Darf ich dienstliche E-Mails an meinen privaten Account weiterleiten?

Image

Arbeiten im Homeoffice oder unterwegs gehört inzwischen zum Alltag. Schnell entsteht der Wunsch, sich wichtige dienstliche E-Mails an den privaten Account weiterzuleiten, um auch von zu Hause Zugriff zu haben. Was praktisch klingt, kann jedoch erhebliche rechtliche Konsequenzen haben. Obwohl viele Arbeitnehmer:innen nach dem Motto „Ich leite die Mail ja nur an mich selbst weiter, das wird schon okay sein“ handeln, warnen aktuelle Urteile davor: Die private Weiterleitung betrieblicher E-Mails ist oft verboten und kann im schlimmsten Fall sogar zur fristlosen Kündigung führen. In diesem Beitrag erklären wir verständlich und fundiert, warum das Weiterleiten heikel ist, was Gerichte dazu sagen, welche Gesetze (von DSGVO bis GeschGehG) greifen und wie man sich korrekt verhält. Lesen Sie weiter, um rechtliche Fallen zu vermeiden – egal ob Sie Arbeitnehmer:in, Betriebsrat oder einfach juristisch interessiert sind.

Kurz und Knapp

  • Ohne Erlaubnis tabu: Das Weiterleiten dienstlicher E-Mails auf private Accounts ist grundsätzlich unzulässig. Es verstößt gegen arbeitsvertragliche Pflichten und den Datenschutz.
  • Kündigungsgefahr: Ein solches Verhalten kann eine fristlose Kündigung rechtfertigen. Gerichte werten das unbefugte Kopieren betrieblicher Daten als schweren Pflichtverstoß. Besonders bei sensiblen Daten oder vielen E-Mails drohen harte Konsequenzen – oft ohne vorherige Abmahnung.
  • „Nur für mich“ zählt nicht: Auch wenn die E-Mails nicht an Dritte gehen, bleibt die Weiterleitung illegal. Weder die Ausrede „Ich wollte doch nur zu Hause arbeiten“ noch „Mein Account ist doch passwortgeschützt“rechtfertigen den Verstoß.
  • Rechtsgrundlagen: Die Vertraulichkeitspflicht aus dem Arbeitsvertrag (§ 241 Abs. 2 BGB) verbietet das Aneignen betrieblicher Unterlagen ohne Zustimmung des Arbeitgebers. Außerdem drohen Verstöße gegen DSGVO (Datenschutz) und das GeschGehG (Schutz von Geschäftsgeheimnissen).
  • Ausnahmen selten: Nur in wenigen Sonderfällen (z.B. Whistleblowing bei Gesetzesverstößen oder ausdrücklicher Auftrag des Chefs) könnte eine Weiterleitung zulässig sein. Im Zweifel gilt: erst fragen, dann handeln.
  • Handlungsempfehlung: Nutzen Sie sichere Alternativen (VPN, Dienstlaptop) statt privater Mails. Arbeitnehmer:innen sollten sich bei Unklarheiten an den Betriebsrat oder einen Fachanwalt wenden. Im Konfliktfall (Abmahnung/Kündigung) heißt es: sofort Rechtsrat einholen (innerhalb von 3 Wochen Kündigungsschutzklage erheben!).

Ist das Weiterleiten dienstlicher E-Mails auf den privaten Account erlaubt?

In der Regel nein. Ohne ausdrückliche Zustimmung des Arbeitgebers dürfen dienstliche Unterlagen und E-Mails nicht einfach an private E-Mail-Adressen geschickt werden. Juristisch betrachtet verletzt man damit die Nebenpflichten aus dem Arbeitsvertrag – konkret die Treue- und Verschwiegenheitspflicht (§ 241 Abs. 2 BGB). Diese verpflichtet Arbeitnehmer, Betriebsgeheimnisse und interne Daten vertraulich zu behandeln und nicht für betriebsfremde Zwecke zu verwenden. Schon das Speichern von Firmendaten außerhalb der kontrollierten Unternehmens-IT gilt als „Aneignen“ von Unterlagen und ist unzulässig.

Im Arbeitsalltag ist vielen nicht bewusst, dass auch scheinbar harmlose E-Mails darunterfallen. Selbst wenn Sie sich nur eine Kundenanfrage oder einen Projektplan weiterleiten, verlassen die Daten den geschützten Unternehmensbereich. Ohne Erlaubnis des Arbeitgebers ist das nicht vom Arbeitsvertrag gedeckt. Betriebliche E-Mails gehören dem Arbeitgeber, und dieser hat ein berechtigtes Interesse daran, wo und wie diese gespeichert werden. Fehlt die Zustimmung, bewegen Sie sich außerhalb der erlaubten Nutzung.

Praxisbeispiel: Ein Büroangestellter leitet sich abends zur Vorbereitung auf den nächsten Tag eine interne Telefonliste an seine private Gmail-Adresse weiter. Obwohl er die Liste nur selbst nutzen will, handelt es sich um interne Firmendaten (Mitarbeiterkontaktinformationen). Ohne Freigabe des Chefs verstößt der Angestellte damit gegen seine Verschwiegenheitspflicht – selbst wenn „nichts passiert“ und kein Externer die Liste sieht.

Fazit: Das Weiterleiten dienstlicher E-Mails an private Accounts ist grundsätzlich verboten, es sei denn, Arbeitsvertrag, Betriebsvereinbarung oder eine ausdrückliche Anweisung erlauben es im Einzelfall. Im Zweifel sollte man immer vorher die Erlaubnis einholen – und sich diese am besten schriftlich geben lassen.

Warum ist die private Weiterleitung so problematisch?

Verlust der Kontrolle: Sobald eine E-Mail im privaten Postfach landet, entzieht man sie der sicheren, kontrollierten Umgebung des Arbeitgebers. Firmenserver sind meist geschützt, private Mail-Accounts hingegen potenziell unsicherer. Arbeitgeber haben keine Kontrolle mehr, wer Zugriff auf die Daten hat, wie lange sie gespeichert bleiben oder ob Sicherheitsmaßnahmen greifen. Im schlimmsten Fall können Dritte (Hacker, unbefugte Personen) mitlesen, wenn das private Konto nicht ausreichend geschützt ist.

Datenschutz (DSGVO): Dienstliche E-Mails enthalten oft personenbezogene Daten – sei es von Kunden, Kollegen oder Geschäftspartnern (z. B. Kontaktdaten, Verträge, Personalinformationen). Die Datenschutz-Grundverordnung (DSGVO) verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Eine Weiterleitung an ein privates Konto erfüllt in aller Regel keinen der erlaubten Gründe (wie z.B. Vertragserfüllung oder berechtigtes Interesse). Im Gegenteil: Das OLG München qualifizierte die ungenehmigte Weiterleitung sensibler Firmendaten als schweren Verstoß gegen die DSGVO. Es half dem beklagten Manager nicht, dass die Daten „nur zu Selbstschutz-Zwecken“ gesichert wurden – ohne Rechtsgrundlage ist die Weiterleitung unrechtmäßig. Für den Arbeitgeber besteht dadurch sogar das Risiko einer Datenschutzverletzung nach Art. 5, 6 DSGVO, die von Aufsichtsbehörden mit hohen Bußgeldern geahndet werden kann.

Geheimnisschutz (GeschGehG): E-Mails können Betriebs- oder Geschäftsgeheimnisse enthalten – also Informationen, die nicht öffentlich bekannt und wirtschaftlich wertvoll sind (z.B. Kundendaten, Preisstrategien, technische Know-how). Das Geschäftsgeheimnisgesetz (GeschGehG) verbietet es Arbeitnehmern, solche Geheimnisse unbefugt zu erlangen, zu nutzen oder zu offenbaren. Wenn Sie eine vertrauliche Datei an Ihr privates Postfach senden, haben Sie bereits eine „Nutzung“ außerhalb des erlaubten Bereichs vorgenommen. Strafrechtlichwar dies früher in § 17 UWG geregelt und ist heute in § 23 GeschGehG sanktioniert. Gerade wenn wettbewerbsrelevante Daten betroffen sind (z.B. Kundenlisten, Angebote), ist Vorsicht geboten: Die Herstellung einer Kopie solcher Unterlagen (etwa per E-Mail-Weiterleitung) war und ist strafbewehrt, sofern es in der Absicht erfolgt, sich selbst oder Dritten Vorteile zu verschaffen oder dem Unternehmen zu schaden.

Interne Richtlinien & Compliance: Viele Firmen haben inzwischen interne Richtlinien zur IT- und E-Mail-Nutzung. Darin steht häufig klipp und klar, dass das Weiterleiten von Firmen-E-Mails an private Adressen verboten ist. Verstößt man dagegen, verletzt man nicht nur den Arbeitsvertrag, sondern oft auch Compliance-Regeln des Unternehmens. Das kann disziplinarische Maßnahmen nach sich ziehen – von der Abmahnung bis zur Kündigung. Zudem wird in manchen Branchen (z.B. im Finanzsektor oder in Behörden) jeder Datentransfer streng überwacht. Eine unerlaubte Weiterleitung könnte hier Meldepflichten auslösen (z.B. im Rahmen der IT-Sicherheit) oder sogar Straftatbestände erfüllen (etwa bei Geheimnisverrat im öffentlichen Dienst).

Die private Weiterleitung ist problematisch, weil Firmen- und Personendaten unkontrolliert den geschützten Bereich verlassen. Man riskiert die Verletzung von Datenschutzgesetzen, Geheimnisschutz und internen Regeln – mit potenziell gravierenden Folgen für alle Beteiligten. Selbst wenn kein Schaden entsteht, reicht schon der Pflichtenverstoß an sich aus, um arbeitsrechtliche Konsequenzen zu rechtfertigen.

Welche Konsequenzen drohen bei unbefugtem E-Mail-Weiterleiten?

Kurz gesagt: Es drohen arbeitsrechtliche Sanktionen bis hin zur Kündigung. Die Rechtsprechung hat mehrfach klargestellt, dass das unautorisierte Weiterleiten dienstlicher E-Mails einen wichtigen Grund zur fristlosen Kündigung darstellen kann. Hier die möglichen Konsequenzen im Überblick:

  • Abmahnung: In minder schweren Fällen könnte zunächst eine Abmahnung erfolgen. Eine Abmahnung ist eine formelle Warnung des Arbeitgebers. Sie weist auf den Verstoß hin und droht für den Wiederholungsfall Konsequenzen an. Eine Abmahnung kommt z.B. in Betracht, wenn die weitergeleiteten Daten weniger sensibelwaren, das Fehlverhalten einmalig war und keine ernsthafte Schadensabsicht bestand. Allerdings sind Arbeitgeber nicht verpflichtet, immer erst abzumahnen – bei gravierenden Verstößen kann direkt gekündigt werden.
  • Ordentliche Kündigung: Bei wiederholten Verstößen oder in Fällen mittlerer Schwere könnte eine ordentliche (fristgerechte) Kündigung ausgesprochen werden. Hierbei wird das Arbeitsverhältnis mit Kündigungsfrist beendet. Eine ordentliche Kündigung käme z.B. in Betracht, wenn zwar ein Verstoß vorliegt, der Arbeitgeber aber die Fortsetzung bis zum Ablauf der Kündigungsfrist noch für zumutbar hält. In der Praxis wird jedoch oft geprüft, ob auch außerordentlich (fristlos) gekündigt werden kann, da das Vertrauensverhältnis bei Datenschutzverstößen meist stark erschüttert ist.
  • Fristlose (außerordentliche) Kündigung: Schwere Fälle rechtfertigen die sofortige Beendigung des Arbeitsverhältnisses (§ 626 Abs. 1 BGB). Eine fristlose Kündigung bedeutet: Kein Gehalt mehr ab sofort, Arbeitsplatz weg von heute auf morgen. Voraussetzung ist ein wichtiger Grund, der die Fortsetzung des Arbeitsverhältnisses unzumutbar macht. Das Weiterleiten vertraulicher E-Mails wurde von Gerichten wiederholt als solcher wichtige Grund angesehen. Besonders wenn sensible Unternehmensdaten betroffen sind oder der Eindruck entsteht, der Arbeitnehmer handle illoyal (z.B. Vorbereitung eines Wechsels zur Konkurrenz), ist die Schwelle zur fristlosen Kündigung schnell überschritten. In solchen Fällen kann der Arbeitgeber ohne vorherige Abmahnung kündigen, sofern die Interessenabwägung ergibt, dass ihm das Abwarten der Kündigungsfrist nicht zuzumuten ist.
  • Strafrechtliche Schritte & Schadensersatz: In extremen Konstellationen – etwa wenn Daten an Dritte weitergegeben oder für Wettbewerbszwecke genutzt werden – drohen auch strafrechtliche Konsequenzen. Die unbefugte Weitergabe von Geschäftsgeheimnissen kann nach dem GeschGehG strafbar sein (vor allem bei Absicht, dem Arbeitgeber zu schaden oder sich selbst zu bereichern). Zudem kann der Arbeitgeber Schadensersatz fordern, wenn ihm durch den Datenschutzverstoß ein Schaden entsteht (z.B. ein Bußgeld der Behörde oder ein entgangener Auftrag, weil Infos abflossen).

Wichtig: Bevor ein Arbeitgeber kündigt, muss er stets eine Interessenabwägung durchführen. Dabei wird das Fehlverhalten des Arbeitnehmers gegen dessen Betriebszugehörigkeit, bisheriges Verhalten und ggf. mildernde Umstände abgewogen. Bei erstmaligen Verstößen oder geringem Verschulden kann daher eine Abmahnung ausreichend sein. Viele Gerichte werten jedoch das unbefugte E-Mail-Weiterleiten als so gravierend, dass eine vorherige Abmahnung entbehrlich ist – insbesondere, wenn dem Arbeitnehmer die Unzulässigkeit hätte klar sein müssen.

Gerichtsentscheidungen: Beispiele aus der Praxis

Mehrere Urteile haben sich mit dieser Thematik befasst und geben Hinweise, wann welche Konsequenz droht:

  • LAG Berlin-Brandenburg (Urteil vom 16.05.2017 – Az. 7 Sa 38/17): Ein Vertriebsmitarbeiter hatte sich innerhalb kurzer Zeit über 200 E-Mails mit firmeninternen Daten an seinen privaten Account geschickt – während er bereits einen neuen Job bei einem Konkurrenten aushandelte. Darunter waren auch Projekte, die er selbst gar nicht betreute, mit detaillierten Angebots- und Kalkulationsdaten seines Arbeitgebers. Das LAG wertete dies als Vorbereitung eines Konkurrenzwechsels und damit als schwerwiegenden Verstoß gegen die arbeitsvertragliche Rücksichtnahmepflicht (§ 241 Abs. 2 BGB). Es bestätigte die fristlose Kündigung. Wichtig war für das Gericht, dass keine dienstliche Notwendigkeit für die Weiterleitung bestand – der Mitarbeiter hatte einen Dienst-Laptop und hätte ohne Weiterleitung zu Hause arbeiten können. Zudem ließ das Timing (Wechsel zur Konkurrenz) auf eine illoyale Motivation schließen. Ergebnis: Kündigung wirksam, das Vertrauensverhältnis war irreparabel zerstört.
  • BAG (Urteil vom 08.05.2014 – Az. 2 AZR 249/13): Dieses Urteil des Bundesarbeitsgerichts wird oft zitiert für den Grundsatz, dass Arbeitnehmern ohne Zustimmung untersagt ist, sich betriebliche Unterlagen oder Daten anzueignen oder für betriebsfremde Zwecke zu vervielfältigen. Im konkreten Fall ging es um einen Mitarbeiter, der interne Dokumente kopiert hatte, um sie in einem Rechtsstreit gegen den Arbeitgeber zu nutzen. Das BAG stellte klar, dass ein solcher Treuepflichtverstoß grundsätzlich eine fristlose Kündigung „an sich“rechtfertigen kann. Allerdings muss immer der Einzelfall betrachtet werden. Im BAG-Fall spielte eine Rolle, dass der Arbeitnehmer möglicherweise Missstände aufzeigen wollte – ein Aspekt, der in der Interessenabwägung berücksichtigt wurde. Schlussendlich gewann der Arbeitnehmer den Kündigungsschutzprozess dort, weil besondere Umstände vorlagen. Merke: Trotz des strengen Grundsatzes prüft das BAG stets, ob nicht doch mildere Mittel oder berechtigte Gründe des Arbeitnehmers bestanden. Allgemein gilt aber: Datenklau ist ein Kündigungsgrund – nur in Ausnahmefällen (z.B. echter Whistleblowing-Notstand) mag eine fristlose Kündigung unwirksam sein.
  • OLG München (Urteil vom 31.07.2024 – Az. 7 U 351/23e): Ein Vorstandsmitglied (!) eines Unternehmens leitete zahlreiche dienstliche E-Mails (u.a. Gehaltsabrechnungen, Provisionspläne, interne Streitigkeiten) an sein privates GMX-Postfach weiter. Er begründete dies damit, dass er sich bei späteren Haftungsfragen selbst absichern wollte. Das Unternehmen entband ihn daraufhin des Amtes und kündigte den Vorstandsdienstvertrag fristlos. Das OLG München bestätigte diese Maßnahmen: Bereits die Weiterleitung sensibler Unternehmensdaten an einen privaten Account stelle einen schwerwiegenden Verstoß gegen Datenschutz und Geheimhaltung dar. Die Richter sahen keine Rechtfertigung darin, dass der Vorstand die Mails nur zu Selbstschutz-Zwecken gespeichert hatte – solange er im Amt war, hätte er über sein Dienstkonto Zugriff gehabt, und nach Abberufung hätte er nötigenfalls Akteneinsicht nach § 810 BGB verlangen können. Das OLG betonte, dass solche Verstöße auch bei normalen Arbeitnehmern als Kündigungsgrund gelten, in Anlehnung an die BAG-Rechtsprechung. Ergebnis: Fristlose Kündigung rechtmäßig, Abberufung als Vorstand ebenfalls. Dieses Urteil unterstreicht, dass selbst hohe Führungskräfte nicht mit milderer Hand behandelt werden – im Gegenteil, von ihnen wird besondere Loyalität erwartet.

Zusammengefasst: Wer ohne Erlaubnis dienstliche E-Mails nach extern schickt, muss – je nach Schwere – mit Abmahnung oder Kündigung rechnen. Die Gerichte tendieren dazu, bei klaren Pflichtverletzungen (insbesondere mit vertraulichen oder umfangreichen Daten) hart durchzugreifen. Ein „Augen-zu-und-durch“ ist riskant: Spätestens wenn der Arbeitgeber den Vorfall entdeckt (und viele Firmen haben technische Möglichkeiten, solche Transfers zu protokollieren), steht mindestens ein klärendes Gespräch, wahrscheinlich aber eine Trennung ins Haus.

Welche Rechtsgrundlagen greifen hier? (Gesetze und Pflichten im Überblick)

Die Thematik berührt zahlreiche Rechtsgebiete – vom Arbeitsrecht über Datenschutz bis zum Strafrecht. Hier die wichtigsten Normen und Pflichten, die man kennen sollte:

  • Arbeitsvertragliche Treuepflicht (§ 241 Abs. 2 BGB): Neben den Hauptpflichten (Arbeit leisten, Lohn zahlen) bestehen Nebenpflichten. Arbeitnehmer müssen auf die Interessen des Arbeitgebers Rücksicht nehmen. Dazu zählt die Pflicht, betriebliche Informationen vertraulich zu behandeln. Aus dieser Generalklausel leitet die Rechtsprechung ab: “Es ist Arbeitnehmern verwehrt, ohne Einverständnis des Arbeitgebers betriebliche Unterlagen oder Daten anzueignen oder für betriebsfremde Zwecke zu vervielfältigen.”. Diese Pflicht gilt immer, auch ohne ausdrückliche Geheimhaltungsvereinbarung. Verstöße können nach § 626 BGB einen wichtigen Grund zur Kündigung darstellen.
  • Datenschutzrecht (DSGVO & BDSG): Sobald personenbezogene Daten im Spiel sind (etwa Kundenadressen, Mitarbeiterdaten in E-Mails, Vertragsunterlagen mit Personennamen), greift die DSGVO. Der Arbeitgeber ist der “Verantwortliche” nach Art. 4 Nr. 7 DSGVO und muss schutzwürdige Daten im Unternehmen halten. Wenn ein Mitarbeiter Daten eigenmächtig nach außen gibt, fehlt die datenschutzrechtliche Grundlage – das kann einen Verstoß gegen die Grundsätze der DSGVO bedeuten. Art. 5 DSGVO fordert Vertraulichkeit und Zweckbindung; beides wird hier unterlaufen. Das BDSG (Bundesdatenschutzgesetz) ergänzt die DSGVO, z.B. in § 26 BDSG für Beschäftigtendaten. Doch auch daraus lässt sich kein Recht der Beschäftigten ableiten, Daten privat zu nutzen – im Gegenteil, § 26 BDSG erlaubt die Verarbeitung nur fürs Arbeitsverhältnis. Folge: Der Arbeitgeber könnte verpflichtet sein, einen solchen Vorfall der Datenschutzbehörde als Datenpanne zu melden, und das Unternehmen riskiert Bußgelder. Der Arbeitnehmer seinerseits verletzt die arbeitsvertragliche Pflicht, Datenschutzregeln einzuhalten. Zwar richtet sich ein Bußgeld meist an das Unternehmen, aber der Arbeitgeber kann arbeitsrechtliche Schritte gegen den Verursacher einleiten und u.U. Schadensersatz vom Mitarbeiter verlangen, wenn z.B. ein Bußgeld auf dessen Fehlverhalten zurückgeht.
  • Geschäftsgeheimnisgesetz (GeschGehG): Das GeschGehG definiert, was Geschäfts- und Betriebsgeheimnisse sind, und schützt diese vor unbefugtem Erwerb, Nutzung und Offenlegung. Arbeitnehmer sind regelmäßig zur Kenntnis von Geheimnissen befugt, soweit es ihre Arbeit erfordert. Nicht befugt sind sie jedoch, diese Informationen außerhalb des vertraglichen Zwecks zu verwenden. Die Weiterleitung an einen privaten Account ist eine unbefugte Nutzung i.S.d. GeschGehG, da sie außerhalb der Unternehmenssphäre erfolgt. Ausnahme: Das GeschGehG kennt Privilegierungen, z.B. für Whistleblower oder zur Ausübung von Mitbestimmungsrechten (z.B. darf ein Betriebsrat bestimmte Informationen erhalten und verwenden). Wer aber einfach so Daten „für alle Fälle“ nach Hause mailt, kann sich nicht auf diese Ausnahmen berufen. Zivilrechtlichkann der Arbeitgeber auf Unterlassung und Schadensersatz klagen. Strafrechtlich stellt § 23 GeschGehG bestimmte Geheimnisverstöße unter Strafe (ähnlich der alten UWG-Regelung ). Insbesondere wenn ein Arbeitnehmer Geschäftsgeheimnisse zu einem neuen Arbeitgeber mitnimmt, drohen strafrechtliche Ermittlungen wegen Geheimnisdiebstahls.
  • Betriebsverfassungsgesetz (BetrVG): Das BetrVG spielt indirekt eine Rolle. Zum einen haben Betriebsräte ein Mitbestimmungsrecht bei „Regelungen über die Nutzung von Betriebseinrichtungen“ (§ 87 Abs. 1 Nr. 6 BetrVG), wozu auch E-Mail- und IT-Systeme zählen. Das heißt, wenn ein Arbeitgeber eine E-Mail-Richtlinieerlässt (z.B. Verbot privater Weiterleitungen), muss der Betriebsrat zustimmen oder eine Betriebsvereinbarung mit ausgehandelt haben. Arbeitnehmer sollten sich über solche Betriebsvereinbarungen informieren – oft sind dort Details geregelt (z.B. ob es Ausnahmen für Homeoffice gibt). Zum anderen war in dem oben erwähnten Fall LAG Berlin-Brandenburg auffällig, dass der Arbeitgeber den Betriebsrat einbezog, als er den Mitarbeiter-Account überprüfte. Hintergrund: Soll der Arbeitnehmer-Account kontrolliert werden (etwa um Beweise für eine unerlaubte Weiterleitung zu finden), bedarf es i.d.R. der Anhörung des Betriebsrats und der Beachtung von Datenschutz (ggf. sogar Zustimmung des Betroffenen, außer bei Verdacht einer Straftat). Sprich: Der Arbeitgeber kann nicht willkürlich E-Mails überwachen – aber bei konkretem Verdacht und unter Einhaltung der Mitbestimmung darf er den Account in Anwesenheit des Mitarbeiters prüfen (wie es im Fall geschehen ist). Für den Arbeitnehmer endete das dennoch böse.
  • Aktiengesetz (AktG) & besondere Organpflichten: Für leitende Organe wie Geschäftsführer und Vorstände gelten neben Arbeitsrecht spezielle Pflichten. § 93 Abs. 1 Satz 3 AktG schreibt etwa vor, dass Vorstandsmitglieder Geheimnisse der Gesellschaft vertraulich zu wahren haben. Der in § 93 genannte Pflichtenkatalog ist zwingend – man kann ihn nicht vertraglich abschwächen. In dem OLG-München-Fall wurde deutlich, dass selbst ein Vorstand sich nicht auf eigene Faust Mails sichern darf. Bei Organmitgliedern kann eine Pflichtverletzung zusätzlich die Abberufung (Absetzung aus dem Amt) rechtfertigen. Ähnliches gilt für GmbH-Geschäftsführer (§ 43 GmbHG) oder Beamte/Angestellte im öffentlichen Dienst (hier regeln verschiedene Gesetze die Verschwiegenheit, z.B. § 37 BeamtStG). Führungskräfte haben oft eine Vorbildfunktion – ein Datenschutzverstoß kann für sie daher besonders ernste arbeitsrechtliche Folgen haben, da das Vertrauen des Arbeitgebers massiv erschüttert ist.
  • Wettbewerbsrecht (UWG): Vor 2019 wurden Geheimnisverstöße über das UWG (§ 17 UWG a.F.) abgewickelt. Auch heute kann das Gesetz gegen den unlauteren Wettbewerb relevant sein, z.B. wenn ein Mitarbeiter Kundendaten nutzt, um Kollegen oder Kunden abzuwerben. Das wäre eine unlautere Handlung gegenüber dem ehemaligen Arbeitgeber. Zudem gilt nachvertraglich oft ein Wettbewerbsverbot (bzw. es gibt gesetzliche Schranken beim Verrat von Betriebsgeheimnissen auch ohne ausdrückliches Wettbewerbsverbot). Eine E-Mail-Weiterleitung kurz vor dem Jobwechsel – wie im LAG-Fall – kann Indiz für einen UWG-Verstoß sein, wenn die Daten beim neuen Arbeitgeber zur Konkurrenz genutzt werden. Das kann Unterlassungsansprüche und Schadenersatz nach sich ziehen.
  • Sonstige Vorschriften: Je nach Branche könnten weitere Gesetze greifen. Im Gesundheitswesen z.B. die Schweigepflicht (§ 203 StGB: Verletzung von Privatgeheimnissen) – eine Pflegekraft, die Patientendaten an den privaten Account mailt, könnte sich strafbar machen. In der Finanzbranche gibt es Bankgeheimnis- und datenschutzrechtliche Vorgaben. In Behörden existieren oft eigene Geheimschutzordnungen. Und nicht zuletzt: § 826 BGB (sittenwidrige Schädigung) könnte bemüht werden, wenn ein Arbeitnehmer durch solche Aktionen dem Arbeitgeber vorsätzlich Schaden zufügt.

Übersichtstipp: Arbeitnehmer:innen sollten sich bewusst machen, dass mehrere Ebenen von Pflichten tangiert sind: arbeitsrechtliche Pflichten, datenschutzrechtliche Vorgaben und strafbewehrte Geheimhaltungspflichten. Das überlappt und verstärkt sich gegenseitig – daher ist die private Weiterleitung so gefährlich. Im nächsten Abschnitt schauen wir, ob es irgendwelche Ausnahmen gibt, die dieses strikte Verbot abmildern.

Gibt es erlaubte Ausnahmen oder Rechtfertigungsgründe?

Grundsätzlich ist die unbefugte Weiterleitung tabu. Doch es gibt einige Sondersituationen, in denen das Thema nicht so schwarz-weiß ist:

1. Ausdrückliche Erlaubnis des Arbeitgebers: Natürlich kann ein Arbeitgeber selbst bestimmen, was mit seinen E-Mails geschieht. Wenn es klare Anweisungen oder Genehmigungen gibt, die das Weiterleiten erlauben, bewegt sich der Arbeitnehmer im grünen Bereich. Beispiel: Eine kleine Firma ohne VPN-Zugang erlaubt Mitarbeitern ausdrücklich, sich bestimmte Unterlagen an den Heim-PC zu mailen, damit sie mobil arbeiten können. Idealerweise sollte dies schriftlich fixiert sein (z.B. in einer E-Mail-Richtlinie oder per Einzelfreigabe). Achtung: Eine pauschale mündliche „Das machen wir hier alle so“-Kultur ist riskant. Was passiert, wenn der Chef wechselt oder doch anderer Meinung ist? Tipp: Lassen Sie sich eine Erlaubnis immer bestätigen (E-Mail genügt), um im Streitfall einen Nachweis zu haben. Und halten Sie sich an etwaige Auflagen (z.B. nur bestimmte Daten, sofortige Löschung nach Gebrauch, etc.).

2. Konkludente Duldung?: Manche Arbeitnehmer argumentieren, ihr Arbeitgeber “habe es immer gewusst und nie etwas gesagt”. Beispielsweise nutzen alle im Team freizügig private Dropbox oder Google-Docs, um an Projekten zu arbeiten, ohne dass die Firmen-IT einschreitet. Eine solche stillschweigende Duldung kann zwar in Einzelfällen dazu führen, dass eine Kündigung ohne vorherige Abmahnung unfair wäre – denn der Arbeitnehmer durfte auf die Duldung vertrauen. Verlassen sollte man sich darauf aber keinesfalls. Oft weiß der Arbeitgeber gar nichts von der Praxis, und wenn es auffliegt, kann er sich immer noch darauf berufen, dass keine echte Erlaubnis vorlag. Rechtlich schützt eine Duldung nur begrenzt: Im Zweifel hätte man trotzdem fragen müssen. Wer Pech hat, wird trotz langjähriger Praxis beim ersten Verstoß erwischt und sanktioniert.

3. Dienstliche Notwendigkeit: Kann es Fälle geben, in denen das Weiterleiten objektiv notwendig ist, um die Arbeit zu erfüllen? Theoretisch selten: Etwa wenn die IT-Infrastruktur des Arbeitgebers einen wichtigen Versand nicht schafft und man improvisieren muss. Oder wenn man außerhalb der Dienstzeiten dringend auf Infos zugreifen muss und es keinen VPN oder Remote-Zugang gibt. Hier bewegt man sich aber auf dünnem Eis. Im LAG-Fall 2017 behauptete der Arbeitnehmer, er habe zu Hause arbeiten wollen – doch da ein Dienstlaptop gestellt war, verneinte das Gericht die Notwendigkeit. Grundsatz: Solange der Arbeitgeber andere Mittel bereitstellt, ist Weiterleiten nicht notwendig. Gibt es gar keine andere Möglichkeit, sollte man zumindest vorab Rücksprache halten. In echter Not (Chef ist nicht erreichbar, aber ein Projekt brennt an einem Wochenende) könnte man im Nachhinein um Verständnis bitten – eine Garantie ist das nicht, aber offen kommunizieren ist besser als heimlich. Gegebenenfalls muss man im Ernstfall darlegen, dass man aus höherer betrieblicher Interessenwahrung gehandelt hat. Besser ist es, solche Situationen durch Vorsorge zu vermeiden: z.B. wichtige Dateien vorab auf den mitgegebenen Laptop kopieren, offizielle Zugänge einrichten lassen etc.

4. Whistleblowing / Verteidigung eigener Rechte: Was ist, wenn ein Arbeitnehmer E-Mails weiterleitet, um Rechtsverstöße aufzudecken (Whistleblower) oder um sich selbst zu verteidigen (Beweissicherung)? Hier betritt man einen Graubereich, der in den letzten Jahren mehr Beachtung gefunden hat.

  • Whistleblowing: Angenommen, Sie entdecken in E-Mails Beweise dafür, dass Ihr Arbeitgeber Gesetze verletzt (z.B. Korruption, Datenschutzverstöße, Strafbarkeit). Sie wollen diese sichern, um sie an die Behörden oder an den Betriebsrat zu geben. Das GeschGehG und neuerdings das Hinweisgeberschutzgesetz (HinSchG, seit 2023) schützen Whistleblower unter bestimmten Bedingungen. Wer Geschäftsgeheimnisse offenlegt, um gesetzeswidrige Handlungen aufzudecken, ist von der Haftung ausgenommen, wenn die Offenlegung geeignet ist, den Missstand aufzudecken, und die Person in guten Treuen handelt (§ 5 Nr. 2 GeschGehG). Allerdings bedeutet das nicht automatisch, dass das eigene Behalten der Daten zu Hause erlaubt ist. Idealerweise nutzen Whistleblower die vorgesehenen Meldewege (internen oder externen Meldestellen nach HinSchG) statt selbst Daten zu ziehen. In der Praxis werden Gerichte aber anerkennen, dass jemand, der ausschließlich zum Zwecke der Aufdeckung von Rechtsbrüchen Daten weiterleitet, milder behandelt werden muss. Dennoch: Bevor man eigenmächtig Daten kopiert, sollte man sich rechtlich beraten lassen oder anonym die Meldestelle nutzen. Sonst riskiert man trotz gutem Motiv die Kündigung – später könnte man zwar vor Gericht argumentieren, man sei geschützt, aber das ist unsicheres Fahrwasser.
  • Selbstverteidigung (Beweisführung): Ein ähnlicher Punkt ist, wenn Arbeitnehmer befürchten, für etwas beschuldigt zu werden, und deshalb E-Mails sichern. Im OLG München Fall meinte der Vorstand, er müsse sich vor späteren Vorwürfen schützen. Das Gericht lehnte das ab – es gäbe das rechtliche Mittel des Akteneinsichtsrechts (§ 810 BGB) und keine Not zur “Selbsthilfe”. Es gibt allerdings Konstellationen, in denen Arbeitsgerichte Arbeitnehmern zugestehen, interne Dokumente als Beweismittel in Prozessen zu verwenden (z.B. um eine Diskriminierung nachzuweisen). Diese dürfen dafür auch herauskopiert werden – aber am besten im Zuge des Prozesses durch gerichtliche Herausgabeverlangen. Wer auf eigene Faust vor Prozessbeginn Daten hortet, überschreitet schnell die Grenze. Hinweis: Seit 2018 gibt es auch in § 26 Abs. 2 BDSG einen gewissen Schutz, wenn Mitarbeiter Daten zur Geltendmachung von Rechtsansprüchen verarbeiten. Doch ob das das eigenmächtige Mailen an den eigenen Account deckt, ist fraglich – sicherer ist, man lässt das Gericht oder Anwälte die Herausgabe verlangen. Im Zweifel kann ein Gericht bei einer Kündigungsschutzklage berücksichtigen, dass der Mitarbeiter die Daten nur hatte, um z.B. Missstände zu beweisen, und die Kündigung als unverhältnismäßig einstufen. Aber das ist unsicher – verlassen sollte man sich darauf nicht.

5. Betriebsratsmitglieder und besondere Rollen: Betriebsratsmitglieder haben Zugang zu vielen sensiblen Informationen und eine Schweigepflicht. Dürfen Betriebsräte Unterlagen an ihre private Mail schicken, um z.B. zu Hause einen Sozialplan-Entwurf zu bearbeiten? Theoretisch sind Betriebsräte in Ausübung ihres Amts ebenfalls an Datenschutz und Geheimhaltung gebunden; sie sollten sich mit dem Arbeitgeber einigen, wie sie Unterlagen bekommen (meist stellt der Arbeitgeber dem Betriebsrat Bürotechnik oder zugriffsbeschränkte Portale zur Verfügung). Ein Betriebsrat als Person hat kein Sonderrecht, Firmengeheimnisse auf seinem Privat-PC zu speichern. Ihm drohen zwar besondere Hürden für eine Kündigung (Zustimmung des Betriebsratsgremiums bzw. Arbeitsgericht erforderlich), aber auch er kann bei Geheimnisverstößen sein Amt riskieren. Betriebsräte sollten daher ebenso vorsichtig sein und lieber den sicheren Betriebsrats-Laptop verwenden oder im Betrieb arbeiten, statt Daten heimzuschicken.

Zusammengefasst: Erlaubte Ausnahmen sind selten. Die sicherste Variante ist immer, sich gar nicht erst in Grauzonen zu begeben, sondern vorher zu fragen oder auf sichere Alternativen zu setzen. Wenn Sie meinen, in einer Notlage zu sein, holen Sie sich am besten juristischen Rat, bevor Sie eigenmächtig Daten bewegen. Oft gibt es Lösungen, die konform sind (z.B. verschlüsselte Verbindungen, VPN-Zugang, Cloud-Lösungen des Arbeitgebers), ohne dass man zur privaten Mail greifen muss.

Häufige Irrtümer – und warum sie gefährlich sind

Es kursieren einige Mythen unter Arbeitnehmern, was das Weiterleiten angeht. Hier die häufigsten Irrtümer – und die Aufklärung dazu:

  • „Ich leite ja nur an mich selbst weiter, nicht an Dritte.“Trugschluss: Auch die Weiterleitung an sich selbst ist eine unbefugte Kopie von Firmendaten. Der Arbeitgeber ist außen vor und die Daten verlassen den geschützten Bereich. Es kommt nicht darauf an, ob Dritte sie sehen. Schon das Erstellen der Zweitkopie und Ablegen auf fremdem Server (Ihr Mailanbieter) ist der Verstoß.
  • „Die Daten bleiben geheim, mein privater Account ist sicher.“Unwichtig: Selbst wenn Ihr Account durch ein starkes Passwort geschützt ist, bleibt die Aktion unautorisiert. Zudem kann niemand garantieren, dass z.B. ein Webmail-Dienst nicht doch gehackt wird oder Daten in die Cloud synchronisiert. Sicherheit ist relativ – was zählt: Sie haben die Daten ohne Erlaubnis an einen Ort gebracht, wo der Arbeitgeber keine Kontrolle hat. Ob etwas passiert oder nicht, ist juristisch zweitrangig.
  • „In meinem Vertrag steht nichts von einem Verbot.“Braucht es nicht: Die Pflicht zur Vertraulichkeit ergibt sich aus dem Gesetz (Treu und Glauben nach BGB) und ggf. aus allgemeinen Verschwiegenheitsklauseln. Es muss nicht explizit im Vertrag stehen “Das Weiterleiten ist verboten”. Selbst ohne schriftliche Regel gilt: Ohne Zustimmung keine private Verwendung. Viele Arbeitgeber haben es dennoch ausdrücklich in IT-Richtlinien oder Arbeitsverträgen untersagt – aber auch wenn nicht, schützt das nicht vor Konsequenzen.
  • „Alle Kollegen machen das, das ist so üblich.“Vorsicht: Nur weil andere möglicherweise gegen Regeln verstoßen und Glück hatten, heißt das nicht, dass es erlaubt ist. Diese Kollegen riskieren genauso eine Kündigung, falls es auffällt. Ein Richter würde fragen: “Hatte der Arbeitgeber Kenntnis von dieser Praxis?”Wenn nein, gibt es keine echte Duldung. Und wenn ja, müsste man zumindest mal klargestellt haben, dass es wirklich genehmigt ist. Im Zweifel ist das kein Freibrief. Manchmal gibt es betriebliche Übungen, aber bei Datenschutzverstößen verlassen sich Gerichte selten auf ein “das war bei uns gang und gäbe”.
  • „Ich wollte nur von zu Hause aus weiterarbeiten, nicht stehlen.“Mag sein, aber die Gerichte unterscheiden hier kaum. Auch gut gemeinte Motive (weiterarbeiten, effizient sein) schützen nicht vor Sanktionen, wenn es objektiv ein Verstoß ist. Arbeitgeber werden argumentieren, dass man auch anders hätte arbeiten können – etwa mit bereitgestelltem Laptop, per Remote-Zugang oder durch Mitnehmen des Dienstgeräts. Pro-Tipp: Sprechen Sie mit Ihrem Chef über flexible Arbeitsmöglichkeiten, statt spontan solche Lösungen zu wählen.
  • „Ohne die Unterlagen kann ich meine Unschuld nicht beweisen.“ – Hier ist wieder die Idee der Selbstverteidigung: Man behält Mails als “Versicherung”. Aber wie das OLG München zeigte, sehen Gerichte darin **keinen ausreichenden Rechtfertigungsgrund】1†L71-L79】. Besser wäre es, im Fall der Fälle legal an die Unterlagen zu kommen (durch Auskunftsrechte oder im Prozess). Wenn Sie dem Arbeitgeber misstrauen, dass er Ihnen später wichtige Infos vorenthält, kann das menschlich verständlich sein – rechtlich bewegt man sich auf verbotenem Terrain.

Merke: Gute Absicht schützt nicht vor Strafe. Im Arbeitsrecht gilt oft objektiv: Die Handlung zählt, nicht was Sie sich dabei dachten. Darum lieber vorher schlau machen und erlaubte Wege finden.

Tipps: So machen Sie es richtig (und vermeiden Ärger)

Abschließend möchten wir ein paar praktische Tipps geben, wie Sie in Zeiten von Homeoffice und mobiler Arbeit sicher und rechtskonform agieren, ohne in die E-Mail-Falle zu tappen:

  • Nutzen Sie Arbeitgeber-Lösungen: Wenn Sie von zu Hause arbeiten wollen oder müssen, fragen Sie nach offiziellen Lösungen. Viele Arbeitgeber bieten VPN-Zugänge, Terminal-Server, Office-365-Zugriff oder geben Dienst-Laptops/Smartphones aus. Nutzen Sie diese statt privater Workarounds. So bleiben die Daten in der kontrollierten Umgebung.
  • Holen Sie Erlaubnis ein: Bevor Sie jemals daran denken, sich etwas ins Private zu schicken, fragen Sie schriftlich beim Vorgesetzten nach. Beschreiben Sie den Anwendungsfall („Ich würde gern E-Mail XYZ zu Hause bearbeiten, darf ich mir das schicken?“). Kommt ein OK vom Chef, bewahren Sie diese Mail gut auf. Im Idealfall bestätigt der Arbeitgeber auch, dass keine personen- oder geheimnisbezogenen Bedenken bestehen. Ohne Freigabe lieber bleiben lassen!
  • Keine sensiblen Daten privat speichern: Verzichten Sie kategorisch darauf, besonders sensible Informationen(Kundendaten, Finanzzahlen, Personalakten, Passwörter etc.) auf privaten Geräten oder Accounts zu speichern. Hier ist das Risiko und die Rechtswidrigkeit am größten. Wenn überhaupt eine Ausnahme mal denkbar ist, dann bei nicht vertraulichen Unterlagen – aber die sollte man meist auch auf anderem Weg verfügbar haben.
  • Verschlüsselung und Datenschutz beachten: Falls Sie wirklich einmal eine dienstliche Information versenden müssen (z.B. an die eigene Adresse oder die eines Kollegen), dann verschlüsseln Sie den Inhalt. Z.B. ein ZIP-Archiv mit Passwort oder nutzen Sie vom Arbeitgeber freigegebene verschlüsselte E-Mail-Optionen. So minimieren Sie das Risiko eines Datenabflusses. Achtung: Das ändert nichts daran, dass es ohne Erlaubnis verboten ist – aber zumindest wäre im Worst Case der Inhalt nicht frei lesbar. Besser ist trotzdem, es gar nicht erst zu tun.
  • Auf Unternehmenspolitik drängen: Falls Ihre Firma noch keine klaren Regeln hat, regen Sie (ggf. als Betriebsrat) an, transparente Richtlinien aufzustellen. Darin kann z.B. stehen, was in Ausnahmen erlaubt ist oder welche Tools zur mobilen Arbeit genutzt werden dürfen. Klare Regeln schützen beide Seiten: Sie wissen, woran Sie sind, und der Arbeitgeber hat geringeres Risiko von Verstößen.
  • Schulungen nutzen: Informieren Sie sich über IT-Sicherheits- und Datenschutzschulungen in Ihrem Betrieb. Oft wird dort genau erklärt, warum gewisse Dinge (wie das private Mailen) verboten sind. Das Verständnis hilft, Versuchungen zu widerstehen. Zudem kann im Ernstfall niemand sagen, er habe es nicht gewusst, wenn Schulungen stattfanden – also achten Sie auf solche Inhalte.
  • Im Konfliktfall sofort Hilfe holen: Sollten Sie eine Abmahnung oder Kündigung wegen einer E-Mail-Weiterleitung erhalten, zögern Sie nicht, rechtlichen Rat einzuholen. Arbeitsrechtliche Fristen sind kurz (Klage binnen 3 Wochen!). Ein Anwalt kann prüfen, ob der Arbeitgeber alle Formalien eingehalten hat und ob die Strafe vielleicht unverhältnismäßig war. Manchmal lohnt es sich zu kämpfen – insbesondere wenn Sie guten Willen hatten und z.B. andere im Betrieb ähnlich gehandelt haben (Stichwort: Gleichbehandlung). Doch verlassen sollten Sie sich darauf nicht – am besten kommt es gar nicht so weit.

Fazit: Vorsicht ist besser als Nachsicht

Die scheinbar simple Frage „Darf ich dienstliche E-Mails an meinen privaten Account weiterleiten?“ lässt sich nach allem eindeutig beantworten: In der Regel nein, es ist rechtlich höchst riskant. Was im Alltag als kleine Bequemlichkeit erscheint, beurteilt die Rechtsprechung als schwere Pflichtverletzung, die sowohl Arbeitsplatz als auch berufliche Zukunft gefährden kann. Die Kombination aus Arbeitsrecht, Datenschutz und Geheimnisschutzmacht das Thema zu einem Minenfeld für Arbeitnehmer:innen.

Allerdings soll dies nicht heißen, dass flexible Arbeit unmöglich ist. Es kommt darauf an, saubere Lösungen zu finden: Arbeiten Sie mit Ihrem Arbeitgeber und dem Betriebsrat zusammen, um sichere Zugriffswege für Homeoffice zu etablieren, statt eigenmächtig Daten „nach Hause zu mailen“. Und falls Sie bereits in die Falle getappt sind und nun vor Konsequenzen stehen, bleiben Sie nicht untätig: Suchen Sie Rat und wehren Sie sich gegebenenfalls mit juristischer Hilfe.

Kanzlei Pöppel Rechtsanwälte unterstützt Sie gerne bei allen Fragen rund um Arbeitsrecht, Datenschutz im Arbeitsverhältnis und betriebliche Geheimhaltung. Unsere Expertise hilft Arbeitnehmern wie Betriebsräten, Lösungen im Spannungsfeld zwischen digitaler Arbeitswelt und Recht zu finden. Sollten Sie eine Abmahnung oder Kündigung erhalten haben – insbesondere ohne Rechtsschutzversicherung – zögern Sie nicht, uns zu kontaktieren. Wir behandeln Ihr Anliegen diskret und engagiert, denn Ihr gutes Recht im Job ist unser Auftrag.

(Übrigens: Dieser Beitrag ist bewusst ausführlich, um keine Fragen offen zu lassen. Aber auch wir sind trotz größter Sorgfalt nicht von Fehlern, die passieren können, frei. Speichern Sie ihn gerne als Referenztext – und teilen Sie ihn im Kollegenkreis, damit alle sensibilisiert sind. Im Zweifel gilt: Lieber einmal mehr den Chef oder Betriebsrat fragen, als im Nachhinein eine böse Überraschung erleben.)

 

Teile diesen Beitrag

Sie benötigen weiteren rechtlichen Rat?

Nutzen Sie unsere Online-Anfrage für einen schnellen Check.

Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.

Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.

Jetzt beraten lassen

Kanzleibewertung

Erfahrungen & Bewertungen zu Pöppel Rechtsanwälte