In jedem Unternehmen ist der betriebliche Austausch sensibler Daten per E-Mail längst Alltag – seien es Abrechnungen, Vertragsunterlagen oder andere interne Informationen. Die scheinbar einfache Weiterleitung dienstlicher Informationen an die private E-Mail-Adresse ist jedoch ein Datenschutzverstoß und kann gravierende rechtliche Konsequenzen haben. Das Oberlandesgericht München (OLG München, Urteil v. 31.7.2024 – 7 U 351/23 e) entschied im Falle eines Vorstands, dass solche Datenschutzverstöße zur fristlosen Kündigung führen können.
Der Fall (verkürzt):
Die Parteien streiten um die Abberufung des Klägers als Vorstand und um die Auflösung seines Vorstandsanstellungsvertrags.
Der Kläger wurde mit Beschluss des Aufsichtsrats befristet bis zum 14.9.2022 zum Vorstand bestellt.
Innerhalb weniger Monate versandte das Vorstandsmitglied insgesamt neun E-Mails, die vertrauliche betriebliche Informationen – einschließlich personenbezogener Daten – enthielten, von seinem dienstlichen E-Mail Account, wobei jeweils seine private E-Mail-Adresse auf CC gesetzt war.
Dies fiel Ende September 2021 einem weiteren neu bestellten Vorstandsmitglied anlässlich der Durchsicht diverser Unterlagen auf. Daraufhin konfrontierte der Vorstand den Kläger damit, woraufhin dieser am 30.9.2021 Stellung nahm.
Der Aufsichtsrat beschloss in seiner Sitzung vom 11.10.2021, den Kläger aus wichtigem Grund mit sofortiger Wirkung aus dem Vorstand abzuberufen und den Vorstandsdienstvertrag fristlos noch am selben Tag zu kündigen.
Das Landgericht München I hat festgestellt, dass das Vorstandsanstellungsverhältnis durch die fristlose Kündigung nicht aufgelöst worden sei. Zur Begründung führte das Landgericht u.a. aus, dass die Kündigung nicht innerhalb der Frist des § 626 Abs. 2 S. 2 BGB ausgesprochen worden sei. Für den Beginn dieser Frist sei auf die Kenntnis des Aufsichtsrates als Kollegialorgan vom Kündigungsgrund, d.h. von der Weiterleitung dienstlicher E-Mails an den privaten E-Mail-Account des Klägers, abzustellen.
Die Entscheidung:
Im Berufungsverfahren hat das Oberlandesgericht entschieden, dass die Kündigung rechtswirksam war:
I. Wichtiger Grund nach § 626 Abs. 1 BGB
Das Gericht hat festgestellt, dass die wiederholte Weiterleitung sensibler E-Mails von einem dienstlichen auf einen privaten Account einen wichtigen Grund i.S.v. § 626 Abs. 1 BGB darstellen kann. Zwar lag keine Verletzung der aktienrechtlichen Verschwiegenheitspflicht nach § 93 Abs. 2 S. 3 AktG vor, weil die Inhalte nicht an unbefugte Dritte gelangt sind. Eine unerlaubte Datenverarbeitung kann jedoch ein Verstoß gegen die in § 93 Abs. 1 AktG verankerten Sorgfalts- und Legalitätspflichten des Vorstands sein.
Die Weiterleitung von E-Mails auf einen privaten Account und die dortige Speicherung stellt eine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DSGVO dar. Es bedarf also einer Rechtfertigung nach Art. 6 Abs. 1 DSGVO (z.B. die Einwilligung der betroffenen Personen). Fehlt eine Rechtfertigung, ist die Verarbeitung rechtswidrig.
Zwar ist nicht jeder Verstoß gegen die DSGVO schon als wichtiger Grund i.S.d. § 626 Abs. 1 BGB anzusehen. Dies ist jedoch zumindest dann der Fall, wenn die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der E-Mails an den privaten Account sensible Daten des Unternehmens oder anderer Dritter betrifft.
Das Gericht hat auch festgestellt, dass die Weiterleitung betrieblicher E-Mails an einen privaten Account auch nicht zum Zwecke einer prophylaktischen Selbsthilfe gerechtfertigt ist. Denn ein Vorstand hat qua Amt Zugriff auf die Unterlagen der Gesellschaft. Nach seiner Abberufung hat er einen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Gesellschaft für seine Verteidigung benötigen sollte. Ein Vorstand ist demnach nicht anders zu behandeln als ein Arbeitnehmer, dem es ebenso ohne Einverständnis des Arbeitgebers verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen. Dem Rechtsschutzinteresse einer Partei, die sich nicht im Besitz prozessrelevanter Urkunden befindet, trägt das Gesetz nämlich mit den Regelungen zur Vorlagepflicht in § 142 ZPO und § 424 ZPO Rechnung.
Hinweis für die Praxis:
Vorstände – wie auch Arbeitnehmer – haben zwingend die Vorschriften der DSGVO einzuhalten. Unternehmen sollten dies regelmäßig kommunizieren, um sicherzustellen, dass sensible Daten niemals ohne Zustimmung oder auf rechtlicher Grundlage auf private E-Mail-Accounts gelangen. Dasselbe gilt schon aus eigenem Unternehmensinteresse für Betriebsgeheimnisse.
II. Zweiwochenfrist des § 626 Abs. 2 BGB
Das Landgericht hatte in erster Instanz noch angenommen, dass die zweiwöchige Kündigungsfrist des § 626 Abs. 2 BGB verstrichen sei. Dem hat das Oberlandesgericht widersprochen. Es betonte, dass der Aufsichtsrat nach der Rechtsprechung des BGH erst dann Kenntnis i.S.d. § 626 Abs. 2 BGB hat, wenn das Gremium in einer Sitzung die für die Kündigungsentscheidung relevanten Tatsachen erfährt, auch insoweit eine parallele zum Arbeitsrecht. Eine frühere Information eines einzelnen Aufsichtsratsmitglieds kann die Frist nicht auslösen, solange dieses Wissen nicht organintern geteilt wird.
Ausnahme: Wird die Einberufung des Aufsichtsrats einer AG von ihren einberufungsberechtigten Mitgliedern nach Kenntniserlangung von dem Kündigungssachverhalt unangemessen verzögert, muss sich der Aufsichtsrat so behandeln lassen, als wäre die Aufsichtsratssitzung mit der billigenderweise zumutbaren Beschleunigung einberufen worden.
Hinweis für die Praxis:
Bei Verstößen ist rasches Handeln geboten, weil eine verspätete Reaktion die Wirksamkeit der Kündigung gefährden kann. Gesellschaften sollten sicherstellen, dass der Aufsichtsrat (bzw. bei einer GmbH die Gesellschafterversammlung) bei einem Verdacht auf schwerwiegende Pflichtverstöße zügig einberufen wird, um alle relevanten Informationen zu bündeln und zeitnah über das weitere Vorgehen zu entscheiden
III. Keine Pflicht zur Abmahnung
Für die außerordentliche Kündigung eines Vorstands bedarf es keiner vorherigen Abmahnung. Lässt das Verhalten des Vorstands bereits eine erhebliche Widerholungsgefahr erkennen, greift auch der Einwand nicht durch, bei einem Hinweis auf die Rechtswidrigkeit eine Änderung des Verhaltens in Aussicht zu stellen.
Hinweis für die Praxis:
Gesellschaften und Aufsichtsräte müssen bei derart gravierenden Pflichtverletzungen wie im Fall des Vorstandes nicht erst abmahnen. Dennoch sollte stets geprüft werden, ob es Sinn ergibt, die betreffende Person vor der fristlosen Kündigung anzuhören und ihr Gelegenheit zur Stellungnahme zu geben, um zunächst vollständige Aufklärung zu betreiben. Aus der Entscheidung des OLG geht nämlich hervor, dass bis zur Aufklärung des Sachverhalts die Frist zur Kündigung noch nicht begonnen hat. Hier wird man auch eine Parallele aus dem Arbeitsrecht ziehen können, wonach die Aufklärung rasch zu erfolgen hat und die kündigungsberechtigten Personen oder Organe sich nicht in eine dauerhafte Unkenntnis flüchten können, um den Fristbeginn für die Erklärung der Kündigung hinauszuzögern.
Fazit:
Verstöße gegen Datenschutzbestimmungen können weitreichende Konsequenzen haben bis hin zur fristlosen Kündigung und Abberufung oberster Gesellschaftsorgane – sogar ohne Abmahnung. Das Weiterleiten von Unternehmens- und Personendaten an eine private E-Mail-Adresse ohne entsprechende datenschutzrechtliche Rechtfertigung ist keine Bagatelle, sondern ein ernstzunehmender Pflichtenverstoß.
Arbeitgeber und Unternehmen sollten klare Vorgaben im Umgang mit vertraulichen Informationen definieren und diese regelmäßig kommunizieren. Auch sollten die technischen Maßnahmen (z.B. Zugriffs und Verschlüsselungsregelungen) und verbindlichen Dienstanweisungen überprüft und ggf. angepasst werden. Insbesondere Geschäftsführung und Vorstand sollten in ihrer Vorbildfunktion darauf achten, dass sensible Daten ausschließlich zweckgebunden verarbeitet werden.
Bei Kenntnis von Verdachtsfällen müssen sollten sie diesen rasch nachgehen, sie aufklären und dokumentieren.
Autoren: Christian Hrach und Nicolas Fischer
Autoren
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
