E-Mail-Weiterleitung als neuer Spesenbetrug?

Früher suchten Personaler nach falschen Namen in Essensabrechnungen – heute genügen bereits weitergeleitete E-Mails für die fristlose Kündigung. Das OLG München bestätigte 2024: Die Weiterleitung geschäftlicher E-Mails an private Accounts kann ohne vorherige Abmahnung zur außerordentlichen Kündigung führen. Diese Entwicklung stellt Personalverantwortliche vor neue Herausforderungen, bietet aber auch Chancen für eine moderne, rechtssichere Personalführung.

Die Rechtsprechung 2024/2025 zeigt eine deutliche Verschärfung bei der Bewertung von Datenschutzverstößen. Personalverantwortliche müssen ihre Strategien anpassen: präventive Compliance-Strukturen aufbauen, klare Eskalationsverfahren etablieren und situationsgerecht sanktionieren. Dabei sind die rechtlichen Anforderungen je nach Hierarchieebene unterschiedlich – was bei Vorständen gilt, kann bei normalen Angestellten überzogen wirken.

Kurzüberblick: Das Wichtigste in Kürze

• Fristlose Kündigung ohne Abmahnung bei schweren Datenschutzverstößen rechtlich zulässig (OLG München 2024) • Hierarchieebene irrelevant: Vorstände werden genauso streng beurteilt wie normale Angestellte • Sensible Daten (Gehaltsdaten, Kundendaten) rechtfertigen grundsätzlich schärfere Sanktionen • Präventive Maßnahmenwerden wichtiger: technische Schutzmaßnahmen und Mitarbeiterschulungen sind Pflicht • Betriebsräte haben besondere Eigenverantwortung für Datenschutz (§ 79a BetrVG) • Dokumentation ist entscheidend: lückenlose Nachweise für rechtssichere Kündigungen erforderlich

Wann rechtfertigt E-Mail-Weiterleitung die sofortige Kündigung?

Das OLG München entschied im Juli 2024 einen wegweisenden Fall: Ein Vorstandsmitglied leitete in neun Fällen geschäftliche E-Mails mit sensiblen Inhalten an seine private GMX-Adresse weiter. Die Inhalte umfassten geldwäscherechtliche Bankanfragen, Provisionsansprüche und Gehaltsabrechnungen. Seine Rechtfertigung – prophylaktische Selbsthilfe für spätere Haftungsverfahren – überzeugte das Gericht nicht.

Die zentrale Botschaft: Bereits systematische E-Mail-Weiterleitungen an unsichere Freemail-Anbieter können den wichtigen Grund nach § 626 BGB darstellen. Dies gilt unabhängig von der Hierarchieebene – Vorstände werden nicht milder beurteilt als normale Angestellte.

Ein weiterer Präzedenzfall entstand am LAG Frankfurt im März 2025: Ein Betriebsratsvorsitzender richtete eine automatische Weiterleitung aller dienstlichen E-Mails an seine private GMX-Adresse ein. Besonders schwerwiegend: Er leitete eine komplette Personalliste mit Namen, Entgelten und Eingruppierungen aller 390 Mitarbeiter weiter. Trotz vorheriger Abmahnung setzte er die Praxis fort – das Gericht bestätigte seinen Ausschluss aus dem Betriebsrat.

Entscheidende Faktoren für die Kündigungsrelevanz:

• Art der Daten: Gehaltsdaten und Sozialdaten gelten als höchst sensibel
• Systematisches Verhalten: Wiederholte Verstöße verschärfen die Bewertung
• Technische Sicherheit: Freemail-Anbieter bieten unzureichenden Schutz
• Missachtung von Abmahnungen: „Unbelehrbarkeit“ führt zur Verschärfung

Welche rechtlichen Unterschiede gelten für verschiedene Mitarbeitergruppen?

Die Rechtsprechung differenziert klar zwischen den Hierarchieebenen, nicht bei den Anforderungen, sondern bei den Konsequenzen:

Vorstände und Geschäftsführer

Besonders strenge Maßstäbe gelten aufgrund der Sorgfaltspflicht nach § 93 AktG. Die Legalitätspflicht erfordert eigene Regeltreue – Führungskräfte können sich nicht auf Unwissenheit berufen. Das OLG München stellte klar: Keine mildere Beurteilung als bei normalen Arbeitnehmern, da die erhöhte Gefährdungsverantwortung berücksichtigt werden muss.

Praktische Konsequenz: Bereits wenige E-Mail-Weiterleitungen können zur fristlosen Kündigung führen, wenn sensible Daten betroffen sind.

Betriebsratsmitglieder

Nach § 79a BetrVG sind Betriebsräte eigenverantwortlich für die Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten. Sie genießen besonderes Vertrauen bei Zugang zu Arbeitnehmerdaten – entsprechend schwer wiegt der Vertrauensbruch.

Besonderheit: Bei groben Pflichtverletzungen ist der Ausschluss aus dem Betriebsrat möglich (§ 23 BetrVG), was parallel zur arbeitsrechtlichen Kündigung erfolgen kann.

Normale Angestellte

Hier gelten die Standardmaßstäbe des § 626 BGB mit der üblichen Interessenabwägung. Eine Abmahnung ist grundsätzlich erforderlich, außer bei besonders schweren Verstößen oder erkennbarer Wirkungslosigkeit.

Differenzierung nach Verschuldensgrad: Bei fahrlässigen Verstößen greifen eingeschränkte Haftungsregelungen, während vorsätzliche Verstöße zur Vollhaftung führen können.

Ist eine Abmahnung vor der Kündigung immer erforderlich?

Grundsatz: Eine Abmahnung ist nach der ständigen Rechtsprechung des BAG grundsätzlich erforderlich, da die Kündigung als „ultima ratio“ gilt.

Aber: Die Rechtsprechung 2024/2025 zeigt eine zunehmende Lockerung bei Datenschutzverstößen. Das OLG München verzichtete bei einem Vorstand komplett auf die Abmahnungserforderlichkeit, da die Rechtswidrigkeit für ihn erkennbar war.

Abmahnung entbehrlich bei:

• Besonders schwerem Fehlverhalten mit erkennbarer Rechtswidrigkeit
• Vorhersehbarer Wirkungslosigkeit einer Abmahnung
• Systematischen Verstößen trotz vorheriger Ermahnung

Einzelfallkriterien für den Abmahnungsverzicht:

• Datenart: Gehaltsdaten rechtfertigen schärfere Reaktionen als allgemeine Betriebsdaten
• Häufigkeit: Systematisches Verhalten verschärft die Bewertung
• Hierarchieebene: Höhere Anforderungen an Führungskräfte
• Verschulden: Vorsatz ermöglicht sofortige Kündigung

Welche präventiven Maßnahmen schützen vor rechtlichen Problemen?

Technische Grundausstattung sollte umfassen:

• Transportverschlüsselung nach BSI-Standards (TLS)
• Zwei-Faktor-Authentifizierung für alle E-Mail-Accounts
• Data Loss Prevention (DLP) Systeme zur Erkennung verdächtiger Aktivitäten
• E-Mail-Gateways mit Inhaltsfilterung
• Automatische Session-Timeouts bei längerer Inaktivität

Organisatorische Schutzmaßnahmen erfordern:

Hierarchie-spezifische Schulungen: Geschäftsführung benötigt intensivere Schulungen zu persönlichen Haftungsrisiken (4 Stunden, halbjährlich), während normale Mitarbeiter jährliche Grundlagenschulungen (2 Stunden) erhalten.

Klare Richtlinien müssen definieren:

• Welche E-Mail-Weiterleitungen erlaubt sind
• Technische Mindestanforderungen für private Geräte
• Sanktionsrahmen bei Verstößen
• Meldewege bei verdächtigen Aktivitäten

Regelmäßige Kontrollen durch quartalsweise technische Audits und halbjährliche Stichprobenprüfungen des E-Mail-Verkehrs schaffen Rechtssicherheit.

Was tun bei bereits eingetretenen Datenschutzverstößen?

Sofortmaßnahmen in den ersten 60 Minuten:

• Betroffene Systeme isolieren und weiteren Schaden verhindern
• Incident-Protokoll starten mit genauer Dokumentation
• Datenschutzbeauftragten informieren
• Erste Risikoabschätzung durchführen

Binnen 24 Stunden muss die vollständige Schadensbewertung erfolgen, einschließlich der Prüfung der 72-Stunden-Meldepflicht nach Art. 33 DSGVO und einer ersten rechtlichen Bewertung durch Fachanwälte.

Eskalationsmatrix für verschiedene Schweregrade:

Stufe 1 (Einzelverstoß ohne Schaden): Information an Datenschutzbeauftragten und Personalabteilung binnen vier Stunden

Stufe 2 (Mehrfache Verstöße): Zusätzliche Einbindung der Rechtsabteilung binnen zwei Stunden

Stufe 3 (Vorsätzlicher Verstoß): Crisis-Team mit Geschäftsführung und externer Beratung binnen einer Stunde

Dokumentationspflicht: Jeder Incident erfordert eine lückenlose Dokumentation mit Sachverhaltsbeschreibung, betroffenen Datenarten, durchgeführten Sofortmaßnahmen und rechtlicher Bewertung.

Wie sollten Sanktionen abgestuft werden?

Ein differenzierter Sanktionsrahmen berücksichtigt sowohl die Schwere des Verstoßes als auch die Position des Mitarbeiters:

Für Führungskräfte gilt ein verschärfter Maßstab:

• Leichte Verstöße: Dokumentierte Ermahnung mit verpflichtender Nachschulung
• Mittlere Verstöße: Teilentzug von Kompetenzen oder Versetzung
• Schwere Verstöße: Außerordentliche Kündigung mit möglichem Schadensersatz

Normale Angestellte erhalten gestufte Sanktionen:

• Erster Verstoß: Schriftliche Abmahnung mit Schulungsauflage
• Wiederholungsverstoß: Verschärfte Abmahnung oder Versetzung
• Schwerwiegender Verstoß: Ordentliche oder außerordentliche Kündigung

Alternative Sanktionsmaßnahmen können situativ angemessen sein:

• Verstärkte Überwachung und Kontrollen
• Temporärer Entzug bestimmter Systemberechtigungen
• Coaching-Maßnahmen bei erkennbarer Lernbereitschaft
• Versetzung in weniger sensible Bereiche

Die Verhältnismäßigkeit ist stets zu wahren – eine sofortige Kündigung setzt voraus, dass mildere Mittel nicht ausreichen oder aussichtslos sind.

Schlussfolgerungen: Datenschutz als Führungsaufgabe

Die Rechtsprechungsentwicklung 2024/2025 signalisiert einen Paradigmenwechsel: Datenschutzverstöße werden nicht mehr als Kavaliersdelikte behandelt, sondern als schwerwiegende Vertrauensbrüche mit entsprechenden Konsequenzen.

Drei zentrale Erkenntnisse für die Praxis:

Präventive Compliance wird wichtiger als reaktive Schadensbegrenzung. Unternehmen müssen in technische und organisatorische Schutzmaßnahmen investieren, bevor Probleme auftreten.

Führungskräfte tragen eine besondere Verantwortung und können sich nicht auf Unwissenheit berufen. Ihre Vorbildfunktion erfordert ein ausgeprägtes Compliance-Bewusstsein.

Einzelfallbewertung bleibt essentiell – pauschale Sanktionen führen zu unwirksamen Kündigungen. Jeder Datenschutzverstoß erfordert eine sorgfältige Abwägung aller Umstände.

Personalverantwortliche sind gut beraten, ihre bisherigen Strukturen zu überprüfen und an die neue Rechtslage anzupassen. Wer frühzeitig handelt, schafft Rechtssicherheit und vermeidet kostspielige Rechtsstreitigkeiten. Die Investition in präventive Maßnahmen zahlt sich langfristig aus – sowohl bei der Vermeidung von Haftungsrisiken als auch beim Aufbau einer vertrauensvollen Unternehmenskultur.