Das Oberlandesgericht München hat mit Urteil vom 31.07.2024 zum Aktenzeichen 7 U 351/23 klargestellt, dass die Weiterleitung dienstlicher E-Mails an private E-Mail-Adressen ohne Einwilligung der Betroffenen einen schwerwiegenden Verstoß gegen das Datenschutzrecht darstellen kann. Der Fall zeigt eindrucksvoll, wie schnell man sich als Führungskraft oder Mitarbeiter in rechtliche Grauzonen begeben kann, wenn man leichtfertig mit personenbezogenen Daten umgeht. Gerade junge Startups nehmen diese Vorgaben und Probleme oft nicht ernst genug, doch der Schein trügt: Auch in der agilen Startup-Welt lauern rein formaljuristisch betrachtet Probleme, wenn der Datenschutz vernachlässigt wird. Es ist höchste Zeit, sich mit den rechtlichen Grundlagen vertraut zu machen und den Umgang mit personenbezogenen Daten zu überdenken. Denn Unwissenheit schützt vor Strafe nicht, und die Folgen können für das junge Unternehmen existenzbedrohend sein.
Der Sachverhalt: Vorstand leitet dienstliche E-Mails systematisch an privaten Account weiter
In dem vom OLG München entschiedenen Fall hatte ein Vorstand einer AG in mindestens 9 Fällen dienstliche E-Mails mit sensiblen Inhalten wie Gehaltsabrechnungen, Provisionsansprüchen von Mitarbeitern, Verträgen mit Kunden und Compliance-Vorgängen an seine private E-Mail-Adresse weitergeleitet. Dies geschah laut Vortrag des Vorstands in Absprache mit dem früheren Vorstandsvorsitzenden. Der Aufsichtsrat der AG widerrief daraufhin die Bestellung des Vorstands und kündigte seinen Vorstandsdienstvertrag außerordentlich fristlos. Was auf den ersten Blick nach einer internen Angelegenheit klingt, entpuppte sich als folgenreicher Datenschutzverstoß. Denn auch wenn die Weiterleitung möglicherweise ohne böse Absicht erfolgte, hätte der Vorstand zunächst die Einwilligung der betroffenen Personen einholen müssen. Gerade in Startups, wo oft eine lockere Kommunikationskultur herrscht und Hierarchien flach sind, ist die Versuchung groß, die datenschutzrechtlichen Vorgaben zu vernachlässigen. Doch dieser Fall macht deutlich, dass höchste Vorsicht geboten ist. Selbst wenn man denkt, im Interesse des Unternehmens zu handeln, kann eine unbedachte Weiterleitung schwerwiegende Folgen haben.
Die Entscheidung des OLG München: Verstoß gegen die DSGVO
Das OLG München gab dem Aufsichtsrat Recht. Die Weiterleitung der E-Mails an den privaten Account des Vorstands stelle einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar. Nach Art. 4 Nr. 1 DSGVO seien personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Weiterleitung und Speicherung von E-Mails mit solchen Daten auf privaten Servern sei daher nur mit Einwilligung der Betroffenen oder bei Vorliegen eines gesetzlichen Erlaubnistatbestands zulässig. Das Gericht stellte klar, dass es dabei keine Rolle spielt, ob die Weiterleitung im beruflichen oder privaten Kontext erfolgt. Entscheidend ist allein, dass personenbezogene Daten ohne Rechtfertigung verarbeitet wurden. Für viele Startups mag diese Auslegung streng erscheinen, doch sie entspricht dem Geist der DSGVO, die den Schutz personenbezogener Daten in den Mittelpunkt stellt. Gründer und ihre Mitarbeiter müssen sich daher ihrer Verantwortung bewusst sein und mit Daten sorgsam umgehen.
Die Bedeutung des Urteils für Startups
Das Urteil verdeutlicht, dass der Umgang mit personenbezogenen Daten höchste Vorsicht erfordert. Viele Gründer und Mitarbeiter in Startups sind sich der datenschutzrechtlichen Relevanz einer scheinbar harmlosen Weiterleitung dienstlicher E-Mails an private Adressen nicht bewusst. Doch spätestens jetzt sollte jedem klar sein: Auch eine einzelne E-Mail kann sensible personenbezogene Daten enthalten, deren unbefugte Verarbeitung ernsthafte rechtliche Konsequenzen nach sich ziehen kann. Gerade im Startup-Kontext ist es wichtig, sich stets die Frage zu stellen, ob man zur Weiterleitung einer E-Mail an private Accounts berechtigt ist. Selbst wenn man glaubt, im Sinne des Unternehmens zu handeln, kann eine unbedachte Weiterleitung als Datenschutzverstoß gewertet werden. Es gilt daher, ein Bewusstsein für die Sensibilität personenbezogener Daten zu schaffen und im Zweifel lieber einmal zu viel nachzufragen. Denn die Folgen eines Datenschutzverstoßes können gerade für ein junges Unternehmen existenzbedrohend sein. Von Abmahnungen über Schadensersatzforderungen bis hin zu empfindlichen Bußgeldern ist alles denkbar.
Fazit:
Bevor man eine dienstliche E-Mail an private E-Mail-Adressen weiterleitet, sollte man sich stets fragen, ob man dazu berechtigt ist. Im Zweifel gilt: Lieber einmal zu viel nachfragen als einen Datenschutzverstoß riskieren. Denn wie der vorliegende Fall zeigt, kann schon eine unbedachte Weiterleitung oder das bloße Setzen der privaten E-Mail-Adresse in CC teuer werden. Startups sind gut beraten, ihre Mitarbeiter für diese Thematik zu sensibilisieren und klare Regeln für den Umgang mit personenbezogenen Daten aufzustellen. Nur so lässt sich vermeiden, dass aus vermeintlich harmlosen Handlungen weitreichende rechtliche Konsequenzen erwachsen. Gerade in Zeiten, in denen der Datenschutz einen immer höheren Stellenwert einnimmt, ist es essenziell, sich mit den geltenden Bestimmungen vertraut zu machen und sie im Arbeitsalltag zu leben. Denn nur durch einen verantwortungsvollen Umgang mit Daten lassen sich rechtliche Risiken minimieren und das Vertrauen von Kunden und Geschäftspartnern stärken. In diesem Sinne sollte das Urteil des OLG München als Weckruf verstanden werden, die datenschutzrechtlichen Pflichten ernst zu nehmen und im Umgang mit personenbezogenen Daten höchste Sorgfalt walten zu lassen. Auch und gerade in der agilen Startup-Welt.
