Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer

In einer aktuellen Entscheidung des Oberlandesgerichts München (7 U 351/23 e) wurde erneut die schwerwiegende Problematik des unsachgemäßen Umgangs mit sensiblen Daten und die damit verbundenen Haftungsrisiken für thematisiert. Das Urteil verdeutlicht, wie entscheidend es für Geschäftsführer ist, sich der strengen Anforderungen der -Grundverordnung () bewusst zu sein und sicherzustellen, dass alle unter ihrer Führung agierenden Organe und Mitarbeiter datenschutzkonforme Prozesse einhalten.

Sachverhalt: Datenschutzverletzung durch E-Mail-Weiterleitung

Im vorliegenden Fall hatte ein Vorstandsmitglied über einen längeren Zeitraum hinweg sensible betriebliche Informationen und interne E-Mail-Kommunikationen an seine private E-Mail-Adresse weitergeleitet. Diese E-Mails enthielten vertrauliche Daten wie Gehaltsabrechnungen, Provisionsansprüche von Mitarbeitern und unternehmensinterne Planungen. Der Vorstand argumentierte, dass er die E-Mails zu Beweissicherungszwecken archiviert habe, um sich gegen mögliche Vorwürfe abzusichern.

Das Gericht stellte klar, dass eine solche Weiterleitung sensibler Daten an eine private E-Mail-Adresse ohne entsprechende Einwilligung oder Notwendigkeit einen Verstoß gegen die DSGVO darstellt. Auch das Argument der „Selbstabsicherung“ wurde nicht als legitime Begründung anerkannt, da der Vorstand bereits qua Amt Zugriff auf die relevanten Dokumente hatte und im Fall seines Ausscheidens auch nach § 810 BGB Einsichtsrechte bestehen.

Wesentliche rechtliche Aspekte

1. Verletzung der Sorgfaltspflichten und Datenschutzverstoß:
Die Weiterleitung sensibler Daten an einen privaten E-Mail-Server stellt nicht nur eine Verletzung der Verschwiegenheitspflichten nach dem Aktiengesetz (§ 93 Abs. 1 S. 3 AktG) dar, sondern auch einen klaren Verstoß gegen die Bestimmungen der DSGVO. In diesem Fall fehlte die Zustimmung der betroffenen Personen zur Speicherung der Daten auf einem privaten Server. Hieraus ergab sich eine erhebliche datenschutzrechtliche Verantwortung des Vorstandsmitglieds.

2. Außerordentliche Kündigung und wichtige Gründe:
Das Gericht bestätigte die außerordentliche Kündigung des Vorstandsmitglieds. Die mehrfachen Verstöße gegen die Datenschutzbestimmungen und die eigenmächtige Weiterleitung von E-Mails an einen ungeschützten privaten Server stellen einen so schweren Vertrauensbruch dar, dass eine Fortsetzung des Dienstverhältnisses für das Unternehmen nicht zumutbar war.

3. Keine Selbsthilfe durch „Datenarchivierung“:
Das Argument des Vorstands, die E-Mails lediglich zur Absicherung vor möglichen rechtlichen Auseinandersetzungen archiviert zu haben, wurde als unbegründet zurückgewiesen. Geschäftsführer und Vorstände haben auch in Konfliktsituationen nicht das Recht, sensible Unternehmensdaten auf eigene Faust zu sichern oder zu verwenden, insbesondere wenn dies gegen geltendes Recht verstößt. Dies verdeutlicht, dass Selbstschutz keine Rechtfertigung für Datenschutzverletzungen ist.

Handlungsempfehlungen für Geschäftsführer

Dieses Urteil ist eine deutliche Mahnung für Geschäftsführer und Vorstände, die DSGVO-Konformität in allen Bereichen des Unternehmens sicherzustellen. Es sind klare Richtlinien zu etablieren, um den unrechtmäßigen Umgang mit vertraulichen Daten zu verhindern. Zu den empfohlenen Maßnahmen gehören:

  • Schulungen für Führungskräfte im Umgang mit sensiblen Daten und den Anforderungen der DSGVO.
  • Regelmäßige Überprüfung der internen Kommunikationsprozesse, um sicherzustellen, dass keine unautorisierte Weiterleitung von E-Mails oder Dokumenten erfolgt.
  • Technische Sicherheitsvorkehrungen, wie der Einsatz von Unternehmensservern und die Verhinderung der Nutzung privater E-Mail-Accounts für dienstliche Zwecke.
  • Vertragsgestaltungen, die den Umgang mit Daten, insbesondere im Hinblick auf Verschwiegenheitspflichten, ausdrücklich regeln.

Fazit

Dieses Urteil des OLG München zeigt, wie gravierend Datenschutzverstöße für Unternehmen sein können und welche Konsequenzen solche Verstöße für Geschäftsführer und Vorstände haben. Die DSGVO ist dabei keine zu vernachlässigende Vorschrift, sondern bindet alle Organe des Unternehmens an strikte Regeln. Verstöße können sowohl zur persönlichen Haftung als auch zur außerordentlichen Kündigung führen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.