Am 28. März 2024 fällte das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) ein Urteil, das weitreichende Konsequenzen für Unternehmen, HR-Abteilungen und Compliance-Beauftragte hat. Die zentrale Frage: Unter welchen Bedingungen darf ein Arbeitgeber fristlos kündigen, wenn ein Mitarbeiter auf fremde dienstliche E-Mail-Accounts zugreift – auch ohne nachweisliche Nutzung?
Das Thema betrifft nicht nur den arbeitsrechtlichen Kündigungsschutz, sondern berührt auch Datenschutz, Persönlichkeitsrechte und den Schutz sensibler Unternehmensinformationen. Im B2B-Sektor, in dem täglich vertrauliche Kundendaten, strategische Planungen und interne Kommunikation per E-Mail abgewickelt werden, kann ein unzulässiger Zugriff zu schwerwiegenden rechtlichen und wirtschaftlichen Folgen führen.
Darüber hinaus macht das Urteil deutlich, wie wichtig es ist, klare IT-Richtlinien zu etablieren. Unternehmen müssen nicht nur technisch absichern, wer auf welche Postfächer zugreifen darf, sondern auch rechtlich dokumentieren, dass diese Zugriffe legitim und nachvollziehbar sind. Andernfalls riskieren sie Konflikte, die – wie hier – bis vor das Landesarbeitsgericht gehen.
Der Fall im Detail: Unbefugter E-Mail-Zugriff durch Prokuristin
Im Mittelpunkt stand eine Prokuristin eines Unternehmens, die über den IT-Dienstleister Zugriffsrechte auf die dienstlichen E-Mail-Accounts mehrerer Kollegen einrichten ließ – ohne deren Zustimmung und ohne Genehmigung der Geschäftsführung.
Die Freischaltung erfolgte durch ein internes Support-Ticket an die IT-Abteilung. Ein direkter Beweis dafür, dass die Prokuristin tatsächlich E-Mails geöffnet oder gelesen hatte, lag nicht vor. Trotzdem wertete der Arbeitgeber die bloße technische Zugriffsmöglichkeit als schwerwiegenden Vertrauensbruch und sprach die fristlose Kündigung aus.
Gerade in Branchen, in denen Projekte oft den Zugriff auf sensible Daten erfordern, ist diese Frage heikel: Reicht die Einrichtung von Berechtigungen ohne Nutzung schon für eine Kündigung, oder muss ein konkreter Missbrauch nachgewiesen werden? Das Gericht musste abwägen zwischen dem Schutz der Persönlichkeitsrechte der Betroffenen und der Wahrung des Vertrauensverhältnisses im Unternehmen.
Erstes Urteil: Warum das Arbeitsgericht Köln die fristlose Kündigung stoppte
Die Prokuristin wehrte sich mit einer Kündigungsschutzklage. Das Arbeitsgericht Köln gab ihr Recht und erklärte die fristlose Kündigung für unwirksam.
Begründung der Entscheidung
Das Gericht erkannte zwar eine Pflichtverletzung, sah jedoch keine ausreichende Schwere für eine sofortige Beendigung des Arbeitsverhältnisses.
- Es fehlte der Nachweis einer tatsächlichen Einsichtnahme in fremde Mails.
- Eine Abmahnung hätte ausgereicht, um künftiges Fehlverhalten zu verhindern.
Nach Auffassung des Gerichts war die Verhältnismäßigkeit nicht gewahrt. Die fristlose Kündigung sei das äußerste Mittel und komme nur in Betracht, wenn eine weitere Zusammenarbeit unzumutbar ist. Das Arbeitsgericht betonte außerdem die Pflicht des Arbeitgebers, vor einem so gravierenden Schritt mildere Maßnahmen zu prüfen.
Damit schien die Angelegenheit zugunsten der Klägerin entschieden – bis der Arbeitgeber in Berufung ging.
Berufung vor dem LAG Köln: Wann schon der bloße Zugriff zur Kündigung reicht
Der Arbeitgeber legte Berufung beim LAG Köln ein. Er argumentierte, dass bereits die Einrichtung der Zugriffsrechte einen massiven Vertrauensbruch darstelle und der Klägerin die Rechtswidrigkeit bewusst gewesen sein müsse.
Das Urteil
Das LAG Köln bewertete den Fall anders als die Vorinstanz und erklärte die fristlose Kündigung für rechtmäßig.
Die Richter stellten fest:
- Der unbefugte Zugriff verletzte das Persönlichkeitsrecht und die informationelle Selbstbestimmung der Kollegen in erheblichem Maße.
- Aufgrund der Offensichtlichkeit des Verstoßes sei eine Abmahnung entbehrlich.
- Dem Arbeitgeber sei die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der ordentlichen Kündigungsfrist unzumutbar gewesen.
Mit dieser Entscheidung setzte das Gericht einen klaren Maßstab: Bereits die bewusste Schaffung einer technischen Zugriffsmöglichkeit ohne Berechtigung kann im Arbeitsrecht eine fristlose Kündigung rechtfertigen – auch ohne nachweisliche Nutzung der Daten.
Rechtliche Grundlagen: BDSG, TKG & Fernmeldegeheimnis im Überblick
Der Fall berührt zentrale Vorschriften des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) und des Fernmeldegeheimnisses.
Verbot der privaten Nutzung
Ist ausschließlich eine dienstliche Nutzung von E-Mails am Arbeitsplatz erlaubt, darf der Arbeitgeber auf den E-Mail-Account des Arbeitnehmers zugreifen, auch wenn diese den Zugang verweigern.
Der Zugriff muss jedoch nach § 26 I S.1 BDSG (Bundesdatenschutzgesetz) erforderlich sein. Insbesondere in den Fällen, in denen der Arbeitgeber wegen einer Abwesenheit des Beschäftigten keinen Zugang zu bestimmten geschäftlichen Daten hat, kann sich ein Zugriff auf den E-Mail-Account des nicht erreichbaren Beschäftigten als erforderlich erweisen.
Von dieser Kontrollbefugnis sind E-Mails an die betriebliche Interessenvertretung der Beschäftigten, an den Betriebsarzt, an eine betriebliche Beschwerdestelle oder an eine vom Arbeitgeber geschaffene Whistleblower-Stelle ausgeschlossen.
Erlaubte private Nutzung
Hat der Arbeitgeber die private Nutzung des betrieblichen E-Mail-Accounts erlaubt, so tritt er als Anbieter von Telekommunikationsleistungen auf und ist aus § 88 TKG (Telekommunikationsgesetz) dazu verpflichtet, das Fernmeldegeheimnis der Arbeitnehmer zu wahren.
Der Arbeitgeber wird somit an die Einhaltung des Fernmeldegeheimnis nach § 88 TKG gebunden und ihm ist es untersagt Kenntnis vom Inhalt des E-Mail-Verkehrs seiner Arbeitnehmer zu erlangen.
Das Fernmeldegeheimnis bezieht sich zwar lediglich auf die privaten E-Mails des Arbeitnehmers, dennoch wird dem Arbeitgeber der Zugriff auf den gesamten E-Mail-Verkehr des Arbeitnehmers entzogen. Denn um den privaten oder geschäftlichen Charakter von E-Mails bestimmen zu können, müsste der Arbeitgeber den Inhalt der E-Mails überhaupt erst kontrollieren dürfen.
Praxis-Tipps für Unternehmen: So vermeiden Sie rechtliche Risiken
Das Urteil verdeutlicht, dass Arbeitgeber klare Strukturen schaffen müssen, um sowohl rechtlich als auch organisatorisch abgesichert zu sein.
Empfohlene Maßnahmen:
- Verbindliche E-Mail-Policies im Arbeitsvertrag oder in Betriebsvereinbarungen festschreiben.
- Vier-Augen-Prinzip bei jeder Freigabe von Zugriffsrechten anwenden.
- Dokumentation aller Zugriffe inklusive Anlass, Datum und Beteiligter.
- Technische Alternativen wie Funktionspostfächer nutzen, um persönliche Postfächer zu vermeiden.
- Schulung aller Mitarbeitenden zu BDSG, TKG und Datenschutzpflichten.
Regelmäßige Compliance-Prüfungen stellen sicher, dass Berechtigungen stets auf dem aktuellen Stand sind und nur befugte Personen Zugriff haben. Eine enge Abstimmung zwischen IT, Datenschutzbeauftragten und Personalabteilung minimiert Risiken und stärkt das Vertrauen innerhalb der Organisation.
Warum das Urteil besonders im B2B-Umfeld entscheidend ist
Im B2B-Umfeld stehen oft besonders sensible Informationen im Raum: Kundenlisten, Vertragsdetails, technische Zeichnungen oder strategische Marktanalysen. Ein unbefugter Zugriff kann nicht nur arbeitsrechtliche Folgen haben, sondern auch vertragliche Schadensersatzansprüche und erhebliche Reputationsschäden nach sich ziehen.
Unternehmen sollten deshalb nicht nur die rechtlichen Grundlagen kennen, sondern auch ein Bewusstsein dafür schaffen, wie wichtig die Einhaltung von Zugriffsregeln ist. Dazu gehört auch, technische Sicherheitsvorkehrungen wie Berechtigungskonzepte, Protokollierungen und Zugriffssperren regelmäßig zu überprüfen und zu aktualisieren.
Fazit & Ausblick: Was Arbeitgeber und Arbeitnehmer jetzt wissen müssen
Das LAG Köln hat mit seinem Urteil einen klaren Maßstab gesetzt: Ein unbefugter E-Mail-Zugriff – auch ohne tatsächliche Nutzung – kann eine fristlose Kündigung rechtfertigen, wenn er bewusst und ohne Genehmigung erfolgt.
Für Arbeitgeber bedeutet das:
- Prävention statt Reaktion – klare Regeln, geschulte Mitarbeiter, dokumentierte Prozesse.
- Null-Toleranz-Strategie bei schweren Vertrauensbrüchen.
- Verzahnung von Recht und IT-Sicherheit, um Vorfälle zu verhindern.
Für Arbeitnehmer ist das Urteil ein deutlicher Hinweis, dass selbst scheinbar kleine technische Handlungen erhebliche Konsequenzen haben können. Wer Zugriffsrechte nutzt oder einrichtet, ohne dazu berechtigt zu sein, riskiert den sofortigen Verlust seines Arbeitsplatzes. Der Arbeitgeber sollte die private Nutzung der dienstlichen E-Mail-Accounts verbieten, so dass im Falle eines Kontrollbegehrens die Möglichkeit besteht, auf diese zugreifen zu können. Arbeitnehmer müssen dabei allerdings nicht auf das Senden privater E-Mails verzichten, der private E-Mail-Verkehr kann unter Nutzung von privater Smartphones in der Pausenzeit erfolgen.
❓ FAQ Fristlose Kündigung: LAG Köln-Urteil zum E-Mail-Zugriff
Das Landesarbeitsgericht Köln entschied, dass bereits die bewusste Einrichtung eines unbefugten E-Mail-Zugriffs eine fristlose Kündigung rechtfertigen kann – auch ohne tatsächliche Nutzung der Daten.
Nein. Das Urteil zeigt, dass schon die technische Zugriffsmöglichkeit ohne Berechtigung ausreichen kann, wenn ein erheblicher Vertrauensbruch vorliegt.
Das BDSG regelt den Umgang mit dienstlichen Daten, das TKG und das Fernmeldegeheimnis schützen private Kommunikation. Je nach erlaubter oder untersagter Privatnutzung greifen unterschiedliche rechtliche Vorgaben.
Klare E-Mail- und IT-Policies, das Vier-Augen-Prinzip bei Zugriffsrechten, lückenlose Dokumentation und regelmäßige Compliance-Schulungen sind entscheidend.
Im B2B-Umfeld geht es oft um besonders sensible Kundendaten und Geschäftsgeheimnisse. Ein unbefugter Zugriff kann nicht nur arbeitsrechtliche, sondern auch wirtschaftliche und reputationsbezogene Schäden verursachen.
Neben der fristlosen Kündigung können Schadensersatzforderungen und strafrechtliche Ermittlungen möglich sein, wenn sensible Daten betroffen sind.
Technische Zugriffsbeschränkungen, regelmäßige Berechtigungsprüfungen, Protokollierungen und die enge Zusammenarbeit zwischen IT, Personalabteilung und Datenschutzbeauftragten.