Fristlose Kündigung wegen Datenschutzverstoß:
Warum die Weiterleitung sensibler Daten an private E-Mail-Adressen fatale Folgen haben kann
Datenschutzverstöße von Beschäftigten sind immer wieder auch ein Grund für Unternehmen, über die Ergreifung von arbeitsrechtlichen Schritten wie z.B. Abmahnung oder Kündigung nachzudenken. Modelle wie mobile Arbeit und Homeoffice, fördern bei manchen Beschäftigten zudem das Bedürfnis, dauerhaft und überall Zugriff auf dienstliche Unterlagen zu haben.
Gerade in Unternehmen, in denen es keine klaren Regelungen zum Umgang mit IT-Equipment und der zulässigen Nutzung von E-Mail gibt, kommen tägliche Praktiken häufig in Konflikt mit den Regelungen der DSGVO.
Insbesondere die Weiterleitung von dienstlichen E-Mails an private E-Mail-Konten ist ein Beispiel für einen Verstoß gegen die DSGVO, der oftmals weder den Unternehmen, noch den Beschäftigten in der Reichweite klar zu sein scheint.
Doch warum stellt diese Weiterleitung dienstlicher E-Mails an private E-Mail-Postfächer eine so schwerwiegende Verletzung der DSGVO dar, und wann rechtfertigt ein derartiges Verhalten eine fristlose Kündigung?
1. Der Verstoß gegen die DSGVO bei Weiterleitung dienstlicher E-Mails an private E-Mail-Postfächer
Die DSGVO regelt den Umgang mit personenbezogenen Daten streng, um die Rechte der betroffenen Personen zu schützen. Laut Art. 6 DSGVO bedarf jede Verarbeitung personenbezogener Daten einer rechtlichen Grundlage. Diese kann entweder in einer Einwilligung oder in einer anderen in Art. 6 DSGVO geregelten Rechtsgrundlage liegen. Ohne eine Rechtsgrundlage ist die Weiterverarbeitung rechtswidrig. Was vielen dabei nicht bewusst ist, ist, dass bereits in der Weiterleitung der dienstlichen E-Mail eine eigene Verarbeitung personenbezogener Daten liegt. Für diese Weiterleitung ist daher auch eine Rechtsgrundlage aus der DSGVO notwendig. Da hierfür in den meisten Fällen keine Einwilligung der betroffenen Personen eingeholt wird, scheidet Art. 6 Abs. 1 a) DSGVO als Rechtsgrundlage regelmäßig aus. Auch kann die Weiterleitung nicht auf Art. 6 Abs. 1 b). § 26 Abs. 1 BDSG gestützt werden, da die Nutzung der privaten E-Mail-Adresse nie für die Erfüllung des Arbeitsverhältnisses erforderlich ist. Gleiches gilt für Art. 6 Abs. 1 f) DSGVO. Eine unautorisierte Weiterleitung von E-Mails mit personenbezogenen Daten an private E-Mail-Accounts erfüllt daher den Tatbestand einer unzulässigen Verarbeitung (Art. 4 Nr. 2 DSGVO).
Zu beachten ist auch, dass häufig private Accounts genutzt werden, die die Daten in Drittstaaten verarbeiten. Auch hat das Unternehmen keinerlei Kontrolle und Einflussmöglichkeiten auf die weitere Verarbeitung der dienstlichen Daten in den privaten Postfächern.
Das Problem der Sicherheit: Neben der fehlenden Rechtsgrundlage stellt ein zentrales Problem die oftmals schwächeren Sicherheitsniveaus privater E-Mail-Provider im Vergleich zu den geschützten Netzwerken eines Unternehmens dar. Solche privaten E-Mail-Accounts – oft bei Freemail-Anbietern – sind nicht in gleichem Maße gegen unbefugte Zugriffe gesichert, wie die internen Netzwerke der Unternehmen. Im Gegenteil – die Gegenleistung für „Free“- Mail ist gerade, dass der Anbieter oftmals die Daten zu eigenen Zwecken nutzen darf. Damit steigt das Risiko, dass sensible Unternehmensdaten oder personenbezogene Informationen offengelegt werden.
2. Gerichtsurteile zur Weiterleitung dienstlicher E-Mails an private E-Mail-Postfächer: Fristlose Kündigungen nach DSGVO-Verstößen
Deutsche Arbeitsgerichte haben in zahlreichen Urteilen bestätigt, dass eine unberechtigte Weiterleitung von E-Mails mit sensiblen Daten einen Verstoß gegen arbeitsrechtliche und datenschutzrechtliche Pflichten darstellt. Drei prägnante Fälle verdeutlichen dies:
Fall 1: LAG Hamm, Urteil vom 28. Mai 2020 (15 Sa 2008/19)
In diesem Fall leitete eine Angestellte, die sich in einem Konflikt mit ihrem Arbeitgeber befand, mehrere dienstliche E-Mails an ihre private Adresse weiter, um sich angeblich gegen mögliche Vorwürfe zu schützen. Darunter befanden sich sensible Geschäftsunterlagen wie Preislisten und Kundenanalysen. Das Gericht stellte in seinem Urteil fest, dass dies ein erheblicher Verstoß gegen die arbeitsvertragliche Rücksichtnahmepflicht war, da kein dienstliches Erfordernis für die Weiterleitung bestand. Trotz der Spannungen im Arbeitsverhältnis rechtfertigten diese keine Selbsthilfe der Arbeitnehmerin. Der Verstoß war schwerwiegend genug, um eine außerordentliche Kündigung zu rechtfertigen.
Fall 2: LAG Niedersachsen, Urteil vom 21. März 2019 (13 Sa 371/18)
In einem weiteren Fall sah das Landesarbeitsgericht Niedersachsen den Vertrauensbruch als so gravierend an, dass es eine fristlose Kündigung nach der Weiterleitung von sensiblen Informationen an eine private E-Mail-Adresse als gerechtfertigt ansah. Der Arbeitnehmer hatte mehrfach ohne Erlaubnis personenbezogene Daten weitergeleitet, was eine erhebliche Verletzung der datenschutzrechtlichen Vorgaben darstellte.
Fall 3: OLG München, Urteil vom 31. Juli 2024 (7 U 351/23)
Hier leitete ein Vorstandsmitglied einer Gesellschaft wiederholt interne Unternehmensdokumente an seinen privaten E-Mail-Account weiter. Das Gericht bestätigte, dass dies eine grobe Verletzung der Geheimhaltungspflicht darstellt und gleichzeitig einen Verstoß gegen die DSGVO bedeutet. Besonders in sensiblen Bereichen, wie Finanz- und Geschäftsdaten, sei ein solcher Umgang mit vertraulichen Informationen untragbar. Das Gericht bestätigte die fristlose Kündigung.
3. Warum kann die Weiterleitung dienstlicher E-Mails an private E-Mail-Postfächer eine fristlose Kündigung rechtfertigen?
Eine fristlose Kündigung erfordert nach § 626 BGB einen "wichtigen Grund". Dieser liegt vor, wenn Tatsachen bekannt werden, die es dem Arbeitgeber unzumutbar machen, das Arbeitsverhältnis auch nur bis zum Ablauf der regulären Kündigungsfrist fortzusetzen. Der Umgang mit vertraulichen Informationen und personenbezogenen Daten gehört zu den wichtigsten Pflichten eines Arbeitnehmers. Verstöße dagegen können das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer irreparabel zerstören, insbesondere wenn personenbezogene Daten oder Betriebsgeheimnisse betroffen sind.
Eine Weiterleitung solcher Informationen an einen privaten E-Mail-Account kann das Unternehmen erheblichen Risiken aussetzen, sowohl in Bezug auf finanzielle Schäden als auch auf Reputationsverluste. In allen beschriebenen Urteilen betonten die Gerichte, dass der unrechtmäßige Umgang mit sensiblen Daten das Vertrauen in die Vertragstreue des Arbeitnehmers nachhaltig erschüttert und eine Fortsetzung des Arbeitsverhältnisses unzumutbar macht.
4. Was können Arbeitgeber tun um eine widerrechtliche Weiterleitung an private E-Mail-Konten zu verhindern?
- Richtlinien und Schulungen: Arbeitgeber sollten klare Richtlinien für den Umgang mit sensiblen Daten, der IT-Infrastruktur und den Versand von E-Mails aufstellen. Diese Richtlinien sollten auch explizit die Weiterleitung an private E-Mail-Adressen verbieten. Regelmäßige Schulungen sind wichtig, um das Bewusstsein der Mitarbeiter für die Risiken und Konsequenzen solcher Verstöße zu schärfen.
- Unternehmensweites Konzept zur Nutzung der IT-Infrastruktur und E-Mails, das sicherstellt, dass alle Beschäftigten im Rahmen der Aufgaben datenschutzkonform arbeiten können
Fazit
Die unberechtigte Weiterleitung von dienstlichen E-Mails an private E-Mail-Adressen stellt einen klaren Verstoß gegen die DSGVO und die arbeitsvertraglichen Pflichten dar. Gerichte haben mehrfach bestätigt, dass dies eine fristlose Kündigung rechtfertigen kann. Unternehmen sind gut beraten, ihre Mitarbeiter regelmäßig über die datenschutzrechtlichen Anforderungen zu informieren und geeignete Sicherheitsvorkehrungen zu treffen, um solche Verstöße zu verhindern. Für Beschäftigte bedeutet dies, dass der sorglose Umgang mit personenbezogenen Daten gravierende arbeitsrechtliche Konsequenzen nach sich ziehen kann – bis hin zum sofortigen Verlust des Arbeitsplatzes.