Die Weiterleitung dienstlicher E-Mails an private Accounts kann Vorstände und Geschäftsführer den Job kosten – fristlos und ohne vorherige Abmahnung. Das OLG München hat mit seinem Urteil vom 31.07.2024 (Az. 7 U 351/23 e) eine Zäsur markiert: DSGVO-Verstöße durch Organmitglieder werden als Verletzung der aktienrechtlichen Legalitätspflicht gewertet und rechtfertigen die sofortige Beendigung des Dienstverhältnisses. Parallel verschärft sich die persönliche Haftungslage für Führungskräfte durch die BGH-Tendenz zur Bejahung des Bußgeldregresses und die EuGH-Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO. Dieser Bericht analysiert die aktuelle Rechtsprechungslandschaft (2020–2026), systematisiert die Verteidigungsstrategien und ordnet die Haftungsrisiken ein.
Das OLG München setzt das Leitsignal: Neun E-Mails, ein Karriereende
Das Urteil des OLG München vom 31.07.2024 (7 U 351/23 e) bildet den zentralen Referenzpunkt der aktuellen Diskussion. Ein 64-jähriges Vorstandsmitglied einer nicht börsennotierten AG, das seit etwa acht Jahren im Amt war, hatte über einen Zeitraum von zwei Monaten insgesamt neun dienstliche E-Mails an seine private GMX-Adresse weitergeleitet, indem er diese bei geschäftlicher Kommunikation in CC setzte. Die E-Mails enthielten höchst sensible Daten: Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden, Provisionsansprüche von Mitarbeitern, geldwäscherechtliche Bankanfragen, Compliance-Vorgänge, Umsatzerlöse und internen E-Mail-Verkehr. Der Vorstand verteidigte sich mit dem Argument der prophylaktischen Beweissicherung für erwartete Haftungsprozesse.
Das OLG prüfte die fristlose Kündigung nach der klassischen Zwei-Stufen-Systematik des § 626 BGB. Auf der ersten Stufe qualifizierte es die Weiterleitung als Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (Art. 4 Nr. 2, Art. 6 Abs. 1 DSGVO) und damit als Verstoß gegen die Legalitätspflicht aus § 91 Abs. 1 S. 1 AktG. Bemerkenswert: Das Gericht verneinte einen Verstoß gegen die Verschwiegenheitspflicht des § 93 Abs. 1 S. 3 AktG, da keine Offenbarung an unbefugte Dritte stattfand – die E-Mails gingen nur an den Vorstand selbst. Dennoch reichte der DSGVO-Verstoß als eigenständige Pflichtverletzung aus. Nicht jeder DSGVO-Verstoß sei automatisch ein wichtiger Grund, so das OLG, aber bei sensibler Daten und systematischem Vorgehen sei diese Schwelle erreicht.
Das Argument der prophylaktischen Selbsthilfe wies das Gericht unter Verweis auf BAG, 08.05.2014 – 2 AZR 249/13zurück: Solange der Kläger Vorstand war, hatte er qua Amt Zugriff; nach Abberufung steht ihm ein Einsichtsanspruch aus § 810 BGB zu. Handels- und steuerrechtliche Aufbewahrungspflichten schützen vor unzeitiger Vernichtung. Auch die offene CC-Setzung, die behauptete Absprache mit dem Vorstandsvorsitzenden und der Hinweis, andere Mitarbeiter hätten ebenso gehandelt, ließen das Gericht unbeeindruckt. Auf der zweiten Stufe der Interessenabwägung wog der schwere Vertrauensbruch – die Daten dienten nach eigenem Vortrag der Vorbereitung einer gerichtlichen Auseinandersetzung gegen die eigene Gesellschaft – schwerer als acht Jahre beanstandungsfreie Tätigkeit und das Alter des Klägers. Eine Abmahnung war nach BGH-Rechtsprechung (Beschluss vom 02.07.2007 – II ZR 71/06) bei Vorstandsmitgliedern nicht erforderlich.
Die Rechtsprechungslandschaft: Von Clean-Desk-Verstößen bis zur Personalliste auf GMX
Die Gerichte haben in den vergangenen Jahren eine differenzierte Kasuistik zu DSGVO-Verstößen als Kündigungsgrund entwickelt, die ein klares Muster erkennen lässt: Je sensibler die Daten, je systematischer das Vorgehen und je höher die Position des Beschuldigten, desto eher wird eine fristlose Kündigung ohne vorherige Abmahnung bestätigt.
Weiterleitung an private Accounts bildet den häufigsten Falltyp. Neben dem OLG München hat das Hessische LAG(Beschluss vom 10.03.2025 – 16 TaBV 109/24) den Ausschluss eines Betriebsratsvorsitzenden aus dem Gremium bestätigt, der trotz Abmahnung und technischer Sperre eine vollständige Personalliste mit Vergütungsdaten sämtlicher Mitarbeiter an seine private GMX-Adresse weitergeleitet hatte. Bereits das LAG Berlin-Brandenburg (16.05.2017 – 7 Sa 38/17) hatte die fristlose Kündigung eines Vertriebsmitarbeiters bestätigt, der kurz vor dem Wechsel zu einem Konkurrenten betriebliche E-Mails mit Kalkulationsgrundlagen an seinen privaten Account weiterleitete. Das LAG Hamm (28.05.2020 – 15 Sa 2008/19) bekräftigte, dass Blindkopien dienstlicher E-Mails als Kündigungsgrund taugen und „prophylaktische Selbsthilfe“ keine Rechtfertigung bietet.
Unbefugte Datenweitergabe wurde vom LAG Köln (02.11.2021 – 4 Sa 290/21) ebenfalls als Grund für eine fristlose Kündigung anerkannt: Eine seit 23 Jahren beschäftigte Verwaltungsmitarbeiterin einer Kirchengemeinde hatte einen privaten Chatverlauf zwischen dem Pfarrer und einer Frau auf USB-Stick kopiert und weitergegeben – das LAG korrigierte die mildere erstinstanzliche Bewertung des ArbG Aachen, das eine Abmahnung als ausreichend angesehen hatte. Besonders weitreichend entschied das LAG Baden-Württemberg (25.03.2022 – 7 Sa 63/21) im sogenannten Bosch-Fall: Ein freigestelltes Betriebsratsmitglied hatte Prozessschriftsätze mit Gesundheitsdaten (Art. 9 DSGVO) anderer Mitarbeiter über einen Dropbox-Link der Betriebsöffentlichkeit zugänglich gemacht – fristlose Kündigung bestätigt.
Auch niedrigschwelligere Verstöße können nach konsequenter Abmahnungspolitik eine Kündigung tragen. Das LAG Sachsen (07.04.2022 – 9 Sa 250/21) bestätigte die ordentliche verhaltensbedingte Kündigung einer Kreditsachbearbeiterin, die wiederholt gegen die Clean-Desk-Policy verstoßen hatte. Das Gericht betonte, dass die Einhaltung datenschutzrechtlicher Arbeitsanweisungen eine Hauptleistungspflicht darstellt.
Auf BAG-Ebene ist die Grundsatzentscheidung vom 29.06.2023 (2 AZR 296/22) hervorzuheben, die zwar primär die Beweisverwertung betrifft, aber mit dem Grundsatz „Datenschutz ist kein Tatenschutz“ signalisiert, dass DSGVO-Schutzargumente nicht dazu dienen können, sich der Verantwortung für vorsätzliche Pflichtverletzungen zu entziehen.
| Gericht | Datum | Aktenzeichen | Kernthema | Ergebnis |
|---|---|---|---|---|
| OLG München | 31.07.2024 | 7 U 351/23 e | Vorstand leitet E-Mails an privaten Account | Fristlose Kündigung wirksam |
| Hess. LAG | 10.03.2025 | 16 TaBV 109/24 | BR-Vorsitzender leitet Personalliste weiter | Ausschluss aus Betriebsrat (n.rkr.) |
| LAG Köln | 02.11.2021 | 4 Sa 290/21 | Unbefugte Datenweitergabe (Whistleblowing) | Fristlose Kündigung wirksam |
| LAG BaWü | 25.03.2022 | 7 Sa 63/21 | Gesundheitsdaten über Dropbox veröffentlicht | Fristlose Kündigung wirksam |
| LAG Sachsen | 07.04.2022 | 9 Sa 250/21 | Wiederholter Clean-Desk-Verstoß | Ordentliche Kündigung nach Abmahnungen |
| LAG Berlin-BB | 16.05.2017 | 7 Sa 38/17 | E-Mail-Weiterleitung vor Konkurrenzwechsel | Fristlose Kündigung wirksam |
| LAG Hamm | 28.05.2020 | 15 Sa 2008/19 | Blindkopien dienstlicher E-Mails | Kündigung bestätigt |
| BAG | 29.06.2023 | 2 AZR 296/22 | „Datenschutz ist kein Tatenschutz“ | Beweisverwertung trotz DSGVO-Verstoß |
Verteidigungsstrategien: Was Führungskräften bei DSGVO-Vorwürfen bleibt
Die Verteidigung gegen eine auf DSGVO-Verstöße gestützte Kündigung operiert auf mehreren Ebenen, wobei die Erfolgsaussichten stark von der konkreten Fallkonstellation abhängen.
Das Abmahnungserfordernis bildet das stärkste Verteidigungsargument für reguläre Arbeitnehmer. Die herrschende Meinung in der Literatur (Kolb Blickhan & Partner, activeMind.legal, Brennecke Rechtsanwälte) verlangt grundsätzlich eine Abmahnung als milderes Mittel vor Ausspruch einer Kündigung – entbehrlich nur bei gravierenden Vertrauensbrüchen, bei denen der Arbeitnehmer erkennbar nicht mit einer Duldung rechnen konnte. Bei Vorständen greift dieses Argument jedoch nicht: Nach BGH-Rechtsprechung ist eine Abmahnung vor der fristlosen Kündigung eines Vorstandsdienstvertrags auch nach der Schuldrechtsreform nicht erforderlich. Bei GmbH-Geschäftsführern ist die Rechtslage vergleichbar. Für leitende Angestellte unterhalb der Organebene bleibt das Abmahnungserfordernis dagegen ein relevantes Verteidigungsmittel.
Die Verhältnismäßigkeitsargumentation setzt an der Interessenabwägung des § 626 Abs. 1 BGB an. In der Fachliteratur hat insbesondere die Kanzlei Pöppel Rechtsanwälte einen bemerkenswerten „Doppelstandard“-Einwand formuliert: Während die BAG-„Emmely“-Entscheidung (2010) bei einem Vermögensdelikt von 1,30 € nach 31 Jahren Betriebszugehörigkeit die Kündigung für unwirksam erklärte, führen abstrakte Datenschutzgefährdungen ohne konkreten Schaden zu rigorosen Kündigungen. Zugunsten des Gekündigten sind in der Interessenabwägung zu berücksichtigen: lange Betriebszugehörigkeit, Alter und Arbeitsmarktchancen, Unterhaltspflichten, bisherige Beanstandungsfreiheit, fehlender konkreter Schaden, keine Weitergabe an Dritte, Transparenz des Verhaltens und Einmaligkeit des Verstoßes. Bei einmaligen, fahrlässigen Verstößen ohne Schadensfolge bleibt die Verhältnismäßigkeitsargumentation stark – das OLG München ließ sie im konkreten Fall aber aufgrund der Sensibilität der Daten und der Systematik nicht gelten.
Fehlende Datenschutzschulung durch den Arbeitgeber kann dessen Kündigungsposition erheblich schwächen. Art. 39 Abs. 1 lit. b DSGVO, Art. 5 Abs. 2 und Art. 32 Abs. 4 DSGVO begründen eine indirekte Schulungspflicht. Hat der Arbeitgeber keine klaren Richtlinien zur E-Mail-Nutzung kommuniziert, stellt sich die Frage: Konnte der Arbeitnehmer die Rechtswidrigkeit seines Verhaltens erkennen? Bei Führungskräften greift dieses Argument allerdings deutlich schwächer, da ihnen kraft Amtes eine erhöhte Sorgfaltspflicht obliegt (§ 93 AktG / § 43 GmbHG). Ein Vorstand kann sich grundsätzlich nicht auf unzureichendes Datenschutzwissen berufen.
Formale Verteidigungsmittel sind nicht zu unterschätzen: Die Einhaltung der Zweiwochenfrist des § 626 Abs. 2 BGB muss sorgfältig geprüft werden – bei Vorständen beginnt diese erst, wenn der Aufsichtsrat als Kollegialorgan in einer Sitzung Kenntnis erlangt, nicht bei Einzelwissen eines Mitglieds. Weitere formale Angriffspunkte sind fehlerhafte Betriebsratsanhörung (§ 102 BetrVG), Sonderkündigungsschutz (DSB nach § 6 Abs. 4 BDSG, Schwerbehinderte nach §§ 168 ff. SGB IX, Mutterschutz/Elternzeit) und das Schriftformerfordernis (§ 623 BGB). Betriebliche Übung und Duldung – wenn die Weiterleitung an private Accounts allgemein üblich war – kann ebenfalls die Unverhältnismäßigkeit der Kündigung begründen.
Persönliche Haftung: Der Druck auf Führungskräfte wächst von drei Seiten
Die persönliche Haftung von Geschäftsführern und Vorständen bei DSGVO-Verstößen hat sich im Zeitraum 2020–2026 signifikant verschärft. Die Entwicklung vollzieht sich auf drei parallelen Ebenen: Innenhaftung durch Bußgeldregress, Außenhaftung nach Art. 82 DSGVO und strafrechtliche Risiken.
Die Innenhaftung stellt das größte finanzielle Risiko dar. Der BGH-Vorlagebeschluss vom 11.02.2025 (KZR 74/23) hat die Rechtslage grundlegend verändert: Im Kartellbußgeld-Kontext stellte der BGH klar, dass nach nationalem Recht die §§ 43 Abs. 2 GmbHG und 93 Abs. 2 AktG keine Einschränkung für Bußgeldschäden vorsehen – jeder Vermögensnachteil der Gesellschaft sei regressfähig. Dem EuGH wurde lediglich die Frage vorgelegt, ob Art. 101 AEUV dem entgegensteht. Das OLG Frankfurt (21.10.2025 – 31 U 3/25) bestätigte diese Linie für ein BaFin-Bußgeld. Diese Rechtsprechung wird als übertragbar auf DSGVO-Bußgelder nach Art. 83 DSGVO angesehen. Angesichts möglicher Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes ergeben sich existenzbedrohende Regressrisiken für Organmitglieder, die ihrer Legalitätspflicht zur DSGVO-Compliance nicht nachkommen. Die aktienrechtliche Beweislastumkehr verschärft die Lage zusätzlich: Das Management muss beweisen, dass keine Pflichtverletzung vorlag.
Die Außenhaftung nach Art. 82 DSGVO richtet sich grundsätzlich gegen den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO – regelmäßig die juristische Person. Das OLG Dresden (30.11.2021 – 4 U 1158/21) ging einen Schritt weiter und verurteilte einen Geschäftsführer persönlich als Gesamtschuldner zu 5.000 Euro Schadensersatz, indem es ihn als eigenständigen datenschutzrechtlich Verantwortlichen einstufte. Die herrschende Meinung in der Literatur (Arning/Rothkegel in Taeger/Gabel, DSGVO, 4. Aufl.; Bergt in Kühling/Buchner) lehnt dies als Einzelfallentscheidung ab: Die Organstellung allein begründe keine datenschutzrechtliche Verantwortlichkeit – nur wenn der Geschäftsführer Daten für eigene private Zwecke verarbeitet oder die Verarbeitung eigenständig veranlasst. Parallel hat der EuGH in einer Serie von Grundsatzurteilen (C-300/21, C-741/21, C-200/23) den Schadensbegriff des Art. 82 DSGVO weit ausgelegt: Kontrollverlust genügt als immaterieller Schaden, keine Bagatellgrenze existiert, und der Verantwortliche kann sich nicht durch Verweis auf weisungswidriges Mitarbeiterhandeln exkulpieren. Der BGH (18.11.2024 – VI ZR 10/24) hat für bloßen Kontrollverlust einen Richtwert von ca. 100 Euro pro Betroffenem etabliert – bei Datenlecks mit Millionen Betroffenen entstehen so Schadenssummen, die im Regressweg auch Führungskräfte persönlich treffen können.
Strafrechtlich drohen nach § 42 BDSG bis zu drei Jahre Freiheitsstrafe für wissentliches, gewerbsmäßiges Übermitteln personenbezogener Daten ohne Berechtigung. Die Geschäftsherrenhaftung nach § 13 StGB verpflichtet Vorgesetzte, Verstöße nachgeordneter Mitarbeiter zu verhindern. Ergänzend kommt eine persönliche Ordnungswidrigkeitenverantwortlichkeit nach § 130 OWiG wegen Aufsichtspflichtverletzung in Betracht.
D&O-Versicherungen bieten nur begrenzten Schutz: Vorsätzliche Pflichtverletzungen sind standardmäßig ausgeschlossen, direkte Geldbußen gegen das Organmitglied ebenfalls. Der Regress einer Unternehmensgeldbuße ist in modernen D&O-Policen zwar grundsätzlich mitversichert, die Versicherbarkeit von Bußgeldern selbst bleibt jedoch höchst umstritten. Bei hohen DSGVO-Bußgeldern werden die Deckungssummen zudem regelmäßig überschritten.
Schlussfolgerungen: DSGVO-Compliance als persönliche Überlebensfrage für Führungskräfte
Die Rechtsprechungsentwicklung 2020–2026 verdichtet sich zu einem klaren Bild: DSGVO-Compliance ist nicht mehr nur ein Unternehmensthema, sondern eine persönliche Überlebensfrage für Führungskräfte. Drei Erkenntnisse stechen hervor.
Erstens hat das OLG München mit der Einordnung des DSGVO-Verstoßes als Verletzung der aktienrechtlichen Legalitätspflicht (§ 91 Abs. 1 S. 1 AktG) einen dogmatischen Brückenschlag vollzogen, der die Schwelle für fristlose Kündigungen bei Organmitgliedern erheblich senkt. Die parallele Anwendbarkeit der BAG-Grundsätze zur unbefugten Datenaneignung durch Arbeitnehmer auf Vorstände zeigt, dass die Gerichte keine Privilegierung der Führungsebene dulden – im Gegenteil, die erhöhte Vertrauensstellung wirkt verschärfend.
Zweitens vollzieht sich bei der persönlichen Haftung ein Paradigmenwechsel: Die BGH-Tendenz zur Bejahung des Bußgeldregresses (Vorlagebeschluss KZR 74/23) in Kombination mit der EuGH-Rechtsprechung zum weiten Schadensbegriff des Art. 82 DSGVO schafft ein Haftungsumfeld, in dem einzelne DSGVO-Verstöße zu persönlichen Millionenforderungen gegen Geschäftsleiter führen können. Die EuGH-Antwort zur Regressfähigkeit, die für 2026/2027 erwartet wird, könnte diese Entwicklung endgültig zementieren.
Drittens zeigt die Verteidigungsperspektive, dass die effektivsten Strategien präventiver Natur sind: klare Datenschutzrichtlinien im Unternehmen, dokumentierte Schulungen, technische Schutzmaßnahmen und – für den Ernstfall – eine sorgfältig dimensionierte D&O-Versicherung mit ausreichender Nachhaftung. Wer als Führungskraft dienstliche Daten auf privaten Accounts sichern will, hat nach der OLG-München-Entscheidung genau eine rechtssichere Alternative: den Einsichtsanspruch nach § 810 BGB nach dem Ausscheiden.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
