Schadensersatz wegen Mail-Lektüre durch den Chef?

➧ Wie wurde Office 365 eingesetzt?

Ein Geschäftsführer hatte zwei Assistentinnen, Assistentin 1 und Assistentin 2. Das ganze Unternehmen nutzte Microsoft Office 365. Jede Assistentin verfügte in Microsoft Outlook über ein eigenes Konto mit eigenem Passwort und einer persönlichen Mailadresse. Außerdem hatten beide jeweils Zugriff auf die MS Office-Kalenderfunktion und auf MS Teams.

➧ Wer hatte welche Berechtigungen für Mails?

Außer auf ihre eigenen Mailkonten konnten die Assistentinnen auch auf die Mailkonten der Geschäftsführung und auf die Mailkonten ihrer Vorgängerinnen zugreifen. Im Unternehmen war es schon immer üblich, dass die Assistentinnen im Namen des Geschäftsführers mit Kunden kommunizieren. Deshalb gab es in den Mailkonten der Vorgängerinnen umfangreiche Korrespondenz mit Kunden. Dazu gehörten Angebote und Verträge. Solche elektronische Post sammelte sich auch in den Mailkonten der derzeit aktiven Assistentinnen an.

➧ Warum wurde es schließlich peinlich?

Am 18. Juni 2020 vereinbarten der Geschäftsführer und Assistentin 2 die Auflösung des Arbeitsverhältnisses. Am Tag darauf, also am 19. Juni 2020, öffnete der Geschäftsführer das Mailpostfach von Assistentin 2, um sich über die dort vorhandenen Mails zu orientieren. Dabei stieß er auf Mails von Assistentin 1 an Assistentin 2. Der Inhalt dieser Mails war deutlich. Assistentin 1 hatte ihrer Kollegin geschrieben, das Unternehmen sei „ein Idiotenhaufen“. Alle seien unfähig und es sei „zum Durchdrehen“. Deshalb werde sie „net viel machen“ und schreibe gerade Bewerbungen.

➧ Wie ging es mit dem Arbeitsverhältnis weiter?

Auf den Erfolg dieser Bewerbungen bei anderen Unternehmen wollte der Geschäftsführer nicht warten. Mit Mail noch vom selben Tag teilte er Assistentin 1 mit, dass ihr Arbeitsverhältnis beendet sei. Dabei ging er im Einzelnen auf die Äußerungen von Assistentin 1 sein, die er im Mailkonto von Assistentin 2 vorgefunden hatte. Die Frau des Geschäftsführers arbeitete ebenfalls im Unternehmen. Sie war dort mit Personalangelegenheiten befasst. Ihr übermittelte er eine Kopie der Kündigungsmail. Mit anderen Personen tauschte er sich zu dem, was vorgefallen war, nicht aus.

➧ Wie gingen die Assistentinnen mit der Situation um?

Mit der Beendigung ihres Arbeitsverhältnisses durch Kündigung hatte Assistentin 1 offensichtlich kein Problem. Für Assistentin 2 war das Arbeitsverhältnis ohnehin Geschichte, weil es ja durch Aufhebung geendet hatte.

Beide empfanden es jedoch als sehr peinlich, dass der Geschäftsführer Mails gelesen hatte, die sie als rein privat ansahen. Dadurch fühlten sie sich bloßgestellt und verletzt. Deshalb fordert jede der beiden 1000 € Schadensersatz.

➧ Wie sieht das Gericht die Dinge?

Das Gericht hat am Zugriff des Geschäftsführers auf das Mailkonto von Assistentin 2 datenschutzrechtlich nichts zu beanstanden. Dabei argumentiert es wie folgt:

• Informationen, die in Mails enthalten sind, stellen personenbezogene Daten gemäß Art. 4 Nr.1 DSGVO dar.
• Ein Zugriff auf Mails ist deshalb nur dann rechtmäßig, wenn dafür eine Rechtsgrundlage besteht.
• Als solche Rechtsgrundlage kommen alle Tatbestände in Betracht, die Art. 6 Abs. 1 DSGVO auflistet. Eine Einwilligung der Assistentinnen gemäß Art. 6 Abs. 1 Buchstabe a DSGVO existiert im vorliegenden Fall nicht. Das macht aber nichts, sofern einer der anderen Erlaubnistatbestände von Art. 6 Abs. 1 DSGVO erfüllt ist. Alle dort enthaltenen Erlaubnistatbestände sind nämlich rechtlich gesehen gleichrangig.
• Im vorliegenden Fall sind die Voraussetzungen von Art. 6 Abs. 1 Buchstabe f DSGVO erfüllt. Dieser Erlaubnistatbestand enthält drei Voraussetzungen, die nebeneinander erfüllt sein müssen und im vorliegenden Fall auch alle erfüllt sind.

➧ Wie argumentiert das Gericht im Detail?

Das Gericht unterscheidet bei Art. 6 Abs.1 Buchstabe f DSGVO die folgenden drei Merkmale:

• Erstens muss der Geschäftsführer bei der Einsichtnahme in die Mails ein berechtigtes Interesse verfolgt haben. Ein solches berechtigtes Interesse bestand. Der Geschäftsführer wollte sich über die Kommunikation orientieren, die in seinem Namen mit Kunden und Vertragspartnern erfolgt war.
• Zweitens muss die Einsichtnahme in die Mails für diesen Zweck erforderlich gewesen sein. Auch das ist der Fall, denn Assistentin 2 war ausgeschieden und deshalb musste er sich selbst um diese Dinge kümmern.
• Drittens dürfen die Interessen der Assistentin die Interessen des Geschäftsführers nicht überwiegen. Auch diese Voraussetzung ist erfüllt. Assistentin 2 musste damit rechnen, dass der Geschäftsführer nach ihrem Ausscheiden Einblick in ihr Mailkonto nehmen würde. Ihr war bekannt, dass dort umfangreiche Kommunikation mit Kunden vorlag. Zudem hatte sie selbst immer wieder Zugriff auf die Mailkonten ihrer eigenen Vorgängerinnen genommen. Damit war ihr klar, dass das nach ihrem eigenen Ausscheiden genauso sein würde.

➧ Waren die Mails möglicherweise erkennbar privat?

Nach Auffassung der beiden Assistentinnen hätte dem Geschäftsführer von vornherein klar sein müssen, dass Mails zwischen ihnen beiden privaten Charakter haben. Das ergebe sich schon daraus, dass sie ihre persönlichen Mailadressen benutzt hätten. Mit diesem Argument kann das Gericht nichts anfangen. Ganz im Gegenteil – so die Sichtweise des Gerichts – konnte der Geschäftsführer davon ausgehen, dass die Assistentinnen sich während der Arbeitszeit über Angelegenheiten des Unternehmens ausgetauscht hatten.

➧ Was hätte vielleicht von vornherein Probleme vermieden?

Im Unternehmen gab es keine förmlichen Regelungen darüber, ob die dienstlichen Mailkonten auch für private Zwecke genutzt werden dürfen. Ein klares Verbot privater Mails hätte vielleicht von vornherein verhindert, dass der „Idiotenhaufen“ Gegenstand von Mails geworden wäre. Im Ergebnis spielt dies aber für den vorliegenden Fall keine Rolle.

➧ Wie lautet das Ergebnis des Gerichts?

Im Ergebnis weist das Gericht die Klagen der Assistentinnen auf Schadensersatz ohne Wenn und Aber ab.

➧ Warum ist die Entscheidung für Deutschland relevant?

Die geschilderte Entscheidung stammt vom Österreichischen Obersten Gerichtshof. Sie ist in vollem Umfang auf Deutschland übertragbar. Die gesamte Argumentation beruht auf den Regelungen der DSGVO. Sie sind in Deutschland genauso anwendbar wie in Österreich.

Zwar hat Deutschland versucht, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 26 BDSG neben der DSGVO zusätzlich zu regeln. Ausgehend davon wäre der vorliegende Fall nach § 26 Satz 1 BDSG zu beurteilen. Zum einen würde dies jedoch inhaltlich zu keinem anderen Ergebnis führen. Diese Regelung wiederholt nämlich mit leicht anderen Worten nur das, was sich ohnehin schon unmittelbar aus der DSGVO ergibt.

Zum anderen führt genau diese bloße Wiederholung der DSGVO dazu, dass § 26 BDSG gegen die DSGVO verstößt. § 26 BDSG darf deshalb nicht mehr neben der DSGVO angemahnt werden. Siehe dazu auch  Hammerschlag des Europäischen Gerichtshofs.

➧ Wo ist die Entscheidung des Gerichts zu finden?

Der Beschluss des Österreichischen Obersten Gerichtshofs vom 28. Juni 2023 trägt die „Geschäftszahl“ (= Aktenzeichen) 6ObA1/22y. Er ist verfügbar unter https://www.ris.bka.gv.at/Dokumente/Justiz/JJT_20230628_OGH0002_006OBA00001_22Y0000_000/JJT_20230628_OGH0002_006OBA00001_22Y0000_000.pdf.

Dr. Eugen Ehmann