DSGVO-Verstoß als Kündigungsrisiko und Haftungsfalle für Führungskräfte

Der Paradigmenwechsel im Arbeits- und Gesellschaftsrecht

DSGVO-Verstoß als Kündigungsrisiko und Haftungsfalle für Führungskräfte: Eine umfassende juristische Analyse der aktuellen Rechtsprechung und Compliance-Anforderungen.

Die digitale Transformation der Arbeitswelt hat nicht nur Prozesse beschleunigt, sondern auch eine neue juristische Frontlinie eröffnet: den Datenschutz als scharfes Schwert im Arbeitskampf und in der Corporate Governance. Während in den ersten Jahren nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 primär die Bußgeldpraxis der Aufsichtsbehörden und die Angst vor den 4-Prozent-Sanktionen (Art. 83 DSGVO) die Diskussion beherrschten, hat sich der Fokus nun drastisch verschoben. Datenschutzverstöße sind nicht mehr nur ein Compliance-Problem, sondern entwickeln sich zum zentralen Hebel für die arbeitsrechtliche Beendigung von Dienstverhältnissen – insbesondere auf Führungsebene.

Für Vorstände, Geschäftsführer und leitende Angestellte hat sich die Risikolandschaft fundamental gewandelt. Was früher als pragmatische „Datensicherung“ oder „Mitnahme von Arbeitsergebnissen“ beim Jobwechsel toleriert oder als Bagatelle abgetan wurde, wird heute von Gerichten als schwerwiegende Pflichtverletzung gewertet, die eine außerordentliche, fristlose Kündigung rechtfertigen kann. Die „Waffengleichheit“ der Daten führt dazu, dass Unternehmen in Trennungsszenarien gezielt IT-forensische Mittel einsetzen, um Datenschutzverstöße zu dokumentieren und so teure Abfindungszahlungen zu vermeiden.

Dieser Bericht für die Kanzlei Pöppel Rechtsanwälte analysiert die aktuelle Rechtsprechung, insbesondere das wegweisende Urteil des OLG München vom 31.07.2024 (Az. 7 U 351/23 e), und beleuchtet die explodierenden Haftungsrisiken im Innenverhältnis. Wir untersuchen die dogmatischen Feinheiten der „Legalitätspflicht“, die Abgrenzung zur Verschwiegenheitspflicht und die verheerenden Konsequenzen der EuGH-Rechtsprechung zum immateriellen Schadensersatz (Art. 82 DSGVO). Ziel ist es, Führungskräften und Unternehmen gleichermaßen eine juristisch fundierte, detailreiche Navigationshilfe durch dieses verminte Gelände zu bieten.

I. Das OLG München Urteil (7 U 351/23 e): Anatomie einer fristlosen Kündigung

Das Urteil des Oberlandesgerichts München vom 31. Juli 2024 markiert eine Zäsur in der Rechtsprechung zur Organhaftung und zur Kündigung von Dienstverträgen. Es dekonstruiert die weit verbreitete Praxis der privaten Datenspeicherung durch Führungskräfte und klassifiziert sie als unentschuldbaren Rechtsbruch.

Der detaillierte Sachverhalt: „Vorsorge“ wird zum Verhängnis

Im Zentrum des Rechtsstreits stand ein Vorstandsmitglied einer Aktiengesellschaft. In Erwartung möglicher künftiger Konflikte oder Haftungsansprüche seitens der Gesellschaft begann der Vorstand, systematisch dienstliche E-Mails an seinen privaten E-Mail-Account weiterzuleiten. Dieser Vorgang erstreckte sich über einen Zeitraum von etwa zwei Monaten und umfasste insgesamt neun E-Mails, die jedoch Anhänge und Inhalte von erheblicher Sensibilität enthielten.

Zu den transferierten Daten gehörten:

Gehaltsabrechnungen von Mitarbeitern: Hochsensible personenbezogene Daten, die Rückschlüsse auf die finanzielle Situation Dritter zulassen.
Provisionsansprüche und Umsatzerlöse: Geschäftsgeheimnisse, die für die Wettbewerbsfähigkeit des Unternehmens relevant sind.
Spesenzahlungen und Organigramme: Interne Strukturdaten.
Interne Kommunikation des Vorstands: Vertrauliche Abstimmungsprozesse auf C-Level-Ebene.²

Der Modus Operandi war dabei technisch simpel, aber rechtlich fatal: Der Vorstand setzte seine private E-Mail-Adresse bei dienstlicher Korrespondenz in „CC“ (Carbon Copy) oder leitete empfangene Mails direkt weiter. Seine Motivation war defensiv: Er wollte, so seine Argumentation vor Gericht, keine Daten an Dritte (wie Wettbewerber oder Presse) verraten, sondern lediglich „Waffengleichheit“ herstellen und Beweismittel sichern, um sich gegen potenzielle Haftungsprozesse verteidigen zu können.

Die juristische Würdigung: Legalitätspflicht vs. Verschwiegenheitspflicht

Das Gericht musste eine feine, aber entscheidende Differenzierung vornehmen, die für die Beratungspraxis von immenser Bedeutung ist: die Unterscheidung zwischen der aktienrechtlichen Verschwiegenheitspflicht und der allgemeinen Legalitätspflicht.

Keine Verletzung der Verschwiegenheitspflicht (§ 93 Abs. 1 S. 3 AktG)

Traditionell zielen Unternehmenskündigungen bei Datenabfluss auf die Verletzung der Verschwiegenheitspflicht ab. Diese verbietet es Organmitgliedern, Geschäftsgeheimnisse unbefugt an Dritte zu offenbaren (§ 404 AktG). Das OLG München stellte hierzu fest: Solange die E-Mails „nur“ an den privaten Account des Vorstands gingen und nicht an Außenstehende weitergeleitet wurden, lag technisch gesehen keine Offenbarung gegenüber der Öffentlichkeit oder Wettbewerbern vor. Der private E-Mail-Account des Vorstands ist zwar nicht teil des Unternehmenssystems, aber der Empfänger (der Vorstand als Privatperson) hat die Daten noch nicht „verwertet“ oder „offenbart“ im Sinne einer Marktschädigung.

Wäre die Kündigung nur auf die Verschwiegenheitspflicht gestützt worden, wäre sie möglicherweise unwirksam gewesen. Doch das Gericht griff tiefer.

Verstoß gegen die Legalitätspflicht durch DSGVO-Verletzung

Das scharfe Schwert des Urteils ist die Legalitätspflicht. Ein Vorstand hat nicht nur die Pflicht, wirtschaftlich sinnvoll zu handeln, sondern zwingend dafür zu sorgen, dass das Unternehmen und er selbst sich rechtmäßig verhalten. Ein Verstoß gegen geltendes Recht (hier: die DSGVO) ist per se eine Pflichtverletzung.

Das Gericht argumentierte:

Verarbeitung ohne Rechtsgrundlage: Die Weiterleitung an den privaten Account ist eine „Verarbeitung“ (Übermittlung) personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO.
Fehlende Einwilligung: Für diese Übermittlung gab es keine Einwilligung der betroffenen Mitarbeiter (deren Gehaltsdaten versendet wurden) und auch keine Betriebsvereinbarung oder Einwilligung des Arbeitgebers.⁴
Kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Das Gericht wog das Interesse des Vorstands an der „Beweissicherung“ gegen die Schutzinteressen der betroffenen Personen und des Unternehmens ab. Das Ergebnis war eindeutig: Das private Interesse an einer potenziellen Verteidigung wiegt nicht schwerer als der Schutz hochsensibler Mitarbeiterdaten. Das Prozessrecht (ZPO) bietet ausreichende Möglichkeiten der Akteneinsicht und Edition (§§ 142 ff. ZPO), sodass keine Notwendigkeit zur „Selbsthilfe“ durch Datenexfiltration besteht.

Die Figur des „Mitarbeiterexzesses“

Ein dogmatisches Kernstück des Urteils ist die Konstruktion des „Dritten“. Solange der Vorstand im Büro am Firmenlaptop arbeitet, ist er Teil der „verantwortlichen Stelle“ (des Unternehmens). Er ist kein Dritter, sondern ein unselbstständiger Teil des Verantwortlichen.

In dem Moment jedoch, in dem er Daten auf seine private Infrastruktur (GMail, GMX, Web.de, private Festplatte) überträgt, löst er sich aus dieser funktionalen Einbindung. Er begeht einen „Mitarbeiterexzess“. Das Gericht führt aus:

„Durch die Verwendung für einen privaten Zweck hat das Vorstandsmitglied die Daten […] nicht mehr in seiner internen Funktion für die Gesellschaft als Teil des „Verantwortlichen“ im Sinne der DS-GVO, sondern im privaten Interesse verwandt. Damit kam es zu einer Datenübermittlung von der Gesellschaft an das Vorstandsmitglied als Privatperson, also an einen Dritten.“

Diese juristische Metamorphose vom Organ zum Dritten ist fatal: Sie macht aus einem internen Vorgang eine illegale Datenübermittlung an Externe. Der Vorstand „bestiehlt“ datenschutzrechtlich gesehen sein eigenes Unternehmen, indem er die Daten der Kontrolle des Unternehmens entzieht und sie in eine Sphäre (den privaten Account) verbringt, auf die der Datenschutzbeauftragte und die IT-Sicherheit keinen Zugriff haben.

Konsequenz: Wichtiger Grund ohne Abmahnung

Die Schwere des Verstoßes – insbesondere die Einbeziehung sensibler Gehaltsdaten und die systematische Vorgehensweise – führte dazu, dass das Gericht eine vorherige Abmahnung als entbehrlich ansah. Bei Organmitgliedern ist das Vertrauensverhältnis die Basis der Zusammenarbeit. Wer dieses Vertrauen missbraucht, um private „Munition“ gegen die Gesellschaft zu sammeln, zerstört die Geschäftsgrundlage unwiederbringlich. Eine Fortsetzung des Dienstverhältnisses bis zum Ablauf der ordentlichen Kündigungsfrist war dem Unternehmen nicht zuzumuten (§ 626 BGB).³

II. Die arbeitsrechtliche Dimension: Vom Vorstand zum Angestellten

Während das OLG-Urteil spezifisch das Gesellschaftsrecht (Vorstand einer AG) betraf, strahlt die Rechtslogik unmittelbar auf das Arbeitsrecht aus. Auch leitende Angestellte und „normale“ Arbeitnehmer unterliegen denselben datenschutzrechtlichen Mechanismen.

Rechtsprechung der Landesarbeitsgerichte (LAG)

Die Arbeitsgerichte haben in den letzten Jahren eine zunehmend strenge Linie entwickelt, die sich nahtlos in die Argumentation des OLG München einfügt.

LAG Berlin-Brandenburg: Der unbefugte Datenabruf

In einem Fall vor dem LAG Berlin-Brandenburg (Urteil vom 01.09.2016 – 10 Sa 192/16) wurde einem Behördenmitarbeiter fristlos gekündigt, weil er unbefugt Meldedaten abgerufen hatte. Auch hier war kein direkter finanzieller Schaden für den Arbeitgeber entstanden. Das Gericht stellte jedoch klar, dass der Verstoß gegen das „Grundrecht auf informationelle Selbstbestimmung“ (Art. 33 Berliner Landesverfassung, analog DSGVO) so schwer wiegt, dass er an sich geeignet ist, einen wichtigen Grund zur Kündigung darzustellen. Wer Daten zu privaten Zwecken (Neugier, private Recherche) abruft, missbraucht seine Zugriffsberechtigung.⁶

LAG Baden-Württemberg: Der Betriebsrat und die Dropbox

Ein besonders relevanter Fall für die Praxis betraf ein Betriebsratsmitglied (LAG Baden-Württemberg, Urteil vom 18.01.2019 und bestätigt in Folgeentscheidungen). Der Kläger hatte Prozessakten, die sensible Gesundheitsdaten von Kollegen enthielten, in eine private Dropbox hochgeladen und den Link an einen Verteiler geschickt.

Das Gericht bestätigte die außerordentliche Kündigung. Die Argumentation des Betriebsrats, er habe im Rahmen seiner Amtstätigkeit gehandelt, ließ das Gericht nicht gelten. Die Nutzung eines Cloud-Speichers (Dropbox), dessen Server oft im außereuropäischen Ausland stehen und der nicht der Kontrolle des Arbeitgebers unterliegt, stellt eine massive Gefährdung der Datensicherheit dar. Besonders bei Gesundheitsdaten (Art. 9 DSGVO) sind die Anforderungen an die Sicherheit extrem hoch. Das „Auslagern“ in die Cloud ist ein klassischer Fall von Schatten-IT, der zur Kündigung berechtigt.7

LAG Sachsen: Die Summe der Teile

Das LAG Sachsen musste über einen Fall entscheiden, in dem eine Arbeitnehmerin mehrfach geringfügig gegen Datenschutzrichtlinien verstoßen hatte. Das Gericht urteilte, dass auch eine Summe von kleineren Verstößen in ihrer Gesamtheit eine erhebliche Verletzung der Hauptpflichten darstellen kann, die – nach erfolgter Abmahnung – eine Kündigung rechtfertigt. Dies zeigt, dass nicht nur der „große Knall“ (Datenleck), sondern auch die beharrliche Missachtung von Compliance-Vorgaben das Arbeitsverhältnis beendet.⁸

Das Instrument der Abmahnung: Wann ist sie notwendig?

Im Gegensatz zum Vorstandsrecht, wo das Vertrauen absolut ist, gilt im Arbeitsrecht stärker der Verhältnismäßigkeitsgrundsatz.

Bagatellverstöße: Einmaliges Weiterleiten einer unkritischen E-Mail an privat („Ich wollte das zu Hause fertig lesen“) wird in der Regel erst abgemahnt werden müssen. Hier überwiegt oft noch das Interesse am Erhalt des Arbeitsplatzes, solange keine Schädigungsabsicht vorliegt.
Systematische Verstöße & Sensible Daten: Sobald jedoch eine Systematik erkennbar ist (z.B. Anlegen eines Schattenarchivs) oder besonders geschützte Datenkategorien (Art. 9 DSGVO, Finanzdaten, Personaldaten) betroffen sind, entfällt das Abmahnungserfordernis. Der Arbeitnehmer muss wissen, dass ein solches Verhalten den Bestand des Arbeitsverhältnisses gefährdet. Die „Rechtswidrigkeit“ ist für jeden verständigen Arbeitnehmer offensichtlich.⁸

Beweisverwertungsverbote: Darf der Arbeitgeber überwachen?

Ein zentrales prozessuales Problem ist die Gewinnung der Beweise. Wie erfährt das Unternehmen, dass der Vorstand E-Mails an „privat“ sendet? Meist durch Auswertung der Log-Files oder des „Gesendet“-Ordners.

Hier kollidiert das Kontrollrecht des Arbeitgebers mit dem Datenschutz des Arbeitnehmers. Erlaubt der Arbeitgeber die private Nutzung des E-Mail-Accounts, unterliegt er dem Fernmeldegeheimnis (TKG/TTDSG), was den Zugriff massiv erschwert. Ist die private Nutzung verboten, darf er grundsätzlich stichprobenartig kontrollieren.

Die Rechtsprechung (BAG) tendiert dazu, Beweisverwertungsverbote im Zivilprozess nur sehr zurückhaltend anzunehmen. Selbst wenn eine Überwachungsmaßnahme datenschutzrechtlich problematisch war, darf das Ergebnis (der Beweis des schweren Pflichtverstoßes) oft verwertet werden, wenn es die einzige Möglichkeit war, eine schwere Pflichtverletzung aufzuklären. Der Täter soll sich nicht hinter dem Datenschutz verstecken können, den er selbst verletzt hat.

III. Zivilrechtliche Haftung: Die Kostenexplosion durch Art. 82 DSGVO

Die Kündigung ist für die betroffene Führungskraft oft nur der erste Schritt. Es folgt die finanzielle Auseinandersetzung. Die DSGVO hat mit Art. 82 einen Schadensersatzanspruch geschaffen, der in seiner Dynamik von vielen unterschätzt wird.

Das Ende der Bagatellgrenze

Lange Zeit wehrten deutsche Gerichte (z.B. OLG Dresden) Schadensersatzklagen ab, wenn der Kläger keinen „spürbaren Nachteil“ nachweisen konnte. Ein bloßes „Ungut-Fühlen“ oder „Ärger“ sollte nicht reichen. Diese mäßigende Rechtsprechung wurde jedoch durch den Europäischen Gerichtshof (EuGH) und das Bundesarbeitsgericht (BAG) pulverisiert.

EuGH-Rechtsprechung (C-300/21, C-741/21)

Der EuGH hat klargestellt:

Keine Erheblichkeitsschwelle: Die DSGVO kennt keine Bagatellgrenze. Jeder Schaden, der kausal auf einem Verstoß beruht, ist ersatzfähig.
Begriff des Schadens: Der Begriff des „immateriellen Schadens“ ist weit auszulegen. Er umfasst auch den „Kontrollverlust“ über die eigenen Daten oder die „Furcht“ vor missbräuchlicher Verwendung.
Kein Strafschadensersatz: Der Schadensersatz hat Ausgleichsfunktion, keine Strafwirkung (Punitive Damages). Dennoch muss er „vollständig und wirksam“ sein, um die Ziele der DSGVO zu erreichen.

BAG-Urteil (8 AZR 124/23)

Das BAG hat diese Linie für das deutsche Arbeitsrecht übernommen. Zwar muss der Kläger den Schaden darlegen (die bloße Verletzung der DSGVO reicht nicht automatisch für Geldentschädigung), aber die Anforderungen an diese Darlegung sind gesunken. Wenn ein Vorstand Mitarbeiterdaten an seinen privaten Account sendet, ist der Kontrollverlust für die Mitarbeiter real. Das subjektive Gefühl der Unsicherheit („Was macht er mit meinen Gehaltsdaten?“) kann einen Anspruch begründen.¹³

Das Risiko der Massenklagen

Führungskräfte müssen sich vergegenwärtigen: Ein Datenverstoß betrifft selten nur eine Person. Wenn eine Excel-Liste mit Provisionsdaten von 500 Vertriebsmitarbeitern exfiltriert wird, entstehen potenziell 500 Einzelansprüche.

Rechnet man konservativ mit 500 bis 1.000 Euro immateriellem Schadensersatz pro Person (Werte, die in der Rechtsprechung durchaus zugesprochen werden, vgl. ArbG Düsseldorf mit 5.000 Euro für falsche Auskunft 17), summiert sich das Risiko auf 250.000 bis 500.000 Euro.

Persönliche Haftung des Geschäftsführers (Außenhaftung)

Grundsätzlich haftet die GmbH oder AG als „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO). Doch die Rechtsprechung öffnet zunehmend die Tür für die direkte Inanspruchnahme des Geschäftsführers durch Dritte. Ein Urteil des OLG Dresden (4 U 1158/21) deutet an, dass ein Geschäftsführer, der eigenhändig und weisungswidrig handelt, neben der Gesellschaft als „Mit-Verantwortlicher“ haften kann. Dies durchbricht das Trennungsprinzip des Gesellschaftsrechts und führt zur direkten persönlichen Haftung mit dem Privatvermögen.¹⁸

IV. Gesellschaftsrechtlicher Regress: Die Falle im Innenverhältnis

Noch gefährlicher als die Außenhaftung ist der Regress im Innenverhältnis. Zahlt das Unternehmen Bußgelder oder Schadensersatz, wird es versuchen, sich das Geld vom verursachenden Organ zurückzuholen (§ 43 Abs. 2 GmbHG, § 93 Abs. 2 AktG).

Regressfähigkeit von DSGVO-Bußgeldern

Die Frage, ob ein Unternehmen ein verhängtes Bußgeld (Art. 83 DSGVO) vom Geschäftsführer als Schadensersatz zurückfordern kann, ist der „Elefant im Raum“.

Argumentation dagegen: Bußgelder haben einen persönlichen Sanktionscharakter. Sie sollen das Unternehmen treffen und erziehen. Wenn das Unternehmen das Bußgeld „weiterreichen“ könnte, würde der Sanktionszweck verfehlt.
Argumentation dafür (BGH-Tendenz): Der BGH (KZR 74/23, Kartellbußgelder) neigt dazu, Bußgelder als „Schaden“ der Gesellschaft zu qualifizieren. Wenn der Geschäftsführer seine Aufsichtspflicht verletzt hat, muss er das Unternehmen so stellen, als wäre die Pflichtverletzung nicht geschehen. Da das Verfahren derzeit dem EuGH zur Vorabentscheidung vorliegt, herrscht Rechtsunsicherheit – mit tendenziell hoher Gefahr für Manager.
Die Realität: Unabhängig von der finalen BGH-Entscheidung wird der Aufsichtsrat oder die Gesellschafterversammlung in der Praxis fast immer versuchen, den Regress durchzusetzen oder ihn als Druckmittel in Aufhebungsverhandlungen zu nutzen („Wir verzichten auf den Regress, dafür akzeptieren Sie die Kündigung ohne Abfindung“).

Die Lücke in der D&O-Versicherung

Viele Führungskräfte wähnen sich durch eine Directors & Officers (D&O) Versicherung geschützt. Ein fataler Irrtum im Kontext von Datenschutzverstößen:

Vorsatzausschluss: Datenschutzverstöße wie die systematische Weiterleitung von E-Mails erfolgen fast immer vorsätzlich. Man leitet nicht „aus Versehen“ 50 E-Mails an den privaten Account weiter. Bei Vorsatz entfällt der Versicherungsschutz in der Regel vollständig.
Bußgeldausschluss: Die meisten Versicherungsbedingungen schließen die Erstattung von Strafen und Bußgeldern explizit aus, da die Versicherung von Strafen als sittenwidrig gilt.
Wissentliche Pflichtverletzung: Selbst wenn kein direkter Vorsatz bzgl. des Schadens vorliegt, reicht oft die „wissentliche Pflichtverletzung“ (das bewusste Ignorieren von IT-Richtlinien), um den Deckungsschutz zu verlieren.

BYOD und Schatten-IT: Technische Compliance als Rettungsanker

Die Analyse der Rechtsprechung zeigt: Die Wurzel vieler Kündigungen liegt in der fehlenden Trennung von beruflicher und privater Sphäre. „Bring Your Own Device“ (BYOD) ist ohne striktes Management ein Kündigungs-Generator.

Das Risiko: Vermischung von Sphären

Nutzt ein Geschäftsführer sein privates iPad für Firmen-Mails, werden die Anhänge oft unbemerkt in die private iCloud oder Google Drive synchronisiert. Damit verlassen die Daten den Rechtsraum der EU-DSGVO-Konformität (da private Cloud-Verträge oft keine Auftragsverarbeitungsverträge beinhalten) und landen auf US-Servern. Dies ist objektiv ein Datenschutzverstoß.

Noch kritischer ist die Nutzung von WhatsApp für dienstliche Kommunikation auf privaten Geräten, da WhatsApp das Adressbuch (inkl. geschäftlicher Kontakte) ausliest und verarbeitet.

Notwendige Maßnahmen: MDM und Container

Um Haftung und Kündigung zu vermeiden, müssen Unternehmen technisch aufrüsten und Führungskräfte sich disziplinieren:

Maßnahme	Erklärung	Juristische Relevanz
Mobile Device Management (MDM)	Software zur zentralen Verwaltung von Smartphones/Tablets.	Ermöglicht „Remote Wipe“ (Löschen) von Firmendaten bei Verlust oder Austritt. Verhindert unkontrollierten Datenabfluss.
Container-Lösungen	Trennung von geschäftlichen und privaten Apps auf dem Gerät.	Verhindert, dass WhatsApp auf Geschäftskontakte zugreift. Verhindert „Copy & Paste“ von Firmen-Mails in private Notizen.
Verbot der Weiterleitung	Technische Sperre im Mail-Server (Exchange/Outlook).	Macht die „versehentliche“ oder „bequeme“ Weiterleitung unmöglich. Schützt den Geschäftsführer vor sich selbst.²⁷
Verschlüsselung	BitLocker/FileVault für Laptops.	Verhindert Datenpannen bei Diebstahl. Reduziert Bußgeldrisiko und Schadensersatzansprüche drastisch (Art. 32 DSGVO).

Die BYOD-Richtlinie

Eine rein technische Lösung reicht nicht. Es bedarf einer arbeitsrechtlichen Flankierung durch eine BYOD-Richtlinie. Diese muss regeln:

Welche Geräte sind zugelassen?
Welche Apps dürfen dienstlich genutzt werden?
Zustimmung zur Fernlöschung (Remote Wipe) im Notfall.
Explizites Verbot der Speicherung von Firmendaten in privaten Clouds.

Fehlt eine solche Richtlinie, entsteht eine „geduldete Übung“, die eine Kündigung erschweren kann. Existiert sie jedoch, wird jeder Verstoß zur vorsätzlichen Missachtung einer Weisung.

VI. Strategische Handlungsempfehlungen für die Praxis

Für Führungskräfte ergeben sich aus der aktuellen Rechtslage klare Handlungsanweisungen, differenziert nach Perspektive.

Für Unternehmen (Arbeitgeber & Aufsichtsräte)

Forensische Readiness herstellen: Stellen Sie sicher, dass Ihre IT-Systeme so konfiguriert sind, dass Datenabflüsse protokolliert werden (Logging). Ohne Logs kein Beweis vor Gericht. Beachten Sie dabei die Mitbestimmung des Betriebsrats.
Kündigungsbegründung schärfen: Stützen Sie Kündigungen nicht nur auf die Verschwiegenheitspflicht. Argumentieren Sie – unter Verweis auf OLG München – primär mit der Verletzung der Legalitätspflicht durch den DSGVO-Verstoß und dem „Mitarbeiterexzess“.
Data Loss Prevention (DLP): Implementieren Sie Software, die Alarm schlägt, wenn große Datenmengen an private E-Mail-Adressen oder Cloud-Dienste gesendet werden.
Reaktion bei Datenpannen: Wenn Sie einem Geschäftsführer kündigen, weil er Daten „mitgenommen“ hat, prüfen Sie sofort, ob eine Meldepflicht nach Art. 33 DSGVO an die Behörde besteht (72-Stunden-Frist!). Das Verschweigen der Panne ist ein zweiter, eigenständiger Bußgeldtatbestand.

Für Führungskräfte (Vorstände & Geschäftsführer)

Sofortiger Stopp privater „Sicherungen“: Die private Datensicherung ist der sicherste Weg in die Arbeitslosigkeit. Löschen Sie (dokumentiert!) alle dienstlichen Daten von privaten Geräten, solange kein Konflikt besteht.
Legale Beweissicherung: Wenn Sie Sorge vor Haftung haben, nutzen Sie legale Wege:
- Verlangen Sie förmliche Entlastung.
- Nutzen Sie Ihr Recht auf Akteneinsicht.
- Machen Sie Auskunftsansprüche nach Art. 15 DSGVO geltend (dieser Anspruch wird oft taktisch genutzt, um Arbeitgeber unter Druck zu setzen, siehe BAG-Rechtsprechung ¹³).
Saubere Trennung: Nutzen Sie konsequent getrennte Hardware oder zumindest getrennte Profile. Keine Firmen-Mails am Wochenende vom privaten iPad ohne MDM.
Versicherungs-Check: Prüfen Sie Ihre D&O-Police. Ist die Abwehr von DSGVO-Ansprüchen gedeckt? Gibt es eine „Rechtsschutz-Komponente“ für Straf- und Bußgeldverfahren?

VII. Datenschutz als Existenzfrage

Die Analyse zeigt: Der Datenschutz hat seine Unschuld verloren. Er ist keine bürokratische lästige Pflicht mehr, sondern eine knallharte Haftungs- und Kündigungsfalle.

Das Urteil des OLG München ist ein Warnschuss für jede Führungskraft, die glaubt, sie stehe über den IT-Richtlinien. Die Konstruktion des „Mitarbeiterexzesses“ macht den Manager zum externen Dritten, zum Daten-Dieb im eigenen Haus. Die Gerichte zeigen hier null Toleranz, da der Schutz personenbezogener Daten als europäisches Grundrecht höher gewichtet wird als das Komfort- oder Sicherheitsbedürfnis des Einzelnen.

Für Unternehmen bietet die strenge Rechtsprechung die Chance, Compliance endlich durchzusetzen und sich im Ernstfall von illoyalen Organen schnell und kostengünstig zu trennen. Für Führungskräfte bedeutet es: Professionalisierung der eigenen IT-Nutzung ist der beste Kündigungsschutz.

Die Kanzlei Pöppel Rechtsanwälte steht Ihnen als spezialisierter Partner zur Seite – sowohl bei der präventiven Gestaltung rechtssicherer IT-Strukturen als auch bei der forensischen Aufarbeitung und arbeitsrechtlichen Durchsetzung in Krisenszenarien.

Weiterführende Rechtsprechung

OLG München, Urteil v. 31.07.2024 – 7 U 351/23 e: Leiturteil zur Kündigung von Vorständen wegen E-Mail-Weiterleitung.²
BAG, Urteil v. 20.06.2024 – 8 AZR 124/23: Grundsatzentscheidung zum immateriellen Schadensersatz und zur Darlegungslast.¹³
EuGH, Urteil v. 04.10.2024 – C-507/23 & C-300/21: Ablehnung der Bagatellgrenze, Entschuldigung als Schadensersatz.¹¹
LAG Baden-Württemberg, Urteil v. 18.01.2019 – 17 Sa 11/18: Kündigung von Betriebsräten bei Nutzung von Cloud-Diensten (Dropbox).⁷
BGH, Beschluss v. 11.02.2025 – KZR 74/23: Vorlage an den EuGH zur Geschäftsführerhaftung für Bußgelder.¹⁹