Liebe Leserinnen und Leser,
kennen Sie das auch? Dienstliche E-Mails treffen ein, aber ein Zugriff von zu Hause auf das Firmennetzwerk ist nicht möglich – sei es, weil kein Laptop zur Verfügung steht oder weil technische Hürden bestehen. Die vermeintlich einfache Lösung: Die E-Mail wird kurzerhand an die private Adresse weitergeleitet.
Was im Arbeitsalltag oft unauffällig passiert, kann jedoch erhebliche datenschutz- und arbeitsrechtliche Risiken bergen.
Was sagt die DSGVO dazu?
Die Datenschutzgrundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten vor unbefugtem Zugriff zu schützen – und zwar nicht nur im Rechenzentrum, sondern auch bei der alltäglichen Kommunikation. Die Weiterleitung dienstlicher E-Mails auf private Postfächer kann diesen Schutz ernsthaft gefährden. Insbesondere dann, wenn personenbezogene Daten, vertrauliche Geschäftsinformationen oder sensible Inhalte betroffen sind: Bewerbungen, Abrechnungen, Beschäftigtendaten oder Geschäftsgeheimnisse. Der Zugriff Dritter auf private Postfächer ist oft leichter möglich, die Speicherung erfolgt unsicherer, die eingerichteten Schutzmechanismen sind in der Regel nicht auf dem gleichen Niveau – und eine Kontrolle durch das Unternehmen entfällt komplett.
Rechtsprechung: Gerichte sprechen Klartext
Fall 1: Weiterleitung durch ein Vorstandsmitglied – fristlose Kündigung rechtmäßig
Das Verwaltungsgericht Ansbach (Urteil vom 06.02.2024 – AN 14 K 22.00368) hatte sich mit der Frage zu befassen, ob ein ehemaliges Vorstandsmitglied einer Aktiengesellschaft fristlos gekündigt werden durfte. Der Grund: Es hatte über Jahre hinweg systematisch interne E-Mails – darunter vertrauliche Dokumente, Personalinformationen und Geschäftsunterlagen – an sein privates E-Mail-Postfach weitergeleitet.
Das Gericht war eindeutig: Gravierender Verstoß gegen die DSGVO und gegen die Sorgfaltspflicht nach § 93 Abs. 1 AktG. Auch wenn der Vorstand inzwischen nicht mehr im Vorstand war, stellte das Verhalten einen so erheblichen Pflichtverstoß dar, dass die fristlose Kündigung gerechtfertigt war.
Fall 2: Betriebsratsvorsitzender will “besser arbeiten” – Ausschluss gerechtfertigt
Das LAG Frankfurt a.M. (10.03.2025 – 16 TaBV 109/24) hatte einen besonders praxisnahen Fall zu entscheiden: Der Betriebsratsvorsitzende einer Klinik leitete sensible Beschäftigtendaten – inklusive einer kompletten Liste mit Entgelt- und Eingruppierungsinformationen – an seinen privaten Account weiter. Seine Begründung zur Weiterleitung der Liste: Er müsse die Daten zu Hause auf einem größeren Bildschirm bearbeiten, um eine Betriebsvereinbarung vorzubereiten. Das Gericht ließ das nicht gelten: Es stellte fest, dass der Betriebsratsvorsitzende gegen die DSGVO verstoßen habe, indem er personenbezogene Daten ohne Einwilligung an seinen privaten E-Mail-Account weitergeleitet habe. Das Argument, er könne die Daten zu Hause besser bearbeiten, greife nicht. Der Arbeitgeber sei verpflichtet, dem Betriebsrat die notwendige Technik zur Verfügung zu stellen, etwa größere Bildschirme. Die private Nutzung und Speicherung solcher sensibler Daten sei grundsätzlich unzulässig, auch wenn Schutzmaßnahmen wie Passwörter oder Sicherheitssoftware vorhanden seien. Aufgrund dieses groben Verstoßes wurde der Ausschluss aus dem Betriebsrat als gerechtfertigt angesehen.
Beide Entscheidungen machen deutlich: Datenschutzverstöße durch E-Mail-Weiterleitung sind keine Kavaliersdelikte mehr. Für Geschäftsleitungen ergibt sich klarer Handlungsbedarf, klare Regelungen zu treffen und Beschäftigte entsprechend zu sensibilisieren.
Empfehlung: Klare Vorgaben und regelmäßige Schulungen
Statt auf Improvisationstalent Ihrer Beschäftigten zu setzen, schaffen Sie lieber verbindlich Vorgaben: Legen Sie verbindlich fest, ob und wie dienstliche E-Mails außerhalb des Firmennetzwerks bearbeitet werden dürfen. Ohne Juristendeutsch, aber mit klaren Do’s and Don’ts. Unsere dringende Empfehlung lautet: Untersagen Sie generell die Weiterleitung von dienstlichen E-Mails an private E-Mail-Accounts.
Transparenz und Schulung: Informieren Sie Führungskräfte und Teams regelmäßig über datenschutzkonformes Verhalten. Verstehen ist besser als Befolgen.
Unser Angebot: Datenschutz, der funktioniert
Wir beraten Geschäftsleitungen dabei, praktikable Lösungen zu schaffen, die Sicherheit und Arbeitsfähigkeit verbinden:
- Entwicklung interner Richtlinien zur E-Mail-Nutzung
- Schulung von Führungskräften und Mitarbeitenden
Herzlichen Dank fürs Lesen
Ihr Dapro Serv-Team
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
