Unternehmen haben nicht zuletzt aufgrund möglicher behördlicher Sanktionen ein erhebliches Interesse an der Geheimhaltung und Vertraulichkeit von sensiblen Daten. Unabhängig von der rechtlichen Seite kann auch die Reputation erheblichen Schaden nehmen, sofern es zu Datenleaks kommt.
Doch was passiert eigentlich, wenn Arbeitnehmende oder Vertretungsorgane sensible Daten an ihre privaten E-Mail-Adressen versenden? Unternehmen haben sodann keinerlei Kontrolle mehr über die Daten. Gegen derartiges Verhalten stehen Unternehmen individualrechtliche Mittel wie Abmahnungen oder (außerordentliche) Kündigungen zur Verfügung. In jüngerer Zeit ist es vermehrt zu gerichtlichen Entscheidungen in diesem Zusammenhang gekommen, aus denen sich erste Leitlinien für die arbeitsrechtliche Praxis ergeben.
1. Stufe (Vorliegen eines wichtigen Grundes „an sich“)
Bereits durch das Weiterleiten auf den privaten Account werden die Daten dem datenschutzrechtlich Verantwortlichen – den Arbeitgebenden – entzogen. Dies stellt für sich einen Vertragsverstoß dar. Zu berücksichtigen ist, dass den Arbeitgebenden die höchstpersönlichen Daten überlassen worden sind und darauf vertraut wird, dass dieser die Daten schützt. Auch wenn die Daten der Amtsausübung dienen oder eine Sicherung der sich nun auf einem privaten E-Mail-Account befindlichen Daten durch Passwörter oder Laufwerkverschlüsselungen vorhanden ist, liegt ein wichtiger Grund "an sich" vor.
2. Stufe (Vorliegen eines wichtigen Grundes im Einzelfall)
Im Einzelfall war zu berücksichtigen, dass ein Wahlvorstandsmitglied gehandelt hat und somit gesondert festzustellen war, dass es sich nicht um eine Amtspflichtverletzung, welche nur betriebsverfassungsrechtlich sanktioniert werden kann, sondern eine Verletzung des Arbeitsvertrags vorlag. Das Wahlvorstandsmitglied hatte jedoch auch als einfacher Arbeitnehmer sensibel mir den Daten umzugehen.
Die Versendung der personenbezogenen Daten ist nach Ansicht des ArbG Mannheim als schwerwiegender Pflichtenverstoß zu werten und zerstört das Vertrauensverhältnis zwischen Arbeitgebenden und Arbeitnehmenden irreparabel. Einer Abmahnung bedurfte es in diesem Falle nicht, denn mit einer Billigung dieses Verhaltens konnte offensichtlich nicht gerechnet werden. Hervorgehoben wurde vom Arbeitsgericht, dass durch den Versand der Wählerlisten die persönlichen Daten der gesamten Belegschaft betroffen waren. Ferner stellte das Arbeitsgericht noch fest, dass dieses Verbot der Weiterleitung persönlicher Daten dem Arbeitnehmer auch ohne besondere Schulung bewusst sein muss.
Das Urteil des ArbG Mannheim ist bislang nicht rechtskräftig, sondern unter dem Aktenzeichen 12 Sa 33/23 beim LAG Baden-Württemberg anhängig.
Im Juli 2024 entschied das OLG München, dass auch die außerordentliche Kündigung eines Vorstandsmitglieds nach § 626 Abs. 1 BGB bei Weiterleitung sensibler Daten an den privaten E-Mail-Account gerechtfertigt sein kann. Das Vorstandsmitglied hatte sich im Rahmen diverser E-Mail-Korrespondenzen selbst mit seiner privaten E-Mail in Kopie gesetzt.
1. Stufe (Vorliegen eines wichtigen Grundes „an sich“)
Auch auf die Dienstverhältnisse von Vorstandsmitgliedern findet § 626 BGB Anwendung. Werden personenbezogene Daten an den privaten E-Mail-Account weitergeleitet und dort gespeichert, so ist dies nach Ansicht des OLG München eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO. Hinsichtlich dieser liegt keine Einwilligung nach Art. 6 Abs. 1 Buchstabe a DS-GVO der betroffenen Person vor. Auch der Wunsch des Vorstandsmitglieds, die Daten zu Beweiszwecken zur Vermeidung zukünftiger Haftung zu sichern, kann die Weiterleitung nicht rechtfertigen. Selbiges gilt für eine gegenteilige bestehende Praxis unter den Mitarbeitenden.
2. Stufe (Vorliegen eines wichtigen Grundes im Einzelfall)
Auch gegenteilige Absprachen mit dem Vorstandsvorsitzenden können laut dem OLG München nicht zu einer Entlastung des Vorstandsmitglieds führen. Die Vorgaben der DS-GVO sind zwingend und selbstverständlich auch von Vorstandsmitgliedern zu beachten.
Das Ausdrucken der E-Mails würde zudem ebenfalls einen Verstoß gegen die DS-GVO darstellen und soweit sich das Vorstandsmitglied auf diese Möglichkeit beruft, zeugt dies nach Ansicht des OLG München von seiner Uneinsichtigkeit und einer möglichen Wiederholungsgefahr.
Es bestand auf Seiten des Unternehmens zudem ein hohes Vertraulichkeitsinteresse an den in den E-Mails enthaltenen hoch sensiblen Daten. Auch leitete sich das Vorstandsmitglied wiederholt E-Mails weiter. Negativ wirkte sich für das Vorstandsmitglied zudem aus, dass dieses die Daten zu Beweiszwecken gesammelt hat, um diese im Rahmen gerichtlicher Auseinandersetzungen gegen die Beklagte zu verwenden. Das Vertrauensverhältnis war hier irreparabel gestört.
Die Weiterleitung von sensiblen Daten ist kein Kavaliersdelikt und kann zu einer außerordentlichen Kündigung führen. Dies gilt auch bei (vermeintlich) leichtfertig oder im Interesse des Unternehmens begangener Pflichtverstöße. Es gilt aber auch hier: Aufgrund der vorzunehmenden Interessenabwägung kommt es immer auf den Einzelfall an. Eine vereinzelte Weiterleitung von "unproblematischen" Daten dürfte anders ins Gewicht fallen als die systematische Weiterleitung von sensiblen Daten. Unternehmen sind daher gut beraten, ausdrücklich auf diese Thematik hinzuweisen und die Weiterleitung sensibler Daten nicht zu tolerieren. Hierzu bieten sich Regelungen in entsprechenden Weisungen, Policies oder Betriebsvereinbarungen an.