Das Thema Datenschutz hat durch die Datenschutz-Grundverordnung (DS-GVO) in den letzten Jahren eine immer wichtigere Rolle in Unternehmen eingenommen. Eine aktuelle Entscheidung des Oberlandesgerichts (OLG) München (Urteil vom 31. Juli 2024 – 7 U 351/23) verdeutlicht, wie ernst Verstöße gegen die DS-GVO genommen werden – insbesondere in Bezug auf den Umgang mit geschäftlichen E-Mails.
Der Fall
Der Kläger, ein Vorstandsmitglied des beklagten Unternehmens, das sich in seinem Anstellungsvertrag zur Geheimhaltung von vertraulichen Informationen unabhängig davon, ob sie als vertraulich gekennzeichnet oder offensichtlich als vertraulich erkennbar waren, verpflichtet hatte, versandte mehrere dienstliche E-Mails von seinem dienstlichen E-Mail-Account als Kopie („Carbon Copy“, „CC“) an seine private E-Mail-Adresse. Zu den vertraulichen Daten zählten laut seines Anstellungsvertrages insbesondere Informationen von Geschäftspartnern, Know-how, Kalkulationen, Adressdaten, Arbeitsergebnisse der Gesellschaft in Bezug auf Kunden sowie Projekte, die nur einem beschränkten Personenkreis zugänglich sind und der Allgemeinheit erkennbar nicht bekannt werden sollen. Vertrauliche Informationen durften demnach nicht ohne Genehmigung des Aufsichtsrats und der gegebenenfalls betroffenen Unternehmen weitergegeben werden. Die Verletzung dieser Geheimhaltungspflicht stellte laut dem Anstellungsvertrag einen wichtigen Grund zu seiner fristlosen Kündigung dar. Die an die private E-Mail-Adresse des Klägers versendeten E-Mails enthielten unter anderem seine Gehaltsabrechnungen und die Gehaltsabrechnungen eines vormaligen Vorstandesmitglieds, die Kontaktdaten von Ansprechpersonen innerhalb der eigenen Unternehmensgruppe, Verträge mit Kunden sowie Informationen zu Provisionszahlungen und Umsätzen.
Das beklagte Unternehmen berief das Vorstandsmitglied ab und kündigte den Anstellungsvertrag außerordentlich. Der Kläger wehrte sich gerichtlich gegen seine Abberufung und die außerordentliche Kündigung seines Anstellungsvertrages. Er trug vor, dass es an einem wichtigen Grund für seine Abberufung und Kündigung fehle. Sein privater E-Mail-Account sei gegen Zugriffe Dritter geschützt, da er alleine zugriffsberechtigt sei und nur er selbst die Passwörter kenne. Er habe die Informationen nicht heimlich an sich versendet, da seine private E-Mail-Adresse im „CC“ stand und daher für die Kommunikationspartner, unter anderem ein Aufsichtsratsmitglied, erkennbar war. Zu keinem Zeitpunkt habe er vertrauliche Informationen weitergegeben oder die Informationen zu betriebsfremden Zwecken verarbeitet. Aufgrund besorgniserregender Veränderungen im Betrieb der Beklagten habe er nur solche E-Mails weitergeleitet, die aus seiner Sicht unentbehrlich gewesen seien, um später beweisen zu können, keine haftungsbegründenden Fehler begangen zu haben.
Das Landgericht München stellte in seinem erstinstanzlichen Urteil fest, dass das Anstellungsverhältnis nicht außerordentlich gekündigt wurde, ansonsten wies es die Klage ab. Das beklagte Unternehmen legte beim OLG München Berufung ein.
Die Entscheidung
Das OLG gab der Berufung statt und erklärte den Anstellungsvertrag mit dem Kläger aufgrund der außerordentlichen Kündigung für beendet. Das Gericht sah in der Weiterleitung der streitgegenständlichen E-Mails einen wichtigen Grund, der die Beklagte zur außerordentlichen Kündigung des Anstellungsvertrages mit dem Kläger berechtigte, weil die Weiterleitung und Speicherung der E-Mails eine Verarbeitung i. S. d. Art. 4 Nr. 2 DS-GVO darstelle, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 lit a DS-GVO). Diese Weiterleitung sei auch nicht zur Wahrung der berechtigten Interessen des Klägers (Art. 6 Abs. 1 lit f DS-GVO) erforderlich gewesen. Zwar sei nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der DS-GVO schon „an sich“ als wichtiger Grund i. S. d. § 626 Abs. 1 BGB geeignet. Dies ist jedoch zumindest dann der Fall, wenn die E-Mails sensible Daten der Beklagten und anderer Dritter beträfen. Um solche sensiblen Daten handelte es sich vorliegend, da es in den E-Mails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisionsansprüche von Mitarbeitern, Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten ging. Zu berücksichtigen war darüber hinaus, dass die Weiterleitung nicht ein singulärer Vorfall war, sondern neun E-Mails weitergeleitet wurden.
Einen Verstoß gegen die im Anstellungsvertrag geregelte Geheimhaltungspflicht lehnte das Gericht ab, da die in § 93 Abs. 1 S. 3 AktG normierte Verschwiegenheitsverpflichtung nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden kann und ein Verstoß gegen die Verschwiegenheitspflichten nach Art. 93 Abs. 1 AktG nicht vorlag. Gem. § 404 AktG werden nur Verschwiegenheitsverstöße sanktioniert, wenn die Geheimnisse unbefugt offenbart oder verwendet werden. Offenbart wird ein Geheimnis, wenn es jemandem, der dieses Wissen noch nicht hat, mitgeteilt oder sonst in einer Weise zugänglich gemacht wird. Dem Kläger waren die Informationen schon bekannt, eine Weitergabe an Dritte erfolgte nicht. Der Kläger hat die Informationen auch nicht verwertet.
Praxis-Hinweis
Um rechtliche Risiken zu minimieren, sollten Unternehmen umfassende Compliance-Maßnahmen implementieren, die klare Richtlinien und Schulungen zur DS-GVO umfassen. Mitarbeiter müssen sich ihrer datenschutzrechtlichen Verantwortung bewusst sein, insbesondere im Umgang mit sensiblen Daten. Bei der Erarbeitung entsprechender Maßnahmen sind wir Ihnen gerne behilflich.
