Weiterleiten von beruflichen E-Mails auf privaten Mail-Account = DSGVO-Verstoß = fristlos raus?

Die Parteien streiten um die Abberufung des Klägers als Vorstand der Beklagten und um die Beendigung seines Vorstandsanstellungsvertrags.

Die Beklagte war bis zu ihrer Umwandlung in eine GmbH im Jahr 2022 eine nicht börsennotierte Aktiengesellschaft, die unter der Firma … AG auftrat. Der Unternehmensgegenstand lag im Vertrieb und der Durchführung von Internetdienstleistungen sowie der Beratung in allen Bereichen, die relevant für das Internet sind. Der Kläger wurde zum Vorstand für die Zeit vom 15.9.17 bis zum 14.9.22 bestellt. Die Parteien schlossen einen bis zum 14.9.22 befristeten Vorstandsvertrag.

Anlässlich der Durchsicht diverser Unterlagen fiel einem neu bestellten Vorstandsmitglied Ende September 2021 auf, dass der Kläger berufliche E-Mails an seine private Mailadresse weitergeleitet hatte. Nachdem der Vorstand den Kläger in einem Gespräch kurz danach damit konfrontiert und zur Stellungnahme aufgefordert hatte, erläuterte der Kläger sein Vorgehen per E-Mail.

In seiner Sitzung vom 11.10.21 beschloss der Aufsichtsrat der Beklagten, den Kläger mit sofortiger Wirkung aus wichtigem Grund aus dem Vorstand abzuberufen und den Vorstandsdienstvertrag des Klägers aus wichtigem Grund außerordentlich und fristlos zu kündigen. Mit vom Aufsichtsratsvorsitzenden der Beklagten unterzeichneten Schreiben vom 11.10.21 kündigte diese den Vorstandsdienstvertrag außerordentlich fristlos aus wichtigem Grund.

Der Kläger trug vor, dass weder für den Widerruf der Organstellung noch für die außerordentliche fristlose Kündigung ein wichtiger Grund bestehe. Er habe seinen privaten E-Mail-Account gegen den Zugriff Dritter umfassend gesichert. Nur er kenne die Kennwörter und auch nur er sei zugriffsberechtigt. Daher führe das Weiterleiten der E-Mails an seine private E-Mail- Anschrift nicht zu Geheimnisschutz- oder Datenschutzverstößen.

Das LG München I (22.12.22, 5 HK O 14476/21) stellte in erster Instanz fest, dass das Vorstandsanstellungsverhältnis durch die außerordentliche fristlose Kündigung nicht aufgelöst worden sei. Zwar liege in der Weitergabe der E-Mails ein DSGVO-Verstoß.

Die Kündigung sei aber nicht innerhalb der Frist des § 626 Abs. 2 S. 1 und 2 BGB ausgesprochen worden. Für den Fristbeginn sei nicht auf die Kenntnis einzelner Aufsichtsräte oder des Aufsichtsratsvorsitzenden abzustellen. Es komme vielmehr auf die Kenntnis des Aufsichtsrats als Kollegialorgan vom Kündigungsgrund an. Um eine solche Kenntnis zu erlangen, müsse der Aufsichtsrat als Kollegialorgan zusammentreten. Werde die Einberufung des Aufsichtsrats nach Kenntnis eines seiner Mitglieder von dem Kündigungsgrund unangemessen verzögert, müsse sich die Gesellschaft so behandeln lassen, als wäre die Aufsichtsratssitzung mit der billigerweise zumutbaren Beschleunigung einberufen worden. Kenntnis und nicht nur grobe fahrlässige Unkenntnis eines Aufsichtsratsmitglieds sei anzunehmen, wenn das Aufsichtsratsmitglied es versäumt habe, eine sich ihm ohne Weiteres anbietende, aber auf der Hand liegende Erkenntnismöglichkeit wahrzunehmen, deren Erlangung weder besondere Kosten noch nennenswerte Mühe verursache.

Eines der Aufsichtsratsmitglieder habe nach Erhalt von zwei E-Mails im Mai 2021 aus dem Verteiler, in dem die private E-Mail-Adresse des Klägers in CC gesetzt gewesen sei, mühelos erkennen können, dass die beiden E-Mails auch an den privaten E-Mail-Account des Klägers weitergeleitet worden seien. Dies begründe ein missbräuchliches Sichverschließen und damit Kenntnis dieses Aufsichtsratsmitglieds vom Kündigungsgrund. Das Mitglied habe die anderen Mitglieder nicht informiert; eine solche Information sei erst Ende September 2021 durch ein neu bestelltes Vorstandsmitglied erfolgt. Zum Zeitpunkt des Zugangs der Kündigung vom 11.10.21 beim Kläger am 13.10.21 sei die Frist des § 626 Abs. 2 BGB längst abgelaufen gewesen.

Das OLG München (31.7.24, 7 U 351/23 e, Abruf-Nr. 243837) hält die Berufung der Beklagten für begründet. Die außerordentliche fristlose Kündigung vom 11.10.21 sei wirksam und habe den Vertrag mit Zugang beim Kläger beendet. Die Kündigung sei in der Frist des § 626 Abs. 2 BGB erfolgt. Zudem habe ein wichtiger Grund für die außerordentliche fristlose Kündigung vorgelegen.

Für den Fristbeginn nach § 626 Abs. 2 BGB sei ausschlaggebend, wann der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt habe. Diese Kenntnis habe der Aufsichtsrat und damit der gemäß § 84 Abs. 4 S. 5, § 112 AktG Kündigungsberechtigte hinsichtlich aller neun streitgegenständlichen E-Mails erst in seiner Sitzung vom 11.10.21 erlangt, sodass die Kündigung vom selben Tag dem Kläger innerhalb der zweiwöchigen Frist des § 626 Abs. 2 BGB zugegangen sei. Für die GmbH sei nach der BGH-Rechtsprechung grundsätzlich die Kenntnis des zur Kündigung berechtigten Organs, das heißt der Gesellschafterversammlung entscheidend. Diese zur Kenntniserlangung der Gesellschafterversammlung einer GmbH entwickelten Grundsätze seien auf die Kenntniserlangung des Aufsichtsrats einer AG sinngemäß übertragbar.

Die Weiterleitung der E-Mails auf den privaten Account des Klägers sei auch ein wichtiger Grund im Sinne des § 626 Abs. 1 BGB. Alle von ihm weitergeleiteten E-Mails bezögen sich auf „betriebliche Angelegenheiten“ im Sinne des Vertrags und beinhalteten keine offenkundigen Tatsachen.

Auch wenn der Kläger nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstoßen habe, habe er doch durch die Weiterleitung der E-Mails gegen seine sich aus § 93 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht verstoßen. Denn die Weiterleitung der E-Mails auf den privaten Account des Klägers und die dortige Speicherung sei eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO, die nicht durch eine Einwilligung der betroffenen Personen gedeckt gewesen sei (Art. 6 Abs. 1 S. 1 lit a DSGVO). Diese Weiterleitung sei auch nicht zur Wahrung der berechtigten Interessen des Klägers erforderlich gewesen (Art. 6 Abs. 1 S. 1 lit f DSGVO). Der Kläger habe selbst eingeräumt, dass ihm nunmehr bewusst sei, dass eine Weiterleitung von dienstlichen E-Mails auf seinen privaten E-Mail-Account nicht zulässig sei.

Nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der DSGVO sei „an sich“ als wichtiger Grund im Sinne des § 626 Abs. 1 BGB geeignet. Dies sei jedoch zumindest dann der Fall, wenn die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der E-Mails an den privaten E-Mail-Account des Klägers sensible Daten der Beklagten und anderer Dritter betreffe. Um solche sensiblen Daten handele es sich, da es in den E-Mails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisionsansprüche von Mitarbeitern, Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden, Planungen der Beklagten zur Verprovisionierung ihrer Mitarbeiter und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten gegangen sei. Die Weiterleitung sei kein singulärer Vorfall gewesen, sondern es seien neun E-Mails weitergeleitet worden.

Die Weiterleitung werde auch nicht dadurch gerechtfertigt, dass der Kläger „nur solche E-Mails weiterleitete, die aufgrund der besorgniserregenden Veränderungen im Betrieb der Beklagten (…) unentbehrlich waren, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat“. Für eine solche prophylaktische Selbsthilfe habe es keine Veranlassung gegeben.

Zugunsten des Klägers sei zu berücksichtigen, dass die von ihm weitergeleiteten Daten weder zur Kenntnis an Dritte gelangt seien noch die Beklagte wegen der Verstöße gegen die DSGVO sanktioniert worden sei. Er habe auch nicht heimlich gehandelt. Die Wiederholungsgefahr ergebe sich schon aus der erheblichen Anzahl weitergeleiteter E-Mails (neun E-Mail-Verläufe innerhalb von etwas mehr als zwei Monaten).

Bei der Zusammenschau aller Umstände und unter Abwägung beider Interessen kam der Senat zum Ergebnis, dass es der Beklagten nicht zumutbar gewesen sei, noch weitere elf Monate mit diesem als ihrem Vorstand zusammenzuarbeiten. Die Weitergabe einer Vielzahl von höchst sensiblen Daten der Beklagten und Dritter als DSGVO-widriges Verhalten sprach klar für ein überwiegendes Beendigungsinteresse.