In Bezug auf Datenschutz und Compliance stellt sich die wichtige Frage, ob geschäftliche E-Mails an private Postfächer weitergeleitet werden dürfen.
Das Oberlandesgericht München hat in seinem Urteil vom 31.07.2024 (Az. 7 U 351/23) festgestellt, dass die unerlaubte Weiterleitung von E-Mails ernsthafte Konsequenzen nach sich ziehen kann. In diesem Fall ging es um ein Vorstandsmitglied, dessen Kündigung aufgrund dieses Verstoßes gerichtlich bestätigt wurde.
Aber was heißt das für die anderen Mitglieder des Organs, insbesondere für die Aufsichtsräte?
1. Hintergrund des Urteils
Das OLG München hat in seinem Urteil herausgestellt, dass die Verantwortung von Organmitgliedern für den Schutz vertraulicher Informationen und personenbezogener Daten sehr ernst genommen wird. Wenn jemand geschäftliche E-Mails eigenmächtig an ein privates E-Mail-Konto weiterleitet, kann das eine erhebliche Verletzung dieser Pflichten darstellen. In solchen Fällen trägt die betroffene Person nicht nur die Verantwortung für mögliche Datenschutzverletzungen, sondern setzt auch Betriebs- und Geschäftsgeheimnisse einem höheren Risiko aus.
2. Übertragung auf den Aufsichtsrat
Obwohl das Urteil ein Vorstandsmitglied betraf, lassen sich die grundlegenden Prinzipien auch auf Aufsichtsräte anwenden. Als Teil des höchsten Gremiums eines Unternehmens haben Aufsichtsräte Zugang zu sensiblen Unternehmensinformationen, internen Strategieplänen, Personalangelegenheiten und möglicherweise auch zu personenbezogenen Daten von Beschäftigten oder Kunden. Sie sind an strenge Geheimhaltungs- und Verschwiegenheitspflichten gebunden – oft sogar über das Ende ihrer Amtszeit hinaus:
- Geheimnisschutz: Die Informationen, die dem Aufsichtsrat zur Verfügung stehen, benötigen einen hohen Schutz. Ein nachlässiger Umgang damit kann nicht nur das Vertrauen gefährden, sondern auch zu ernsthaften rechtlichen Konsequenzen führen.
- Datenschutz: Personenbezogene Daten mit größter Sorgfalt behandelt werden, um die Rechte der Betroffenen zu wahren.
3. Risiken durch private Postfächer
Das Versenden oder Weiterleiten von geschäftlichen Inhalten an private E-Mail-Adressen kann ernsthafte Risiken mit sich bringen:
- Datenschutz: Private E-Mail-Postfächer sind oftmals nicht so gut geschützt wie die betrieblichen Systeme. Das erhöht die Gefahr von unbefugtem Zugriff, Datenverlust oder -abfluss. Ein solcher Verstoß kann zu hohen Bußgeldern, Schadensersatzforderungen oder einem beschädigten Ruf führen.
- Verletzung der Organpflichten: Mitglieder von Organen haben die besondere Verantwortung, die Interessen des Unternehmens zu wahren. Wenn Daten unsicher oder unkontrolliert weitergegeben werden, kann das als Pflichtverletzung angesehen werden – mit möglichen Konsequenzen bis hin zur Abberufung aus dem Amt.
- Verletzung von Betriebs- und Geschäftsgeheimnissen: Bereits das Speichern von unternehmensbezogenen Daten auf privaten Systemen kann das Risiko eines Geheimnisverrats erhöhen. Das bedeutet nicht nur ein höheres Haftungsrisiko für das Organmitglied, sondern auch für das Unternehmen selbst.
4. Mögliche Konsequenzen für Aufsichtsratsmitglieder
Im Gegensatz zu Vorstandsmitgliedern oder Beschäftigten gibt es für Aufsichtsräte keine „Kündigung“ im herkömmlichen Sinne. Allerdings kann eine außerordentliche Abberufung durch die Hauptversammlung oder das zuständige Gremium stattfinden, wenn das notwendige Vertrauen in das Aufsichtsratsmitglied verloren geht. Solche Maßnahmen sind in der Praxis zwar eher selten, aber das Urteil des OLG München zeigt, dass empfindliche Sanktionen nicht ausgeschlossen sind, wenn eine schwerwiegende Pflichtverletzung vorliegt.
5. Empfehlungen für Unternehmen und Aufsichtsräte
- Klare Richtlinien: Unternehmen sollten in ihren Richtlinien klar festlegen, ob und unter welchen Bedingungen das Weiterleiten von E-Mails an private Konten erlaubt ist. Im besten Fall sollte eine solche Weiterleitung komplett untersagt oder nur in besonderen Ausnahmefällen gestattet werden.
- Sichere Kommunikationskanäle: Aufsichtsratsmitglieder sollten bevorzugt über firmeneigene, gut gesicherte Kommunikationskanäle kommunizieren. Moderne Technologien wie verschlüsselte Portale, VPN-Verbindungen und spezielle Board-Portale bieten deutlich mehr Sicherheit.
- Regelmäßige Schulungen: Sowohl Vorstände als auch Aufsichtsräte sollten durch regelmäßige Schulungen für Datenschutz und Datensicherheit sensibilisiert werden. So wird das Bewusstsein für den Schutz sensibler Informationen gestärkt.
- Technische und organisatorische Maßnahmen: Der Einsatz von Verschlüsselung, sicheren Passwortrichtlinien und Zugriffsbeschränkungen sind nur einige Beispiele dafür, wie Unternehmen und Aufsichtsratsmitglieder gemeinsam für mehr Datensicherheit sorgen können.
- Best Practice: Um die Einhaltung der Sicherheits- und Datenschutzanforderungen zu gewährleisten, sollten Unternehmen ihren Aufsichtsräten spezielle, geschützte Geräte zur Verfügung stellen, die für das Mandat vorgesehen sind. Diese Geräte können beispielsweise mit einer unternehmensspezifischen E-Mail-Lösung, einem VPN-Client und weiteren notwendigen Sicherheitsvorkehrungen ausgestattet werden, sodass eine private Nutzung und damit ein erhöhtes Risiko vermieden wird.
Fazit
Das Urteil des OLG München macht deutlich, dass das unerlaubte Weiterleiten geschäftlicher E-Mails an ein privates Postfach ein ernsthaftes Problem darstellt. Auch wenn die Konsequenzen für Aufsichtsratsmitglieder anders zu bewerten sind als für Vorstandsmitglieder, wird deutlich: Wer vertrauliche Daten ohne die nötigen Sicherheitsvorkehrungen in unsichere Umgebungen überträgt, handelt fahrlässig und setzt sich einem erheblichen rechtlichen und finanziellen Risiko aus. Unternehmen sollten daher klare Richtlinien, sichere Kommunikationswege und passende technische Lösungen bereitstellen – einschließlich firmeneigener Geräte – um sicherzustellen, dass Aufsichtsratsmitglieder ihre Aufgaben sicher und regelkonform erfüllen können. So lassen sich Situationen wie im Fall des OLG München gezielt vermeiden.
