In der Datenschutz-Grundverordnung (DSGVO) sind umfassende Regelungen und Anforderungen mit Blick auf den Umgang mit personenbezogenen Daten enthalten. Wird gegen diese Vorgaben verstoßen, kann dies für Unternehmen unangenehme Folgen nach sich ziehen: Neben rechtlichen und finanziellen Konsequenzen in Form empfindlicher Bußgelder drohen Reputationsschäden. Doch die Folgen sind nicht auf die Unternehmen begrenzt: Auch Mitarbeiter müssen mit arbeitsrechtlichen Konsequenzen rechnen, wenn sie gegen datenschutzrechtliche Vorschriften verstoßen. Je nach den Umständen des Einzelfalls reichen die Folgen von einer Abmahnung bis hin zu einer fristlosen Kündigung. Wie ein aktuelles Urteil des Oberlandesgerichts (OLG) München bestätigt, gilt dies insbesondere in dem in der Praxis nicht selten vorkommenden Fall, dass Mitarbeiter sensible personen- und geschäftsbezogene Daten an ihre private E-Mail-Adresse weiterleiten.
Arbeitsrechtliche Konsequenzen bei Datenschutzverstößen
Datenschutzverstöße durch Mitarbeiter können in der Praxis in vielfältiger Hinsicht auftreten. Beispielhaft genannt seien der unbefugte Zugriff eines Mitarbeiters auf personenbezogene Daten, die Weiterleitung personenbezogener Daten an Dritte, der Verlust oder Diebstahl von Datenträgern, die unsachgemäße Speicherung oder Entsorgung personenbezogener Daten sowie die Nutzung privater Endgeräte ohne angemessene Sicherheitsvorkehrungen. Ein besonders kritischer Fall ist zudem der in der Praxis nicht selten vorkommende Fall der Weiterleitung sensibler Daten an private E-Mail-Adressen.
Der Verstoß eines Mitarbeiters gegen die Vorgaben der DSGVO kann mit unterschiedlichen arbeitsrechtlichen Maßnahmen geahndet werden. Diese reichen von einer Abmahnung bis hin zur fristlosen Kündigung. Ob ein Verstoß gegen Vorschriften der DSGVO einen wichtigen Grund im Sinne von § 626 Abs. 1 BGB für eine außerordentliche Kündigung darstellt, richtet sich – wie immer – nach den Umständen des Einzelfalls. Insofern sind unter anderem folgende Faktoren zu berücksichtigen: Im Rahmen der Interessenabwägung ist zu prüfen, ob das Interesse des Arbeitgebers an einer sofortigen Beendigung des Arbeitsverhältnisses das Interesse des Arbeitnehmers an einem Fortbestand des Arbeitsverhältnisses überwiegt. Hier spielen unterschiedliche Aspekte eine Rolle: Zu berücksichtigen sind insbesondere die Schwere des Datenschutzverstoßes, die Folgen für das Unternehmen und das Verschulden des Arbeitnehmers. Eine lange Betriebszugehörigkeit sowie Unterhaltspflichten können zugunsten des Arbeitnehmers zu berücksichtigen sein. Daneben ist im Rahmen der Verhältnismäßigkeit zu prüfen, ob ein milderes Mittel – insbesondere eine Abmahnung – in Frage kommt.
Weiterleitung sensibler Daten an private E-Mail-Adresse als fristloser Kündigungsgrund
Insbesondere dann, wenn Mitarbeiter sensible personen- und geschäftsbezogene Daten an ihre private E-Mail-Adresse weiterleiten, kann ein „an sich“ wichtiger Grund im Sinne von § 626 Abs. 1 BGB vorliegen. Je nach den Umständen des Einzelfalls kann nach Abwägung der wechselseitigen Interessen eine fristlose Kündigung gerechtfertigt sein. Dies hat zuletzt das OLG München (Urteil vom 31.07.2024 – 7 U 351/23e) entschieden (siehe hierzu auch den Beitrag in Deutscher AnwaltSpiegel, Ausgabe 22/2024). Die Entscheidung zeigt: Diese Grundsätze und Konsequenzen gelten nicht nur für Arbeitnehmer, sondern auch für Führungskräfte bis hin zur Vorstandsebene.
In dem der Entscheidung zugrundeliegenden Fall hatte ein Vorstandsmitglied einer Aktiengesellschaft über einen längeren Zeitraum hinweg betriebsinterne E-Mails an seinen privaten E-Mail-Account weitergeleitet. Diese E-Mails enthielten sensible Daten, darunter Gehaltsinformationen, interne Abstimmungen und strategische Dokumente. Nach Bekanntwerden des Sachverhalts wurde das Vorstandsmitglied abberufen und das Dienstverhältnis außerordentlich und fristlos gekündigt.
Das Gericht bestätigte die Wirksamkeit der Kündigung. Zwar lag nach Auffassung des OLG München in dem der Entscheidung zugrundeliegenden Fall kein Verstoß gegen die Verschwiegenheitspflicht nach § 93 Abs. 1 Satz 3 AktG vor. Denn die Verschwiegenheitsverpflichtung sei nur verletzt, wenn ein Geheimnis der Gesellschaft offenbart oder verwertet werde (§ 404 AktG). Da im entscheidungsrelevanten Fall lediglich eine Speicherung auf dem Server stattgefunden hatte, sah das Gericht diese Voraussetzungen nicht als erfüllt an. Nach Auffassung des OLG München habe das Vorstandsmitglied allerdings gegen die ihn obliegende, aus § 91 Abs. 1 Satz 1 AktG folgende Sorgfaltspflicht verstoßen. Denn die Weiterleitung der E-Mails auf den privaten Account und die dortige Speicherung stelle eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt gewesen sei (Art. 6 Abs. 1 lit. a DSGVO).
Das OLG stellte in seiner Entscheidung klar, dass zwar nicht jeder Verstoß gegen Vorschriften der DSGVO einen „an sich“ wichtigen Grund gemäß § 626 Abs. 1 BGB darstelle. Ein solcher sei aber insbesondere dann gegeben, wenn sensible personenbezogene Daten des Arbeitgebers und Dritter betroffen seien. Darüber hinaus sei zu berücksichtigen, dass das Vorstandsmitglied gleich in neun Fällen E-Mails an seinen privaten E-Mail-Account weitergeleitet hatte. Das OLG München führte aus, ein Vorstandsmitglied sei nicht anders zu beurteilen als ein Arbeitnehmer. Diesem sei es grundsätzlich ebenso untersagt, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen.
Auswirkungen für die Praxis
Die Entscheidung des OLG München ist zu begrüßen. Sie zeigt einmal mehr auf, dass Verstöße gegen die Datenschutz-Grundverordnung keine Lappalien darstellen. Liegt ein Verstoß gegen datenschutzrechtliche Vorgaben vor, sollten Arbeitgeber arbeitsrechtliche Konsequenzen in Erwägung ziehen und im Zweifel auch umsetzen. So wird auch gegenüber der Belegschaft deutlich signalisiert, dass Verstöße gegen Datenschutzvorschriften nicht auf die leichte Schulter genommen werden. Zudem haftet das Unternehmen als Verantwortlicher für Verstöße gegen die DSGVO.
Arbeitgeber sollten nicht nur repressive Maßnahmen ergreifen, sondern auch proaktiv tätig werden. Es gilt, das Auftreten von Datenschutzverstößen durch das Ergreifen geeigneter präventiver Maßnahmen von vornherein zu vermeiden. Eine klare Datenschutzstrategie schützt nicht nur vor Bußgeldern und Reputationsschäden, sondern trägt auch dazu bei, das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen zu stärken.
In diesem Zusammenhang ist es von besonderer Bedeutung, das Bewusstsein der Mitarbeiter für die datenschutzrechtlichen Anforderungen zu stärken. Dies kann insbesondere durch Schulungen, die Herausgabe von Informationsmaterial oder ähnliches geschehen. Wichtig ist, nicht nur die rechtlichen Grundlagen der DSGVO zu vermitteln, sondern auch praktische Beispiele und klare Handlungsanweisungen für den Arbeitsalltag mitzugeben. Daneben empfiehlt es sich, klare Richtlinien und Prozesse für den Umgang mit personenbezogenen Daten zu etablieren. Insbesondere die Weiterleitung sensibler personen- und geschäftsbezogener Daten an private E-Mail-Accounts sollte strikt untersagt werden. Die Einhaltung der Vorgaben und Richtlinien sollte regelmäßig überprüft werden.
Kommt es trotz dieser präventiven Maßnahmen zu einem Verstoß gegen datenschutzrechtliche Vorgaben bzw. besteht ein dahingehender Verdacht, sollten Arbeitgeber den Sachverhalt sorgfältig und zügig unter Beteiligung des Datenschutzbeauftragten aufklären. Die Ergebnisse sollten datenschutzkonform dokumentiert werden.
Autor
Dr. Kerstin Seeger
KLIEMT.Arbeitsrecht, Düsseldorf
Rechtsanwältin, Fachanwältin für Arbeitsrecht, Counsel