Datenschutz im Arbeitsverhältnis: OLG München erklärt private E Mail Weiterleitungen zum Kündigungsrisiko

Dienstliche Mails schnell an den Privataccount weiterleiten, „damit man sie später noch hat“ – was im Alltag vieler Unternehmen gelebte Praxis ist, wirkt harmlos. Kein Hackerangriff, keine Weitergabe an die Presse, nur ein Cc an gmail, gmx & Co.
Das OLG München hatte genau so einen Fall zu entscheiden – allerdings nicht bei einem „normalen“ Mitarbeiter, sondern bei einem Vorstandsmitglied einer AG. Das Gericht bestätigt: Die Weiterleitung sensibler dienstlicher E‑Mails an den privaten Account ist ein DSGVO‑Verstoß und kann – bei entsprechender Schwere – eine fristlose Kündigung rechtfertigen.

Der Fall: Neun E‑Mails, viele sensible Inhalte – und ein Privataccount

Ein Vorstandsmitglied einer nicht börsennotierten AG leitete über rund zwei Monate hinweg insgesamt neun dienstliche E‑Mail‑Verläufe vom dienstlichen Account an eine private gmx‑Adresse weiter, indem es sich jeweils in Cc setzte.

Inhaltlich ging es um „schwere Kost“:

• Gehaltsabrechnungen eines (früheren) Vorstandsvorsitzenden,

• Provisionsansprüche und Bonifizierungsgrundlagen von Mitarbeitern,

• eine geldwäscherechtliche Bankanfrage,

• interne Compliance‑Vorgänge und Zuständigkeitsstreitigkeiten im Vorstand,

• Umsatzübersichten und Vertragsunterlagen (u.a. Lizenzvertrag).

Der Vorstand verteidigte sich u.a. damit, er habe nur „wichtige“ E‑Mails zur eigenen Dokumentation gesichert, es sei nie zu einer Weitergabe an Dritte gekommen und er sei davon ausgegangen, zu diesem Vorgehen berechtigt zu sein. Außerdem gebe es intern eine entsprechende Praxis.

Der Aufsichtsrat reagierte drastisch: Er berief den Vorstand ab und kündigte den Vorstandsdienstvertrag außerordentlich fristlos. Das OLG München (Urteil vom 31.07.2024 – 7 U 351/23 e) bestätigt diese Entscheidung.

Warum die Weiterleitung ein Verstoß ist

Juristisch macht das OLG zunächst einen scheinbar einfachen, aber in der Praxis oft unterschätzten Schritt: Das Weiterleiten dienstlicher E‑Mails auf den privaten E‑Mail‑Account und deren Speicherung dort ist eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DSGVO. Das bedeutet:

• Nicht nur der ursprüngliche Versand innerhalb des Unternehmens ist relevant.

• Auch der Versand an den eigenen Privataccount ist ein eigenständiger Verarbeitungsvorgang, der eine Rechtsgrundlage nach Art. 6 DSGVO braucht.

Eine solche Rechtsgrundlage sieht das OLG nicht:

• Keine Einwilligung der Betroffenen (Mitarbeiter, frühere Vorstände etc.), Art. 6 Abs. 1 lit. a DSGVO.

• Kein berechtigtes Interesse des Vorstandsmitglieds, Art. 6 Abs. 1 lit. f DSGVO.

Die vom Vorstand vorgebrachte Begründung, er wolle sich für etwaige spätere Haftungsprozesse „absichern“, reicht nicht aus. Das Gericht verweist darauf, dass

• der Vorstand während seiner Amtszeit regulär über die dienstlichen Systeme auf die Unterlagen zugreifen konnte und

• ihm nach Abberufung gesetzliche Einsichtsrechte zur Verfügung stehen.

Eine prophylaktische Speicherung auf dem privaten Freemail‑Server ist daher keine legitime „Selbsthilfe“, sondern ein klarer DSGVO‑Verstoß.

Vom Datenschutzverstoß zur fristlosen Kündigung - Wann wird ein DSGVO‑Verstoß zum „wichtigen Grund“?

Nicht jeder Datenschutzverstoß führt automatisch zur fristlosen Kündigung. Das OLG betont ausdrücklich, dass es auf die Schwere und Umstände des Einzelfalls ankommt. Im entschiedenen Fall bejaht das Gericht aber einen wichtigen Grund „an sich“ i.S.v. § 626 Abs. 1 BGB

• Es ging um höchst sensible Daten (Vergütungen, Provisionsmodelle, Compliance‑Themen, AML‑Anfrage).

• Die Weiterleitung erfolgte wiederholt (neun E‑Mails in gut zwei Monaten).

• Das Vorgehen war planvoll und systematisch.

• Ziel war ersichtlich, Material für mögliche Haftungsprozesse gegen die Gesellschaft zu sammeln.

In der folgenden Interessenabwägung überwiegt das Interesse der Gesellschaft an der sofortigen Trennung deutlich. Eine Abmahnung war bei einem Vorstandsmitglied nicht erforderlich.

Der DSGVO‑Verstoß trägt sowohl die fristlose Kündigung des Dienstvertrags als auch die Abberufung aus dem Amt. Der Einwand des Vorstands, er habe geglaubt, zu dem Vorgehen berechtigt zu sein, und sich offen in Cc gesetzt, ändert nichts an der Bewertung. Ebenso wenig eine behauptete interne Praxis, dienstliche Inhalte auch über private Accounts zu versenden. Im Gegenteil: Gerade ein Vorstandsmitglied dürfte eine solche „Praxis“ nicht ausnutzen, sondern müsste sie unterbinden. Für Organmitglieder gilt hier ein besonders strenger Maßstab.

Datenschutzverstöße sind auch arbeitsrechtlich „scharfe Munition“

Die DSGVO ist im Arbeitsverhältnis kein bloßes „Papierrecht“. Wer sensible Daten auf private Accounts verlagert, bewegt sich nicht im Graubereich, sondern riskiert – je nach Rolle und Schwere des Verstoßes – arbeitsrechtliche und organschaftliche Höchstfolgen.

Für Unternehmen ist das Urteil ein deutlicher Anstoß, Richtlinien und technische Schutzmaßnahmen zu überprüfen. Für Beschäftigte – gerade in Leitungspositionen – ist es ein Warnsignal, Datenschutz nicht auf die leichte Schulter zu nehmen.