Update Datenschutz Nr. 186
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
Am 31. Juli 2024 entschied das Oberlandesgericht (OLG) München über die fristlose Kündigung eines Vorstandsmitglieds aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Der Kläger, ein ehemaliges Vorstandsmitglied der Beklagten, hatte gegen seine Pflichten verstoßen, indem er mehrfach dienstliche E-Mails an seinen privaten E-Mail-Account weiterleitete.
Hintergrund des Falls
Der Kläger war seit 2013 Vorstandsmitglied der Beklagten, einer nicht börsennotierten Aktiengesellschaft, die 2022 in eine GmbH umgewandelt wurde. Im Jahr 2021 leitete der Kläger mehrfach dienstliche E-Mails, die sensible betriebliche Informationen enthielten, an seinen privaten E-Mail-Account weiter. Diese E-Mails umfassten unter anderem Gehaltsabrechnungen, Provisionsansprüche von Mitarbeitern und Compliance-Vorgänge.
Entscheidung des Gerichts
Das OLG München bestätigte die fristlose Kündigung des Klägers durch die Beklagte. Das Gericht stellte fest, dass die Weiterleitung der E-Mails an den privaten Account des Klägers eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt, die nicht durch eine Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit.a) DSGVO) oder gedeckt war oder in seinem berechtigten Interesse lag (Art. 6 Abs. 1 lit. f) DSGVO). Diese Handlungen des Klägers wurden als schwerwiegende Pflichtverletzung eingestuft, da sie gegen die Datenschutzvorschriften verstießen und sensible Daten betrafen.
Interessanterweise lehnte das Gericht einen Verstoß gegen die gesetzlichen und vertraglichen Geheimhaltungspflichten des Klägers ab, da es an der Offenlegung gegenüber Dritten fehle und stütze die Zulässigkeit der außerordentlichen Kündigung allein auf den DSGVO-Verstoß.
Wichtige Aspekte des Urteils
- Kein Verstoß gegen Verschwiegenheitspflichten: Ein Verstoß gegen die gesetzlichen und vertraglichen Verschwiegenheitspflichten des Klägers lehnte das OLG ab, da der Kläger die Informationen keinem Dritten mitgeteilt oder zugänglich gemacht hatte. Die bloße Speicherung auf einem Freemail-Server reiche für eine Verletzung der Verschwiegenheitspflichten nicht aus. Auch eine Verwertung der Geheimnisse durch den Kläger sei unstreitig nicht erfolgt.
- Verstoß gegen die DSGVO: Die Weiterleitung der E-Mails an den privaten Account des Klägers wurde als unzulässige Verarbeitung personenbezogener Daten bewertet. Es lag keine Einwilligung der betroffenen Personen vor, und die Weiterleitung war auch nicht zur Wahrung berechtigter Interessen des Klägers erforderlich.
- Schwere der Pflichtverletzung: Das Gericht betonte, dass die Weiterleitung von E-Mails, die sensible Daten wie Gehaltsabrechnungen und Provisionsansprüche enthielten, eine erhebliche Verletzung der Vertraulichkeitspflichten darstellt. Diese Daten hätten nicht auf einem privaten Server gespeichert werden dürfen, da dies nicht den Sicherheitsstandards eines Unternehmens der IT-Branche entspricht.
- Interessenabwägung: Bei der Abwägung der Interessen beider Parteien kam das Gericht zu dem Schluss, dass das Interesse der Beklagten an der sofortigen Beendigung des Dienstverhältnisses überwog. Die systematische und wiederholte Weiterleitung sensibler Daten durch den Kläger rechtfertigte die fristlose Kündigung. Eine vorherige Abmahnung ist bei Vorständen nach der Rechtsprechung des BGH entbehrlich.
Fazit
Das Urteil des OLG München unterstreicht die Bedeutung der Einhaltung der DSGVO in Unternehmensstrukturen und die Konsequenzen bei Verstößen. Unternehmen sollten sicherstellen, dass alle Mitarbeiter, insbesondere Führungskräfte, umfassend über ihre Pflichten im Umgang mit personenbezogenen Daten informiert sind und diese strikt einhalten. Im Fall von Verstößen sind Unternehmen gehalten, umgehend zu reagieren. Sie sollten zum einen die arbeits-/dienstvertraglichen Konsequenzen prüfen, aber auch die datenschutzrechtlichen Pflichten, die aus einem Verstoß resultieren können (z. B. Meldepflichten), keinesfalls aus den Augen verlieren.