Von Andrea prinz auf Montag, 27. Januar 2025
Kategorie: Datenschutz

Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer

Das Urteil des Oberlandesgerichts (OLG) München vom 6. Oktober 2024 (Az. 7 U 351/23 e) beleuchtet erneut die schwerwiegenden Konsequenzen von Datenschutzverstößen, insbesondere durch die unsachgemäße Weiterleitung sensibler Daten. Die Entscheidung zeigt, wie wichtig es für Geschäftsführer ist, DSGVO-konforme Prozesse im Unternehmen zu etablieren und einzuhalten.

Sachverhalt: Datenschutzverletzung durch private E-Mail-Weiterleitung

Ein Vorstandsmitglied leitete über einen längeren Zeitraum sensible betriebliche Daten, darunter Gehaltsabrechnungen und interne Unternehmenspläne, an seine private E-Mail-Adresse weiter. Dies sollte angeblich der Beweissicherung für mögliche rechtliche Auseinandersetzungen dienen.

Das OLG München stellte jedoch klar, dass diese Weiterleitung einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) darstellt. Es fehlte sowohl eine rechtliche Grundlage als auch die Zustimmung der betroffenen Personen.

Kernaussagen des Urteils

  1. Verstoß gegen Datenschutz- und Sorgfaltspflichten
    • Die Weiterleitung sensibler Daten an einen privaten E-Mail-Server verstößt gegen die DSGVO, insbesondere Art. 5 (Grundsätze der Verarbeitung) und Art. 6 (Rechtsgrundlagen der Verarbeitung).
    • Zusätzlich verletzte der Vorstand seine Sorgfaltspflichten gemäß § 93 Abs. 1 Satz 3 AktG (Aktiengesetz).
  2. Rechtmäßigkeit der außerordentlichen Kündigung
    • Die mehrfachen Verstöße und der daraus resultierende Vertrauensverlust rechtfertigten eine außerordentliche Kündigung. Das Gericht betonte, dass ein solcher Vertrauensbruch die Fortsetzung des Dienstverhältnisses unzumutbar mache.
  3. Selbstschutz ist keine Rechtfertigung
    • Der Versuch, Daten eigenmächtig zu sichern, um sich rechtlich abzusichern, wurde als unzulässig eingestuft. Die DSGVO bietet keine Grundlage, um sensible Daten ohne Einwilligung der Betroffenen oder ohne rechtliche Notwendigkeit auf privaten Systemen zu speichern.

Handlungsempfehlungen für Geschäftsführer

Um Haftungsrisiken und Datenschutzverstöße zu vermeiden, sollten Unternehmen die folgenden Maßnahmen ergreifen:

  1. Schulungen und Sensibilisierung
    • Führungskräfte und Mitarbeiter sollten regelmäßig geschult werden, insbesondere im Umgang mit sensiblen Daten und den Anforderungen der DSGVO.
  2. Richtlinien für den Umgang mit Daten
    • Klare interne Richtlinien zur Handhabung sensibler Daten sollten etabliert und konsequent durchgesetzt werden.
    • Unautorisierte Weiterleitungen von E-Mails oder Dokumenten an private Systeme müssen verboten werden.
  3. Technische Sicherheitsmaßnahmen
    • Unternehmen sollten technische Maßnahmen wie die Einschränkung des Zugriffs auf private E-Mail-Systeme oder die Verschlüsselung sensibler Daten implementieren.
    • Es sollten nur unternehmenseigene Server und IT-Systeme genutzt werden.
  4. Vertragliche Absicherung
    • Verträge mit Führungskräften und Mitarbeitern sollten explizite Regelungen zur Vertraulichkeit und zum Umgang mit Daten enthalten.
  5. Regelmäßige Überprüfungen
    • Audits und Prüfungen der internen Prozesse können sicherstellen, dass Datenschutzrichtlinien eingehalten werden.

Das Urteil des OLG München unterstreicht, dass Datenschutzverstöße schwerwiegende Konsequenzen haben können, sowohl für Unternehmen als auch für deren Geschäftsführer. Neben rechtlichen Sanktionen drohen persönliche Haftungsrisiken und – wie im vorliegenden Fall – die außerordentliche Kündigung.

Für Geschäftsführer ist es unerlässlich, Datenschutzprozesse im Unternehmen aktiv zu gestalten und zu überwachen. Nur so können rechtliche Risiken und negative Folgen für das Unternehmen minimiert werden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz