLG München im vorliegenden Fall kein Verstoß gegen die Verschwiegenheitspflicht nach § 93 Abs. 1 Satz 3 AktG vor. Denn die Verschwiegenheitsverpflichtung sei nur verletzt, wenn ein Geheimnis der Gesellschaft offenbart oder verwertet werde, § 404 AktG. Diese Voraussetzungen sah das Gericht nicht als erfüllt an, da insbesondere die Speicherung auf einem Server nicht ausreiche. Das Vorstandsmitglied habe allerdings gegen die ihn obliegende, aus § 91 Abs. 1 Satz 1 AktG folgende Sorgfaltspflicht verstoßen. Denn die Weiterleitung der E-Mails auf den privaten Account und die dortige Speicherung stelle eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 a DSGVO).
Das OLG stellte in seiner Entscheidung klar, dass zwar nicht jeder Verstoß gegen Vorschriften der DSGVO einen „an sich“ wichtigen Grund i.S.d. § 626 Abs. 1 BGB darstelle. Ein solcher sei aber insbesondere dann gegeben, wenn sensible personenbezogene Daten des Arbeitgebers und Dritter betroffen seien. Darüber hinaus sei zu berücksichtigen, dass in gleich neun Fällen E-Mails an den privaten Account weitergeleitet worden waren. Ein Vorstandsmitglied sei daher – so das OLG München – nicht anders zu beurteilen als ein Arbeitnehmer, dem es grundsätzlich ebenso untersagt sei, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen.
Auswirkungen für die Praxis
Die Entscheidung des OLG München ist zu begrüßen, zeigt sie doch einmal mehr auf, dass Verstöße gegen die Datenschutzgrundverordnung keine Lappalien darstellen. Nicht zuletzt vor dem Hintergrund, dass das Unternehmen als Verantwortlicher für Verstöße gegen die DSGVO haftet, sollten Arbeitgeber bei Verstößen von Mitarbeitern arbeitsrechtliche Konsequenzen in Erwägung ziehen und im Zweifel auch umsetzen.
In der Praxis empfiehlt es sich zudem, proaktiv tätig zu werden und geeignete Maßnahmen zu ergreifen, um das Auftreten von Datenschutzverstößen idealerweise von vorneherein zu vermeiden. In diesem Zusammenhang ist es essenziell, das Bewusstsein der Mitarbeiter für die datenschutzrechtlichen Anforderungen zu stärken. Dies kann insbesondere durch Schulungen, die Herausgabe von Informationsmaterial oder ähnliches geschehen. Wichtig ist, nicht nur die rechtlichen Grundlagen der DSGVO zu vermitteln, sondern auch praktische Beispiele und klare Handlungsanweisungen für den Arbeitsalltag mitzugeben. Daneben empfiehlt es sich, klare Richtlinien und Prozesse für den Umgang mit personenbezogenen Daten zu etablieren. Insbesondere die Weiterleitung sensibler personen- und geschäftsbezogener Daten an private E-Mail-Accounts sollte strikt untersagt werden. Die Einhaltung der Vorgaben und Richtlinien sollte regelmäßig überprüft werden.
Kommt es trotz dieser präventiven Maßnahmen zu einem Verstoß gegen datenschutzrechtliche Vorgaben bzw. besteht ein dahingehender Verdacht, sollten Arbeitgeber den Sachverhalt sorgfältig und zügig unter Beteiligung des Datenschutzbeauftragten aufklären. Die Ergebnisse sollten datenschutzkonform dokumentiert werden.