Das Oberlandesgericht (OLG) München hat am 31.07.2024 (Az. 7 U 351/23 e) entschieden, dass die außerordentliche Kündigung eines Vorstandsmitglieds wegen der Weiterleitung geschäftlicher E-Mails an seine private E-Mail-Adresse wirksam ist. Das Gericht sah in diesem Verhalten einen schwerwiegenden Verstoß gegen die Sorgfaltspflichten des Vorstands und bewertete die Weiterleitung als wichtigen Grund für eine außerordentliche, fristlose Kündigung. Die Entscheidung unterstreicht die strengen Anforderungen an den Umgang mit sensiblen Unternehmensdaten.
In dem vom OLG entschiedenen Fall stritten die Parteien um die Abberufung des Klägers als Vorstand der Beklagten und um die Beendigung seines Vorstandsanstellungsvertrags. Der Vorstandsdienstvertrag sah zur Geheimhaltung insbesondere vor, dass „sich der Vorstand verpflichtet, alle betrieblichen Angelegenheiten und Geschäfts- und Betriebsgeheimnisse, die ihm während und im Rahmen seiner Tätigkeit für die Gesellschaft oder mit der Gruppe verbundenen Unternehmen bekannt werden, vertraulich zu behandeln, unabhängig davon, ob sie als vertraulich gekennzeichnet oder offensichtlich als vertraulich erkennbar sind“.
Im Verlauf des Anstellungsverhältnisses versendete der Kläger (das Vorstandsmitglied) in neun Fällen geschäftliche E-Mails an seine private E-Mail-Adresse (bei dem Freemail-Anbieter GMX). Dies tat er, indem er seine private E-Mail-Adresse bei geschäftlicher Kommunikation auf Cc setzte. Inhalt dieser E-Mails waren sensible Daten (u.a. Provisionspläne, Gehalts- und Provisionsabrechnungen, Compliancevorgänge, Auseinandersetzungen zwischen Vorständen der Beklagten). Einem neubestellten Vorstand fiel anlässlich der Durchsicht diverser Unterlagen auf, dass der Kläger die E-Mails an seine private E-Mail-Adresse weitergeleitet hatte. Der Kläger versicherte, dass er die Informationen an keinen Dritten weitergeleitet habe und die Informationen zu jeder Zeit gegenüber Dritten geschützt gewesen seien. Kurz darauf beschloss der Aufsichtsrat, den Kläger mit sofortiger Wirkung aus wichtigem Grund aus dem Vorstand abzuberufen und ihn aus wichtigem Grund außerordentlich und fristlos zu kündigen.
Der Kläger trug zu seiner Verteidigung vor, dass es sowohl für den Widerruf der Organstellung als auch für die außerordentliche, fristlose Kündigung an einem wichtigen Grund fehle. Das Weiterleiten der E-Mails an seine private E-Mail-Adresse führe angesichts der von ihm vorgenommenen Sicherung auch seines privaten E-Mail-Accounts gegen den Zugriff Dritter nicht zu Geheimnisschutz- und Datenschutzverstößen, da nur er die Kennwörter kenne und auch nur er zugriffsberechtigt sei. Darüber hinaus behauptete der Kläger, nur solche E-Mails weitergeleitet zu haben, die aufgrund von besorgniserregenden Veränderungen im Betrieb der Beklagten unentbehrlich gewesen seien, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hätte.
Was hat das OLG entschieden?
Das OLG München entschied, dass die außerordentliche, fristlose Kündigung des Vorstandsdienstvertrags wirksam war und insbesondere ein wichtiger Grund für die außerordentliche, fristlose Kündigung vorlag. Zur Begründung führte das Gericht aus, dass die in der Weiterleitung der E-Mails auf den privaten Account des Klägers liegenden Rechtsverletzungen einen wichtigen Grund zur Kündigung im Sinne von § 626 Abs. 1 BGB darstellen.
Wichtiger Grund im Sinne von § 626 Abs. 1 BGB
Gemäß § 626 Abs. 1 BGB kann das Dienstverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
Verhalten „an sich geeignet“, einen wichtigen Grund darzustellen
Die Pflichtverletzung war nach Überzeugung des OLG „an sich“ geeignet, einen wichtigen Grund darzustellen.
Die Verschwiegenheitsverpflichtung des Vorstands ergibt sich aus § 93 Abs. 1 Satz 3 Aktiengesetz (AktG), der vorsieht, dass Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse der Gesellschaft, Stillschweigen zu bewahren haben. Da diese Vorschrift zwingendes Recht ist, kann sie weder ausgeschlossen noch eingeschränkt werden. Sie kann allerdings auch nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden. Als „vertrauliche Angaben und Geheimnisse der Gesellschaft“ gelten all jene Tatsachen, die nicht allgemein bekannt (d.h. offenkundig) sind und an deren Geheimhaltung ein objektives Interesse des Unternehmens besteht. Nach Überzeugung des Gerichts bezogen sich alle vom Kläger weitergeleiteten E-Mails auf betriebliche Angelegenheiten und beinhalteten keine offenkundigen Tatsachen.
Eine Verletzung der Verschwiegenheitsverpflichtung nach § 93 Abs. 1 Satz 3 AktG war dennoch nicht gegeben, da der Kläger den Inhalt unstreitig keinem Dritten mitgeteilt oder zugänglich gemacht hatte – allein die Weiterleitung zu einem Freemail-Anbieter reicht hierfür nach dem OLG nicht aus. Dass der Vorstandsdienstvertrag gegebenenfalls noch strengere Geheimhaltungspflichten enthielt, ist nach Auffassung des Gerichts unbeachtlich, da eine Erweiterung der gesetzlichen Geheimhaltungsverpflichtung durch den Vorstandsdienstvertrag nicht möglich ist.
Verstoß gegen Sorgfaltspflicht
Auch wenn der Kläger nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitspflicht verstoßen hat, so hat er nach Entscheidung des OLG München jedoch jedenfalls gegen seine sich aus § 91 Abs. 1 Satz 1 AktG ergebende Sorgfaltspflicht verstoßen. Diese fordert in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue. Diese Legalitätspflicht hielt der Kläger allerdings nicht ein, da die Weiterleitung der E-Mails auf den privaten Account und die dortige Speicherung eine Verletzung datenschutzrechtlicher Vorgaben darstellen.
Verstöße gegen die DSGVO als wichtiger Grund im Sinne von § 626 Abs. 1 BGB
In der Weiterleitung der E-Mails an die private E-Mail-Adresse lag eine Verarbeitung personenbezogener Daten, für die der Kläger eine Rechtsgrundlage benötigt hätte. Eine Einwilligung der betroffenen Personen hatte er nicht eingeholt. Darüber hinaus war die Weiterleitung auch nicht zur Wahrung berechtigter Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Das vom Kläger angeführte Argument, er habe die Unterlagen benötigt, um – jedenfalls seiner Vorstellung nach – später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat, schlägt nach dem OLG nicht durch.
Schließlich hatte der Kläger – solange er noch Vorstand war – qua Amt Zugriff auf die Unterlagen der Beklagten. Nach seiner Abberufung als Vorstand hat er einen gesetzlichen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Beklagten für seine Verteidigung benötigen sollte. Aufgrund der handels- und steuerrechtlichen Aufbewahrungspflichten ist er auch vor verfrühter Vernichtung der Unterlagen bei der Beklagten hinreichend geschützt.
Der Vorstand sei insoweit nicht anders zu beurteilen als ein Arbeitnehmer, dem es ohne Einverständnis des Arbeitgebers ebenso verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen (BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rn. 32).
Sensibilität der Daten und Häufigkeit der Pflichtverstöße entscheidend
Zwar ist nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der DSGVO schon „an sich“ geeignet, einen wichtigen Grund für die Kündigung darzustellen. Dies ist jedoch zumindest dann der Fall, wenn – wie hier – die E-Mails sensible Daten des Unternehmens und anderer Dritte betreffen.
Zu berücksichtigen war vorliegend ebenfalls, dass es sich nicht um einen singulären Vorfall handelte, sondern insgesamt neun E-Mails in einem Zeitraum von gut zwei Monaten weitergeleitet worden sind.
Gesamtabwägung fällt zu Lasten des Vorstands aus
Nach einer Gesamtwürdigung überwog das Interesse der Gesellschaft an der sofortigen Beendigung des Vorstandsanstellungsvertrags. Dabei berücksichtigte das Gericht zugunsten des Klägers, dass er zuvor mehr als acht Jahre beanstandungslos als Vorstand des Unternehmens tätig gewesen war und bereits ein fortgeschrittenes Lebensalter von nahezu 64 Jahren aufwies.
Berücksichtigung fand auch die Tatsache, dass die weitergeleiteten Daten weder zur Kenntnis an Dritte gelangt waren noch das Unternehmen für Verstöße gegen die DSGVO sanktioniert worden ist. Zu Lasten des Klägers wertete das Gericht – neben der Intensität und Häufigkeit der Datenschutzverstöße – insbesondere, dass er systematisch und rechtswidrig Material zur Vorbereitung einer eventuellen gerichtlichen Auseinandersetzung mit der Beklagten gesammelt hatte. Es sei nicht ersichtlich, wie die Beklagte unter solchen Umständen noch das notwendige Vertrauen in den Kläger dahingehend haben sollte, dass dieser mit seinen Handlungen – wie nach § 93 Abs. 1 Satz 2 AktG geboten – „zum Wohle der Gesellschaft“ handelt, so das Gericht.
Auch eine etwaig abweichende Absprache mit dem Vorstandsvorsitzenden war nicht zugunsten des Klägers in die Bewertung einzustellen. Der Vorstand könne sich nicht durch Absprache seiner Mitglieder untereinander von zwingenden Vorgaben der DSGVO befreien. Eine Billigung oder Duldung der DSGVO-Verstöße durch den Aufsichtsrat des Unternehmens lag zudem nicht vor, da es der Kläger selbst war, der seine private E-Mail-Adresse auf Cc setzte. Auch die behauptete Praxis, dass andere Mitarbeiter des Unternehmens ähnlich verfahren würden, vermochte den Kläger nicht zu entlasten.
Wie sollten sich Vorstandsmitglieder jetzt verhalten?
Angesichts der vorstehenden Rechtsprechung ist für Vorstandsmitglieder dringende Vorsicht geboten. Die Weiterleitung sensibler Daten (zum Beispiel Provisionspläne, Gehalts- und Provisionsabrechnungen, Compliancevorgänge, Auseinandersetzungen zwischen Vorstand und Unternehmen) kann zur Begründung einer außerordentlichen, fristlosen Kündigung und Abberufung aus dem Amt herangezogen werden. Einer Abmahnung bedarf es insoweit nicht. Vorstandsmitglieder sind gut beraten, entsprechende E-Mail-Verläufe daher weder in Papier- noch in elektronischer Form in ihren Privatbereich zu überführen. Das sofortige Ende des Vorstandsdienstverhältnisses und die Abberufung als Vorstand aus wichtigem Grund können die Folge sein. Es bleibt abzuwarten, inwieweit die Arbeitsgerichtsbarkeit die vorstehenden Erwägungen auch auf andere Führungskräfte überträgt.
Autor
Kim Kleinert
Lutz Abel, Berlin
Rechtsanwältin, Associate
kleinert@lutzabel.com
www.lutzabel.com
Autor
Niklas Vogt
Lutz Abel, Hamburg
Rechtsanwalt, Senior Associate