Ist der Datenschutzverstoß der neue Spesenbetrug?

Eine bahnbrechende Verschiebung zeigt sich in der deutschen Arbeitsrechtsprechung: Während 1,30 Euro falsch abgerechnete Pfandbons bei 31 Jahren Betriebszugehörigkeit nicht zur Kündigung berechtigen, führt eine einzige E-Mail-Weiterleitung an den privaten Account selbst bei einem Vorstand mit achtjähriger tadelloser Tätigkeit zur fristlosen Kündigung. Diese paradoxe Entwicklung wirft grundlegende Fragen der Verhältnismäßigkeit auf.

Die aktuelle Rechtsprechung behandelt vergleichbare Bagatellverstöße mit fundamentalen Doppelstandards: Konkrete Vermögensschäden werden seit der Emmely-Entscheidung (2010) zunehmend milde bewertet, während abstrakte Datenschutzgefährdungen ohne nachweisbaren Schaden seit Inkrafttreten der DSGVO (2018) zu rigorosen Kündigungen führen. Diese Entwicklung ist compliance-getrieben und haftungsbedingt, lässt sich aber dogmatisch schwer rechtfertigen. Der Vergleich zeigt: Der Datenschutzverstoß ist tatsächlich zum „neuen Spesenbetrug“ geworden – allerdings mit deutlich schärferen Konsequenzen für Arbeitnehmer.

Die Emmely-Wende: Verhältnismäßigkeit bei Vermögensdelikten

Das Bundesarbeitsgericht etablierte 2010 mit der legendären „Emmely-Entscheidung“ einen Paradigmenwechsel. Eine Kassiererin mit 31 Jahren störungsfreier Betriebszugehörigkeit löste Pfandbons im Wert von 1,30 Euro ein – die Kündigung war unwirksam. Das BAG führte das Konzept des „Vertrauenskapitals“ ein: Jahrzehntelange beanstandungsfreie Beschäftigung schafft einen Vertrauensvorschuss, der nicht durch einen einmaligen Ausrutscher vernichtet werden darf.

Diese Grundsatzentscheidung markierte eine Abkehr von der jahrzehntelangen Maxime „Wer stiehlt, fliegt“. Zuvor galt: Selbst geringwertige Vermögensdelikte wie ein Bienenstich oder 4,80 DM Sahne rechtfertigten die fristlose Kündigung ohne Abmahnung. Nach Emmely wurde die umfassende Interessenabwägung zum zentralen Maßstab – mit Berücksichtigung von Betriebszugehörigkeit, Schadenshöhe, Verschulden und sozialen Umständen.

 

Konkrete Beträge und Kündigungsgrenzen

Die Rechtsprechung zeigt seither eine differenzierte Linie bei Spesenbetrug. Unwirksame Kündigungen ergingen bei:

160 Euro (Deutsche Bahn-Fall): Zugabfertigerin mit 40 Jahren Betriebszugehörigkeit rechnete Differenz bei Jubiläumsfeier ab – LAG Berlin-Brandenburg 2010 entschied: Kündigung unwirksam wegen „sehr hohem Maß an Vertrauenskapital“, sofortigem Geständnis und einmaliger Verfehlung außerhalb des Kernarbeitsbereichs.

24 Euro Übernachtungspauschale: Polier mit langjähriger Betriebszugehörigkeit – LAG Rheinland-Pfalz 2014 verneinte Kündigungsgrund mangels nachweisbaren Betrugsvorsatzes, nur Fahrlässigkeit erkennbar.

Demgegenüber wurden Kündigungen wirksam bei:

3,25 Euro gefälschter Pfandbon: Kassiererin – LAG Düsseldorf 2015 bejahte Kündigungsgrund wegen großen Vertrauensbruchs im Kernbereich der Tätigkeit (Schutz der Vermögensinteressen).

0,80 Euro Fleischstückchen: Abteilungsleiter mit 17 Jahren Betriebszugehörigkeit – LAG Schleswig-Holstein 2015 bestätigte ordentliche Kündigung aufgrund der Vorgesetztenstellung und Vorbildfunktion.

1.227,60 Euro fingierte Fahrtkosten: DOB-Abteilungsleiterin mit 5.000 Euro Monatsgehalt – LAG Schleswig-Holstein 2009 sah fristlose Kündigung als gerechtfertigt wegen systematischen Vorgehens über längeren Zeitraum.

Die entscheidende Erkenntnis: Nicht die Schadenshöhe ist maßgeblich, sondern die Gesamtumstände – besonders Systematik vs. Einzelfall, Führungsposition vs. einfacher Mitarbeiter, und die Dauer der Betriebszugehörigkeit.

Die DSGVO-Verschärfung: Neue Härte bei Datenschutz

Seit Inkrafttreten der DSGVO am 25. Mai 2018 zeigt sich eine gegenläufige Entwicklung bei Datenschutzverstößen. Zwei aktuelle Leitentscheidungen illustrieren die neue Strenge:

OLG München 2024: Der Vorstand und neun E-Mails

Sachverhalt: Ein Vorstandsmitglied mit über acht Jahren beanstandungsfreier Tätigkeit leitete in gut zwei Monaten neun geschäftliche E-Mails an seine private GMX-Adresse weiter. Die E-Mails enthielten hochsensible Daten: Gehälter, Provisionspläne, Compliance-Vorgänge, geldwäscherechtliche Bankanfragen.

Seine Rechtfertigung: Beweissicherung für mögliche spätere Haftungsprozesse, ausreichende Sicherung des privaten Accounts, keine Weitergabe an Dritte.

Entscheidung: Das OLG München bestätigte die außerordentliche, fristlose Kündigung ohne Abmahnung als wirksam (Az. 7 U 351/23 e, 31.07.2024).

Begründung: Der Vorstand verletzte seine Sorgfaltspflicht nach § 91 Abs. 1 AktG durch systematische DSGVO-Verstöße. Entscheidend waren drei Faktoren:

Sensibilität der Daten: Gehaltsdaten gehören zu den „besonders schützenswerten Informationen“ – ihre Weiterleitung wiegt besonders schwer.

Systematik statt Einzelfall: Nicht ein singulärer Vorfall, sondern neun E-Mails über zwei Monate zeigen planmäßiges, bewusstes Handeln zur „systematischen und rechtswidrigen Materialsammlung“.

Freemail-Risiko: Private E-Mail-Anbieter bieten keinen hinreichenden Datenschutz. Das Beweissicherungsargument wurde zurückgewiesen – als Vorstand hatte er qua Amt Zugriff auf Unterlagen, nach Abberufung Einsichtsanspruch aus § 810 BGB.

Trotz des Alters (64 Jahre), der langen Betriebszugehörigkeit und der Tatsache, dass Daten nicht an Dritte gelangten, überwog der Vertrauensbruch.

LAG Frankfurt 2025: Der Betriebsratsvorsitzender und die Excel-Liste

Sachverhalt: Ein Betriebsratsvorsitzender einer Klinik mit 390 Beschäftigten leitete nach bereits erfolgter Abmahnung wegen automatischer E-Mail-Weiterleitung eine vollständige Personalliste mit Gehaltsangaben vom dienstlichen an seinen privaten GMX-Account. Sein Argument: Bearbeitung zu Hause auf größerem Monitor notwendig.

Entscheidung: Das Hessische LAG Frankfurt bestätigte den Ausschluss aus dem Betriebsrat gemäß § 23 Abs. 1 BetrVG wegen grober Pflichtverletzung (Az. 16 TaBV 109/24, 10.03.2025).

Begründung: Besondere Schwere wegen der Sensibilität der Gehaltsdaten, des vorsätzlichen Handelns trotz vorheriger Abmahnung („Unbelehrbarkeit“), und der bewussten Umgehung datenschutzrechtlicher Verpflichtungen. Das Gericht verwarf das Monitor-Argument – die IT-Abteilung hätte einen größeren Monitor bereitstellen können.

Die Kernbotschaft beider Urteile: Bei sensiblen Daten (insbesondere Gehälter, Gesundheitsdaten) und systematischen oder wiederholten Verstößen ist eine Abmahnung entbehrlich – selbst bei langjähriger Betriebszugehörigkeit.

Der fundamentale Widerspruch: Konkret vs. abstrakt

Die vergleichende Analyse offenbart einen systematischen Wertungswiderspruch in der deutschen Arbeitsrechtsprechung:

Kriterium	Spesenbetrug (post-Emmely)	Datenschutzverstoß (post-DSGVO)
Schadenserfordernis	Konkrete Schadenshöhe relevant in Interessenabwägung	Kein konkreter Schaden erforderlich, abstrakte Gefährdung ausreichend
Betragsgrenze	1,30 € → Kündigung unwirksam (bei 31 Jahren BZG)	Kein finanzieller Schaden → Kündigung wirksam (selbst bei 34 Jahren BZG)
Abmahnung	Seit Emmely oft erforderlich, auch bei Vermögensdelikten	Bei sensiblen Daten und Systematik regelmäßig entbehrlich
Vertrauenskapital	Zentral für Interessenabwägung, langjährige BZG schützt erheblich	Berücksichtigt, aber tritt bei DSGVO-Verstößen deutlich zurück
Maßstab	Konkrete Schädigung wird quantifiziert	Abstrakte Gefährdung und Haftungsrisiken dominieren
Rechtsentwicklung	Lockerung – arbeitnehmerfreundlicher seit 2010	Verschärfung – compliance-getrieben seit 2018

Das Melderegister-Paradox

Die Inkonsistenz wird besonders deutlich im Vergleich mit dem LAG Berlin-Brandenburg 2016: Eine Mitarbeiterin mit 34 Jahren Betriebszugehörigkeit tätigte hunderte unbefugte Melderegisterabfragen aus privatem Interesse – die Kündigung war wirksam. Kein finanzieller Schaden entstand, aber die abstrakte Datenschutzverletzung wog schwerer als drei Jahrzehnte störungsfreier Arbeit.

Der Kontrast könnte kaum größer sein: 1,30 Euro konkrete Bereicherung bei 31 Jahren = Abmahnung ausreichend. Hunderte Datenabfragen ohne Bereicherung bei 34 Jahren = sofortige Kündigung gerechtfertigt.

Führungskräfte im Fokus: Doppelte Standards verschärfen den Unterschied

Die Rechtsprechung zeigt bei Führungskräften verschärfte Maßstäbe – allerdings mit unterschiedlicher Intensität je nach Verstoßart:

Bei Spesenbetrug: Strengere, aber moderate Bewertung

Der Abteilungsleiter mit 17 Jahren Betriebszugehörigkeit, der Fleischstückchen im Wert von 0,80 Euro verzehrte, erhielt eine wirksame ordentliche Kündigung (LAG Schleswig-Holstein 2015). Begründung: „Angesichts der Vorgesetztenstellung“ gelten höhere Anforderungen und Vorbildfunktion.

Allerdings war dies nur eine ordentliche Kündigung mit Kündigungsfrist – nicht fristlos. Die Führungsposition verschärfte die Bewertung, führte aber nicht automatisch zur härtesten Sanktion.

Bei Datenschutz: Rigorose Null-Toleranz

Der Vorstand beim OLG München erhielt bei neun E-Mails die sofortige fristlose Kündigung. Die Begründung verwies auf die „Legalitätspflicht“ nach § 91 Abs. 1 AktG – Vorstände müssen Compliance-Regeln vorbildlich einhalten, da sie als „Verantwortliche“ im Sinne der DSGVO gelten.

Auch beim Betriebsratsvorsitzenden (LAG Frankfurt 2025) spielte die exponierte Stellung eine zentrale Rolle: § 79a BetrVG verpflichtet Betriebsräte explizit zur Einhaltung von Datenschutzvorschriften. Die Vertrauensstellung mit Zugang zu sensiblen Daten erhöhte die Anforderungen drastisch.

Die Konsequenz: Bei Datenschutz führt die Führungsposition nahezu automatisch zum Verzicht auf Abmahnung, bei Vermögensdelikten erhöht sie lediglich die Wahrscheinlichkeit einer (ordentlichen) Kündigungsberechtigung.

Die Compliance-Falle: Vom Schutzinstrument zum Kündigungsautomaten

Ein zentraler Treiber der Verschärfung bei Datenschutz ist die Compliance-Kultur. Arbeitgeber fürchten DSGVO-Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Diese potenzielle Sekundärhaftung für Mitarbeiterverstöße (Art. 82 DSGVO) erzeugt massiven Druck auf rigorose Sanktionen.

Das „Tone from the Top“-Prinzip

Führungskräfte müssen Compliance vorleben – so die arbeitsrechtliche Doktrin. Das OLG Hamm entschied 2019, dass ein Geschäftsführer, der interne Compliance-Vorschriften bei Provisionsvereinbarungen umging, fristlos ohne Abmahnung gekündigt werden konnte. Die Begründung: Führungskräfte haben Vorbildfunktion, Compliance-Verstöße zerstören Glaubwürdigkeit.

Diese Logik ist bei Vermögensdelikten weniger ausgeprägt. Zwar gelten auch dort höhere Standards für Führungskräfte, aber die Haftungsängste des Arbeitgebers sind geringer – eine falsche Spesenabrechnung kostet den Arbeitgeber maximal den erstatteten Betrag, ein DSGVO-Verstoß kann existenzbedrohend werden.

Kritik: Instrumentalisierung von Compliance

Rechtswissenschaftliche Stimmen warnen vor der Instrumentalisierung von Compliance-Vorschriften als „Kündigungsautomaten“. Die Monographie von Anna Diehl (2018, Peter Lang Verlag) kritisiert bereits bei Bagatelldelikten die „unstrukturierte Interessenabwägung“ und „nichtssagende Floskeln“ ohne klare Kriterien.

Bei Datenschutz verschärft sich dieses Problem: Die Angst vor Bußgeldern dominiert die Interessenabwägung und überschattet das individuelle Arbeitnehmerschicksal. Gerichte gewichten das Arbeitgeberinteresse an Haftungsvermeidung systematisch höher als das Arbeitnehmerinteresse an Arbeitsplatzsicherung – ein Ungleichgewicht, das bei konkreten Vermögensschäden in dieser Deutlichkeit nicht besteht.

Systematik schlägt Einzelfall: Die Wiederholungsfrage

Ein differenzierendes Kriterium in beiden Bereichen ist die Frage: Einmaliger Ausrutscher oder systematisches Vorgehen?

Bei Spesenbetrug

Die Emmely-Kassiererin löste einmalig zwei Pfandbons ein – das BAG betonte den „atypischen Vorfall“ nach 31 Jahren. Bei der Deutsche Bahn-Mitarbeiterin waren es 160 Euro bei einer Gelegenheit – das LAG Berlin-Brandenburg hob die „einmalige Verfehlung“ hervor.

Demgegenüber wurden systematische Spesenbetrüger auch nach Emmely nicht geschont: Der Salesmanager, der über Monate fingierte Fahrtkosten abrechnete (LAG Schleswig-Holstein 2009: 1.227,60 Euro), oder die Führungskraft mit mehreren tausend Euro privaten Reisen als Dienstreisen (LAG Niedersachsen 2006) erhielten wirksame fristlose Kündigungen.

Die Rechtsprechung zeigt also: Quantität wandelt Qualität – ein Einzelfall wird milde beurteilt, Systematik führt zu Kündigungsberechtigung.

Bei Datenschutz

Das OLG München betonte: „Es handelte sich nicht um einen singulären Vorfall, sondern insgesamt neun E-Mails in einem Zeitraum von gut zwei Monaten.“ Diese Systematik war entscheidend für die Kündigungsberechtigung ohne Abmahnung.

Beim LAG Frankfurt 2025 war die Systematik noch offensichtlicher: Erst automatische Weiterleitung aller E-Mails, nach Abmahnung erneut schwerer Verstoß mit Gehaltsliste. Das Gericht sprach von „Unbelehrbarkeit“ und „bewusster Umgehung“ – klare Indizien für systematisches Fehlverhalten.

Allerdings zeigt sich hier ein Unterschied: Während bei Spesenbetrug oft Dutzende oder Hunderte Einzelfälleerforderlich sind, um Systematik zu begründen (Melderegister-Fall: hunderte Abfragen), genügen bei Datenschutz bereits neun E-Mails über zwei Monate. Die Schwelle zur „Systematik“ liegt bei Datenschutz deutlich niedriger.

Die Abmahnungsfrage: Wenn letzte Chancen unterschiedlich verteilt werden

Das Abmahnungserfordernis ist ein zentraler Aspekt der Verhältnismäßigkeitsprüfung – und hier zeigt sich die Verschiebung besonders deutlich.

Emmely-Grundsatz: Auch Vertrauensbruch kann Abmahnung erfordern

Das BAG entschied 2010 revolutionär: „Es ist nicht stets ausgeschlossen, verlorenes Vertrauen durch künftige Vertragstreue zurückzugewinnen.“ Auch bei Vermögensdelikten im Vertrauensbereich ist eine Abmahnung grundsätzlich erforderlich – es sei denn, die Pflichtverletzung ist so schwer, dass selbst erstmalige Hinnahme offensichtlich ausgeschlossen ist.

Diese Doktrin führte zu einer deutlichen Erhöhung der Kündigungshürden bei Bagatelldelikten. Selbst bei 3,25 Euro gefälschten Pfandbons erwägen Gerichte sorgfältig, ob eine Abmahnung hätte genügen können.

DSGVO-Praxis: Abmahnung bei sensiblen Daten oft entbehrlich

Die aktuelle Datenschutz-Rechtsprechung kehrt faktisch zu prä-Emmely-Standards zurück. Das OLG München formulierte: „Bei schwerwiegenden Verstößen gegen DSGVO mit sensiblen Daten“ ist die Abmahnung entbehrlich. Die systematische Missachtung datenschutzrechtlicher Vorgaben stelle einen „gravierenden Vertrauensbruch“ dar.

Diese Formulierung ähnelt der alten „Wer stiehlt, fliegt“-Logik: Der Verstoß selbst – unabhängig von konkreten Folgen – zerstört das Vertrauensverhältnis irreparabel.

Vergleichende Bilanz

1,30 Euro Pfandbons (Emmely): Abmahnung hätte genügt – Vertrauen kann durch künftige Treue zurückgewonnen werden.

Neun E-Mails ohne Schadenseintritt (OLG München): Abmahnung entbehrlich – Vertrauen ist irreparabel zerstört.

Diese unterschiedliche Bewertung der Reparaturfähigkeit des Vertrauens ist dogmatisch kaum zu rechtfertigen. In beiden Fällen liegt ein vorsätzlicher Pflichtverstoß vor, in beiden Fällen ist kein erheblicher Schaden eingetreten, in beiden Fällen besteht langjährige Betriebszugehörigkeit. Dennoch kommt die Rechtsprechung zu diametral entgegengesetzten Ergebnissen bei der Abmahnungsfrage.

Sensibilität als Trumpfkarte: Gehaltsdaten über alles

Ein Schlüsselfaktor der neuen DSGVO-Rechtsprechung ist die „Sensibilität“ der Daten. Diese Kategorie fungiert als Verstärker, der selbst geringe Verstöße zu schwerwiegenden Kündigungsgründen aufwertet.

Die Sensibilitäts-Hierarchie

Höchste Sensibilität (Kündigung ohne Abmahnung bei systematischem Verstoß):

• Gehaltsdaten: „Allgemein bekannt, dass Gehaltsdaten zu den besonders schützenswerten Informationen gehören“ (LAG Frankfurt 2025)
• Gesundheitsdaten: Besondere Kategorie nach Art. 9 DSGVO (LAG Baden-Württemberg 2022: Betriebsratsmitglied veröffentlicht Gesundheitsdaten von Kollegen)
• Compliance-Daten: Geldwäscherechtliche Anfragen, interne Ermittlungen (OLG München 2024)

Mittlere Sensibilität (Abmahnung meist erforderlich):

• Personaldaten ohne Gehaltsangaben
• Kontaktdaten und organisatorische Informationen

Die Rechtsprechung behandelt Gehaltsdaten praktisch wie ein Sakrileg. Das LAG Frankfurt formulierte eindringlich: „Mit dem Umgang solcher Daten müsse allergrößte Sensibilität verbunden sein.“ Die Weiterleitung von Gehaltsabrechnungen wiegt demnach schwerer als konkrete Vermögensschäden mittlerer Höhe.

Vergleich: Was ist sensibler – Geld oder Gehaltsdaten?

Ein plastischer Vergleich verdeutlicht die Wertverschiebung:

160 Euro falsch abgerechnet (Deutsche Bahn-Fall): Konkrete Bereicherung, eindeutige Straftat (Betrug, § 263 StGB), faktischer Vermögensschaden – Kündigung unwirksam bei 40 Jahren Betriebszugehörigkeit.

Gehaltsliste ohne Weitergabe an Dritte (LAG Frankfurt 2025): Keine Bereicherung, keine Straftat, kein nachweisbarer Schaden – Ausschluss aus Betriebsrat und faktisches Berufsverbot in dieser Funktion.

Die Rechtsprechung bewertet das abstrakte Risiko einer Datenschutzverletzung höher als die konkrete Schädigung durch Vermögensentziehung. Diese Wertung folgt der DSGVO-Systematik (Grundrechtsschutz, Art. 8 GRCh), führt aber zu Friktionen mit der klassischen arbeitsrechtlichen Verhältnismäßigkeit.

---

Fünf zentrale Widersprüche

Die vergleichende Analyse offenbart fünf systematische Inkonsistenzen in der Rechtsprechung:

1. Konkrete Schädigung wird milder behandelt als abstrakte Gefährdung

Bei Vermögensdelikten greift seit Emmely der Grundsatz: Je geringer der Schaden, desto eher ist Abmahnung ausreichend. Bei Datenschutz gilt umgekehrt: Selbst ohne jeden nachweisbaren Schaden ist fristlose Kündigung möglich, wenn sensible Daten betroffen sind.

Diese Umkehrung der Schadenslogik widerspricht dem klassischen Rechtsprinzip „in dubio pro mitius“ – im Zweifel die mildere Maßnahme. Abstrakte Gefährdungen rechtfertigen in anderen Rechtsgebieten (Strafrecht, Ordnungswidrigkeitenrecht) in der Regel geringere Sanktionen als konkrete Schädigungen.

2. Schutzgut-Hierarchie ohne dogmatische Grundlage

Die Rechtsprechung behandelt personenbezogene Daten als höherwertiges Schutzgut im Vergleich zu Vermögen. Diese Bewertung folgt zwar dem grundrechtlichen Datenschutz (Art. 8 GRCh, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG), ignoriert aber, dass auch Eigentum grundrechtlich geschützt ist (Art. 14 GG).

Zudem zeigt der Vergleich mit dem Strafrecht eine Inkonsistenz: § 248a StGB privilegiert Diebstahl geringwertiger Sachen (nur auf Strafantrag verfolgbar), während DSGVO-Verstöße gem. § 42 BDSG mit bis zu drei Jahren Freiheitsstrafe bewehrt sind. Das Arbeitsrecht sanktioniert aber die Datenschutzverstöße strenger als die Vermögensdelikte – eine paradoxe Umkehrung der strafrechtlichen Wertung.

3. Vertrauenskapital wird unterschiedlich bewertet

Das BAG etablierte 2010 das „Vertrauenskapital“ als zentralen Faktor der Interessenabwägung. Langjährige störungsfreie Betriebszugehörigkeit soll schützen und Vertrauensvorschuss schaffen.

Dieser Grundsatz gilt bei Vermögensdelikten weitgehend konsequent: 31 Jahre schützen bei 1,30 Euro (Emmely), 40 Jahre schützen bei 160 Euro (Deutsche Bahn). Bei Datenschutz wird er aber deutlich relativiert: 34 Jahre schützen nicht bei Melderegisterabfragen, acht Jahre schützen nicht bei neun E-Mails.

Die unterschiedliche Gewichtung des identischen Faktors (Betriebszugehörigkeit) in vergleichbaren Konstellationen (Bagatellverstöße) ist methodisch inkonsistent und für Arbeitnehmer nicht vorhersehbar.

4. Compliance-Druck verzerrt Interessenabwägung

Die Interessenabwägung nach § 626 BGB soll die Interessen beider Vertragsteile gleichwertig berücksichtigen. Bei Datenschutzverstößen dominiert aber systematisch das Arbeitgeberinteresse an Haftungsvermeidung.

Das OLG München begründete die Kündigung maßgeblich mit der „Legalitätspflicht“ des Vorstands und der DSGVO-Verantwortung der Gesellschaft. Das individuelle Arbeitnehmerschicksal (64 Jahre, acht Jahre tadellos, kein konkreter Schaden) trat dahinter zurück.

Diese compliance-getriebene Übergewichtung der Arbeitgeberinteressen konterkariert den Verhältnismäßigkeitsgrundsatz und führt faktisch zu einer Renaissance der „absoluten Kündigungsgründe“, die das BAG 2010 ausdrücklich abgelehnt hatte.

5. Systematik-Schwelle ist unterschiedlich hoch

Bei Spesenbetrug sind oft Dutzende oder Hunderte Einzelfälle erforderlich, um „Systematik“ zu begründen (Salesmanager: mehrere Monate fingierte Abrechnungen; Führungskraft: mehrere tausend Euro über längeren Zeitraum).

Bei Datenschutz genügen bereits neun E-Mails über zwei Monate (OLG München) oder zwei Verstöße (LAG Frankfurt: automatische Weiterleitung, dann Gehaltsliste nach Abmahnung).

Diese unterschiedliche Quantifizierung des identischen Rechtsbegriffs „Systematik“ ist willkürlich und lässt sich nicht aus der unterschiedlichen Natur der Schutzgüter rechtfertigen.

Praktische Auswirkungen: Handlungsempfehlungen für beide Seiten

Die Rechtsprechungsentwicklung hat weitreichende praktische Konsequenzen für Arbeitgeber und Arbeitnehmer:

Für Arbeitgeber: Der neue Risikofokus

Priorität 1: Datenschutz-Compliance

• Umfassende Schulungen für alle Mitarbeiter mit Zugang zu personenbezogenen Daten, besonders Gehaltsdaten
• Technische Absicherung: Blockierung privater E-Mail-Domains, Verschlüsselung, Zugriffskontrollen
• Dokumentation aller Schulungen und Belehrungen als Nachweis für spätere Kündigungsprozesse
• Regelmäßige Audits und Stichprobenkontrollen

Priorität 2: Differenzierte Sanktionspraxis

• Bei Bagatell-Vermögensdelikten: Abmahnung bevorzugen, besonders bei langjährigen Mitarbeitern
• Bei Datenschutzverstößen: Detaillierte Einzelfallprüfung, aber bei sensiblen Daten und Führungskräften klare Linie
• Compliance-Richtlinien als „Schutzschild“: Klare, schriftliche Verbote mit Konsequenzenhinweis

Risiko: Instrumentalisierungsvorwurf

• Gerichte durchschauen „gesuchte Kündigungsgründe“ – Arbeitgeber sollten nicht Bagatellverstöße als Vorwand für wirtschaftlich motivierte Trennungen nutzen
• Konsistenz wahren: Vergleichbare Fälle vergleichbar behandeln, sonst Diskriminierungsgefahr

Für Arbeitnehmer: Die neue Vorsicht

Absolute No-Gos bei Datenschutz

• Niemals geschäftliche E-Mails an private Accounts weiterleiten, auch nicht zur Beweissicherung
• Niemals sensible Daten (besonders Gehaltslisten) auf private Endgeräte übertragen
• Bei Homeoffice-Bedarf: Arbeitgeber um sichere Lösungen bitten (VPN, Remote Desktop, Firmenlaptop)

Verteidigungsstrategien bei Vorwürfen

• Bei Vermögensdelikten: Vertrauenskapital betonen (Betriebszugehörigkeit, bisher tadellos), Einzelfall vs. Systematik argumentieren, Geständnis und Kooperation
• Bei Datenschutz: Fahrlässigkeit vs. Vorsatz differenzieren, fehlende Schulung/Kenntnis geltend machen, technische Alternativlosigkeit darstellen

Besonderes Risiko für Führungskräfte

• Jede Compliance-Nachlässigkeit kann existenzbedrohend werden
• Vorbildfunktion bedeutet: Null Toleranz für „kreative“ Lösungen bei Datenschutz
• Dokumentation eigener Compliance-Maßnahmen als Entlastungsbeweis

Ausblick: Droht weitere Verschärfung?

Die Rechtsentwicklung deutet auf eine fortgesetzte Divergenz der Kündigungsmaßstäbe hin:

Verschärfung bei Datenschutz wahrscheinlich

Neue EU-Regulierungen wie der AI Act (2024/2025) und die NIS-2-Richtlinie (Netz- und Informationssicherheit) erhöhen den Compliance-Druck weiter. Künstliche Intelligenz im Personaleinsatz unterliegt strengen Datenschutzanforderungen – Verstöße könnten neue Kündigungsgründe schaffen.

Die Rechtsprechung folgt dem Haftungsrisiko-Barometer: Je höher potenzielle Bußgelder und Schadensersatzansprüche, desto rigoroser die arbeitsrechtlichen Sanktionen. Bei steigenden Anforderungen droht eine weitere Absenkung der Kündigungsschwelle.

Lockerung bei Vermögensdelikten unwahrscheinlich

Die Emmely-Linie ist gefestigt, eine weitere Liberalisierung ist nicht erkennbar. Gesetzgeberische Initiativen für eine Bagatellgrenze (2010 diskutiert) scheiterten. Das System der Einzelfallabwägung bleibt bestehen – mit allen Vor- und Nachteilen für Rechtssicherheit.

Forderung nach Angleichung

Rechtswissenschaftlich wäre eine Angleichung der Maßstäbe wünschenswert. Entweder sollte die Emmely-Verhältnismäßigkeit konsequent auch auf Datenschutz angewendet werden, oder die Vermögensdelikte-Rechtsprechung müsste verschärft werden – beides würde Konsistenz herstellen.

Die aktuelle Praxis aber läuft auf eine dauerhafte Doppelmoral hinaus: Geld wird verziehen, Daten nicht. Diese Hierarchisierung mag compliance-rational sein, ist aber dogmatisch unbefriedigend und für Arbeitnehmer schwer nachvollziehbar.

Fazit: Der Datenschutzverstoß als Hyper-Spesenbetrug

Die Antwort auf die Eingangsfrage lautet: Ja, der Datenschutzverstoß ist der neue Spesenbetrug – nur deutlich gefährlicher für Arbeitnehmer. Während die Emmely-Rechtsprechung bei Vermögensdelikten eine Ära der Verhältnismäßigkeit einläutete, markiert die DSGVO-Rechtsprechung eine Rückkehr zu rigorosen Standards bei Pflichtverstößen.

Die zentrale Verschiebung besteht in der unterschiedlichen Bewertung von Schutzgütern: Konkrete Vermögensschäden werden quantifiziert und relativiert, abstrakte Datengefährdungen werden als unkalkulierbare Risiken behandelt. Das „Vertrauenskapital“ langjähriger Betriebszugehörigkeit schützt bei 1,30 Euro Pfandbons, versagt aber bei neun E-Mails ohne Schadenseintritt.

Diese Doppelstandards sind compliance-getrieben und folgen der Haftungslogik: Arbeitgeber fürchten DSGVO-Bußgelder mehr als geringe Vermögensverluste. Die Interessenabwägung wird von dieser Angst überlagert und verliert ihre Balance.

Für Arbeitnehmer bedeutet dies: Maximale Vorsicht bei Datenschutz, relative Gelassenheit bei Vermögensbagatellen. Wer neun E-Mails weiterleitet, riskiert mehr als wer 160 Euro falsch abrechnet – ein Ergebnis, das rechtsdogmatisch fragwürdig, aber praktisch hochrelevant ist.

Die Rechtsprechung zeigt eine paradoxe Entwicklung: Während das Arbeitsrecht in vielen Bereichen arbeitnehmerfreundlicher wurde (Emmely, Mindestlohn, Befristungskontrolle), öffnet der Datenschutz eine neue Front rigoroser Kündigungen. Der „Kopf ab“ bei einer falschen E-Mail ist keine Übertreibung mehr – sondern gelebte Rechtspraxis in deutschen Arbeitsgerichten.