Am 28. März 2024 hat das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) ein aufsehenerregendes Urteil zur fristlosen Kündigung wegen unbefugtem E-Mail-Zugriff gefällt. Der Fall betrifft eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff auf dienstliche Accounts – ein Thema mit erheblicher Bedeutung für Arbeitgeber, HR-Abteilungen und Datenschutzbeauftragte.
Wann rechtfertigt ein unbefugter E-Mail-Zugriff eine fristlose Kündigung?
Unter welchen Voraussetzungen darf ein Arbeitgeber fristlos kündigen, wenn ein Mitarbeiter auf fremde E-Mail-Postfächer zugreift – auch ohne nachweisliche Nutzung?
Das LAG-Köln-Urteil zum unbefugten E-Mail-Zugriff zeigt exemplarisch, wie eng Arbeitsrecht, Datenschutzrecht und IT-Compliance miteinander verflochten sind. Unternehmen müssen sicherstellen, dass ihre internen IT-Richtlinien nicht nur technisch, sondern auch arbeitsrechtlich und datenschutzkonform gestaltet sind.
Im B2B-Umfeld kann ein unzulässiger E-Mail-Zugriff schwerwiegende Folgen haben – von Vertrauensverlust und Datenschutzverstößen bis hin zu wirtschaftlichen Schäden. Besonders brisant: Das Gericht betonte, dass bereits die Einrichtung eines unbefugten Zugriffs auf E-Mail-Accounts eine Pflichtverletzung darstellen kann, die den sofortigen Verlust des Arbeitsplatzes rechtfertigt.
Der Fall vor dem LAG Köln im Überblick
Im Mittelpunkt des LAG-Köln-Urteils zum unbefugten E-Mail-Zugriff stand eine Prokuristin eines Unternehmens, die über den IT-Dienstleister unberechtigt Zugriffsrechte auf dienstliche E-Mail-Accounts mehrerer Kolleginnen und Kollegen einrichten ließ – ohne deren Zustimmung und ohne Genehmigung der Geschäftsführung.
Die Freischaltung erfolgte durch ein internes IT-Support-Ticket. Ein Nachweis, dass die Mitarbeiterin tatsächlich E-Mails geöffnet oder gelesen hatte, lag nicht vor. Dennoch wertete der Arbeitgeber bereits die bloße technische Zugriffsmöglichkeit auf fremde E-Mail-Accounts als schwerwiegenden Vertrauensbruch und sprach die fristlose Kündigung aus.
Gerade in Branchen mit sensiblen Kundendaten oder vertraulicher Kommunikation stellt sich die entscheidende arbeitsrechtliche Frage: Reicht die Einrichtung eines unbefugten E-Mail-Zugriffs ohne Nutzung schon für eine fristlose Kündigung?
Oder ist der konkrete Missbrauch der Daten erforderlich?
Das LAG Köln musste in diesem Zusammenhang zwischen zwei zentralen Rechtsgütern abwägen:
- dem Schutz der Persönlichkeitsrechte und der informationellen Selbstbestimmung der betroffenen Mitarbeitenden,
- und dem Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer, das Grundlage jeder Beschäftigung ist.
Der Fall zeigt, dass Verstöße gegen Datenschutzrichtlinien und unzulässige E-Mail-Zugriffe nicht nur technische oder Compliance-Themen sind, sondern unmittelbar in das Arbeitsrecht hineinwirken. Eine Verletzung des Datenschutzes kann hier zugleich eine arbeitsrechtliche Pflichtverletzung darstellen, die eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff rechtfertigt.
Arbeitsgericht vs. LAG Köln – rechtliche Bewertung
Die Prokuristin wehrte sich gegen die fristlose Kündigung wegen unbefugtem E-Mail-Zugriff mit einer Kündigungsschutzklage.
Das Arbeitsgericht Köln gab ihr zunächst Recht und erklärte die Kündigung für unwirksam.
Das Gericht stellte zwar eine Pflichtverletzung fest, sah jedoch keine ausreichende Schwere, die eine sofortige Beendigung des Arbeitsverhältnisses rechtfertigen würde. Eine Abmahnung hätte nach Ansicht der Richter ausgereicht, um zukünftiges Fehlverhalten zu verhindern.
Warum das Arbeitsgericht keine ausreichende Schwere der Pflichtverletzung sah
Das Gericht betonte mehrere entscheidende Punkte:
- Es fehlte der Nachweis einer tatsächlichen Einsichtnahme in fremde E-Mails.
- Der bloße technische E-Mail-Zugriff ohne Nutzung reiche nicht automatisch für eine fristlose Kündigung aus.
- Eine mildere Maßnahme – insbesondere eine Abmahnung – sei zumutbar und ausreichend gewesen.
Damit hob das Arbeitsgericht hervor, dass im Arbeitsrecht die Verhältnismäßigkeit gewahrt bleiben müsse.
Die fristlose Kündigung sei das äußerste Mittel („ultima ratio“) und komme nur dann in Betracht, wenn dem Arbeitgeber eine weitere Zusammenarbeit unzumutbar ist.
Diese Entscheidung machte deutlich: Auch bei sensiblen Datenschutzverstößen ist nicht jeder unbefugte E-Mail-Zugriff automatisch ein Kündigungsgrund. Erst bei bewusstem und schwerwiegendem Fehlverhalten kann eine sofortige Beendigung gerechtfertigt sein.
Berufung vor dem LAG Köln: Warum bereits der technische Zugriff für eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff genügt
Der Arbeitgeber legte gegen das Urteil des Arbeitsgerichts Berufung ein. In der zweiten Instanz kam das Landesarbeitsgericht Köln zu einer abweichenden Entscheidung und erklärte die fristlose Kündigung wegen unbefugtem E-Mail-Zugriff für rechtmäßig.
Die Richter sahen in der bewussten Einrichtung eines unbefugten Zugriffs auf dienstliche E-Mail-Accounts einen massiven Vertrauensbruch.
Die Arbeitnehmerin habe gewusst, dass sie für diesen Zugriff keine Berechtigung besaß – und damit bewusst gegen interne IT- und Datenschutzrichtlinien verstoßen.
Die entscheidenden Gründe des LAG Köln für die wirksame fristlose Kündigung
- Der unbefugte Zugriff auf fremde E-Mails verletzte das Persönlichkeitsrecht und die informationelle Selbstbestimmung der betroffenen Mitarbeitenden in erheblichem Maße.
- Aufgrund der Offensichtlichkeit des Verstoßes sei eine Abmahnung entbehrlich gewesen.
- Dem Arbeitgeber sei die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der ordentlichen Kündigungsfrist unzumutbar gewesen.
Damit setzte das LAG Köln einen klaren arbeitsrechtlichen Maßstab:
Bereits die Einrichtung eines unbefugten E-Mail-Zugriffs – selbst ohne nachweisliche Nutzung – kann im Arbeitsrecht eine fristlose Kündigung rechtfertigen.
Bedeutung des Urteils für Datenschutz, IT-Compliance und Arbeitsrecht
Das Urteil verdeutlicht, dass ein unbefugter E-Mail-Zugriff schnell zu einer fristlosen Kündigung führen kann und Datenschutzverstöße schwerwiegende arbeitsrechtliche Konsequenzen haben.
Arbeitgeber dürfen bei bewussten Zugriffshandlungen konsequent reagieren, um das Vertrauen und die Datensicherheit im Unternehmen zu schützen.
Compliance- und Dokumentationsaufwand: Wie Unternehmen Risiken beherrschbar machen
Das Urteil des LAG Köln zeigt nicht nur, dass unzulässige Zugriffshandlungen arbeitsrechtlich gravierend sein können, sondern auch, wie hoch die Anforderungen an nachvollziehbare Prozesse in IT, HR und Datenschutz mittlerweile sind. In der Praxis entscheidet häufig nicht allein die formale Regel, sondern die lückenlose Dokumentation: Wer hat wann Zugriff beantragt, wer hat freigegeben, auf welcher Grundlage, und wie wurde der Zugriff protokolliert?
Gerade bei vielen Accounts, wechselnden Rollen und wiederkehrenden Prüfpflichten entsteht schnell erheblicher Aufwand. Hier kann KI als unterstützendes Werkzeug helfen – nicht als „Trend“, sondern als operatives Compliance-Instrument: etwa zur strukturierten Auswertung von Tickets und Freigabeprozessen, zur Erstellung konsistenter Dokumentationsvermerke, zur Standardisierung von Policy-Texten und Checklisten oder zur Vorbereitung interner Audits (immer unter Beachtung von Datenschutz, Zugriffsrechten und Vertraulichkeit). Wenn Sie sich dafür interessieren, wie sich IT-Compliance- und Datenschutzprozesse praxistauglich entlasten lassen, bieten wir KI-Webinare an, die genau diese Schnittstelle adressieren: rechtssichere Einsatzszenarien, typische Fehlerquellen (z. B. Rollen-/Berechtigungskonzepte) und konkrete Workflows für Dokumentation und Nachweisführung.
Datenschutz und E-Mail-Zugriff im Arbeitsverhältnis
Der Fall des LAG Köln berührt zentrale Vorschriften des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie des Fernmeldegeheimnisses.
Diese Normen bilden die juristische Grundlage für den E-Mail-Zugriff im Arbeitsverhältnis – insbesondere, wenn es um dienstliche und private Nutzung geht.
1. Dienstliche vs. private E-Mail-Nutzung
Ist die Nutzung rein dienstlich, darf der Arbeitgeber unter engen Voraussetzungen auf dienstliche E-Mail-Accounts zugreifen. Der Zugriff muss gemäß § 26 Abs. 1 BDSG erforderlich sein und darf nur auf dienstliche Inhalte beschränkt sein.
Wichtig: Der Zugriff darf sich nur auf dienstliche Inhalte beziehen.
Von dieser Kontrollbefugnis sind E-Mails an bestimmte geschützte Empfängergruppen ausgenommen – etwa an den Betriebsrat, den Betriebsarzt oder an Whistleblower-Stellen.
Hier besteht ein besonderer Schutz vor Einsichtnahme.
2. Fernmeldegeheimnis und DSGVO
Hat der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts ausdrücklich erlaubt, wird er zum Anbieter von Telekommunikationsleistungen im Sinne des § 88 TKG.
Damit ist er an das Fernmeldegeheimnis gebunden und darf keine Kenntnis vom Inhalt des E-Mail-Verkehrs seiner Beschäftigten erlangen.
Das bedeutet:
Selbst wenn es sich nur um private Nachrichten handelt, ist eine Kontrolle oder Einsichtnahme durch den Arbeitgeber unzulässig.
Das Fernmeldegeheimnis schützt die Vertraulichkeit privater Kommunikation – ein Verstoß dagegen kann datenschutz- und strafrechtliche Konsequenzen haben.
3. Datenschutzpflichten des Arbeitgebers nach DSGVO und BDSG
Arbeitgeber müssen klare Regeln zu Zugriffsrechten auf E-Mail-Accounts, Transparenz und Dokumentation einhalten. Dazu gehört insbesondere:
- die klare Trennung von dienstlicher und privater Nutzung,
- die Transparenz über Zugriffsrechte,
- und die Dokumentation von Zugriffen auf E-Mail-Konten.
Verstöße können nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche Sanktionen nach sich ziehen – bis hin zu Bußgeldern nach DSGVO.
Praxis-Tipps zur Vermeidung unbefugter E-Mail-Zugriffe
Das LAG-Köln-Urteil zeigt, wie wichtig präzise Regeln zur Vermeidung unbefugter E-Mail-Zugriffe sind.
Nur wer technisch, organisatorisch und rechtlich sauber aufgestellt ist, kann im Streitfall nachweisen, dass Zugriffsrechte und Datenschutzrichtlinien eingehalten wurden.
1. Klare E-Mail- und Zugriffsrichtlinien als Compliance-Grundlage
Unternehmen sollten verbindliche E-Mail-Policies im Arbeitsvertrag oder in Betriebsvereinbarungen festschreiben.
Diese Richtlinien sollten eindeutig regeln:
- wer auf dienstliche Postfächer zugreifen darf,
- unter welchen Voraussetzungen ein Zugriff zulässig ist,
- und wie dieser Zugriff dokumentiert wird.
Ein klar definiertes Berechtigungskonzept schafft Transparenz und schützt vor internen Datenschutzverstößen.
2. Technische und organisatorische Maßnahmen für rechtssichere Zugriffsrechte
Zur Absicherung der IT-Compliance und des Datenschutzes empfehlen sich folgende Schritte:
- Vier-Augen-Prinzip bei jeder Freigabe von Zugriffsrechten.
- Dokumentation aller Zugriffe, inklusive Anlass, Datum und beteiligter Personen.
- Nutzung von Funktionspostfächern, um den Zugriff auf persönliche E-Mail-Accounts zu vermeiden.
- Regelmäßige Berechtigungsprüfungen, um sicherzustellen, dass nur befugte Personen Zugriff haben.
- Technische Protokollierungen und Zugriffssperren als Teil eines IT-Sicherheitskonzepts.
3. Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit
Neben der technischen Absicherung ist die Schulung der Mitarbeitenden ein entscheidender Faktor.
Nur wer die rechtlichen Grenzen des Datenschutzes kennt, kann sicher und compliant handeln.
Regelmäßige DSGVO-Schulungen, Awareness-Trainings und klare Kommunikationsrichtlinien fördern eine Kultur der Datensicherheit im Unternehmen und minimieren das Risiko unbefugter E-Mail- oder Datenzugriffe.
4. Zusammenarbeit zwischen IT, HR und Datenschutzbeauftragten
Eine enge Abstimmung zwischen IT-Abteilung, Personalabteilung und Datenschutzbeauftragten sorgt dafür, dass rechtliche Vorgaben, technische Schutzmaßnahmen und interne Prozesse harmonisch ineinandergreifen.
So lassen sich Datenschutzverstöße, Vertrauensbrüche und arbeitsrechtliche Konflikte effektiv vermeiden.
Bedeutung des Urteils für Arbeitgeber und Arbeitnehmer
Im B2B-Umfeld stehen Unternehmen täglich im Umgang mit vertraulichen Informationen – von Kundendaten und Vertragsdetails über technische Zeichnungen bis hin zu strategischen Geschäftsanalysen.
Ein unbefugter Zugriff auf geschäftliche E-Mail-Accounts kann hier nicht nur eine arbeitsrechtliche Pflichtverletzung, sondern auch eine massive Datenschutzverletzung darstellen.
1. Schutz sensibler Daten und Unternehmensgeheimnisse
Das Urteil des LAG Köln verdeutlicht: Selbst der bloße technische Zugriff auf geschützte Informationen kann das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zerstören.
Gerade im B2B-Bereich, wo Geschäftsgeheimnisse und strategische Kundendaten eine zentrale Rolle spielen, kann ein solcher Vorfall weitreichende Folgen haben – von Vertragskündigungen bis zu Reputationsschäden.
Unternehmen sollten daher proaktiv prüfen, ob ihre Datenschutz- und IT-Compliance-Strukturen ausreichen, um unbefugte Zugriffe zu verhindern.
2. Rechtliche und wirtschaftliche Risiken bei Datenschutzverstößen
Ein Verstoß gegen Datenschutzvorschriften oder ein unzulässiger Zugriff auf E-Mail-Accounts kann zu erheblichen wirtschaftlichen Schäden führen.
Neben arbeitsrechtlichen Konsequenzen drohen auch:
- Schadensersatzforderungen von Geschäftspartnern,
- Verlust von Kundenvertrauen,
- und Bußgelder nach DSGVO und BDSG.
Deshalb gilt:
B2B-Unternehmen müssen Datenschutz und IT-Sicherheit als integralen Bestandteil ihrer Geschäftsprozesse begreifen.
3. IT-Compliance im B2B-Umfeld
Das LAG-Köln-Urteil ist ein Weckruf für Unternehmen, klare Zugriffsrichtlinien zu implementieren und regelmäßig Compliance-Audits durchzuführen.
Die Kombination aus technischen Zugriffskontrollen, rechtlich dokumentierten Berechtigungen und laufender Schulung der Mitarbeitenden ist der Schlüssel zur Vermeidung von Datenschutzrisiken.
Fristlose Kündigung wegen unbefugtem E-Mail-Zugriff: Was Arbeitgeber jetzt tun sollten
Für Arbeitgeber bedeutet das LAG-Köln-Urteil vor allem eines:
Prävention statt Reaktion.
- Klare Richtlinien und Compliance-Prozesse schaffen
- Zugriffsrechte transparent regeln und regelmäßig prüfen
- Mitarbeitende schulen, um Datenschutzverstöße zu vermeiden
- IT-Sicherheit und Datenschutzmanagement eng verzahnen
Eine Null-Toleranz-Strategie bei bewussten Vertrauensbrüchen stärkt nicht nur die Rechtssicherheit, sondern auch die interne Unternehmenskultur.
Fristlose Kündigung wegen unbefugtem E-Mail-Zugriff:
Was Arbeitnehmer beachten sollten
Auch für Beschäftigte ist das Urteil ein deutlicher Hinweis:
Selbst scheinbar kleine technische Handlungen, wie das Einrichten von Zugriffsrechten, können erhebliche Konsequenzen haben.
Wer ohne Berechtigung auf fremde E-Mail-Accounts zugreift oder Berechtigungen verändert, riskiert den sofortigen Verlust des Arbeitsplatzes – unabhängig davon, ob tatsächlich Daten eingesehen wurden.
Private E-Mails sollten ausschließlich über eigene Geräte und außerhalb der Arbeitszeit versendet werden, um Konflikte mit dem Fernmeldegeheimnis und der Datenschutzgrundverordnung (DSGVO) zu vermeiden.
Fazit zur fristlosen Kündigung wegen unbefugtem E-Mail-Zugriff
Mit seinem Urteil vom 28. März 2024 (Az. 6 Sa 324/23) hat das Landesarbeitsgericht Köln (LAG Köln) einen neuen arbeitsrechtlichen Standard gesetzt.
Das Urteil zeigt: Schon ein unbefugter E-Mail-Zugriff kann eine fristlose Kündigung auslösen – Arbeitgeber sollten daher klare Richtlinien definieren und Mitarbeitende schulen.
Das Urteil betont den hohen Stellenwert von Vertrauen und Datenschutz im Arbeitsverhältnis.
Ein Verstoß gegen IT- oder Datenschutzrichtlinien kann nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche und wirtschaftliche Konsequenzen nach sich ziehen.
Fragen zu fristlose Kündigung wegen unbefugtem E-Mail-Zugriff?
Unsere spezialisierten Rechtsanwälte für IT-, Arbeits- und Datenschutzrecht unterstützen Sie dabei, rechtssichere Zugriffs- und E-Mail-Richtlinien zu gestalten – damit Ihr Unternehmen Urteile wie das des LAG Köln zum unbefugten E-Mail-Zugriff vermeidet. Jetzt Beratung anfordern.
❓ FAQ: Fristlose Kündigung wegen unbefugtem E-Mail-Zugriff
Das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) entschied, dass bereits die Einrichtung eines unbefugten E-Mail-Zugriffs eine fristlose Kündigung rechtfertigen kann – selbst ohne tatsächliche Nutzung der Daten.
Das Urteil stärkt die Position von Arbeitgebern im Arbeitsrecht und setzt einen klaren Maßstab für Datenschutz und IT-Compliance.
Wirksame Präventionsmaßnahmen gegen eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff sind klare Zugriffs- und E-Mail-Richtlinien, ein Vier-Augen-Prinzip bei Berechtigungen, lückenlose Protokollierungen sowie regelmäßige Datenschutz- und IT-Sicherheitsschulungen. Unternehmen sollten Zugriffsrechte dokumentieren und Mitarbeitende regelmäßig sensibilisieren, um Datenschutzverstöße und arbeitsrechtliche Konsequenzen zu vermeiden.
Ja. Laut LAG Köln genügt bereits die technische Zugriffsmöglichkeit auf fremde E-Mail-Accounts, um eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff zu rechtfertigen. Ein tatsächlicher Datenmissbrauch ist nicht erforderlich, wenn der Zugriff bewusst und ohne Berechtigung eingerichtet wurde.
Eine Abmahnung ist entbehrlich, wenn der unbefugte E-Mail-Zugriff bewusst erfolgt und einen schweren Vertrauensbruch darstellt. In solchen Fällen kann eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff zulässig sein, da dem Arbeitgeber eine Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist unzumutbar ist.
Der Arbeitgeber darf dienstliche E-Mails nur bei rein dienstlicher Nutzung und unter strengen Voraussetzungen nach § 26 BDSG kontrollieren. Erfolgt der Zugriff unzulässig oder ohne klare Regelungen, kann dies eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff arbeitsrechtlich relevant machen. Private E-Mails unterliegen einem besonderen Schutz durch Datenschutz- und Fernmeldegeheimnis.
Die DSGVO verpflichtet Arbeitgeber zu Transparenz, Zweckbindung und Datensicherheit beim Zugriff auf E-Mail-Konten. Verstöße gegen diese Pflichten können nicht nur Bußgelder nach sich ziehen, sondern auch arbeitsrechtliche Konsequenzen haben. In schweren Fällen kann die DSGVO eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff rechtlich flankieren oder begründen.
Weiterführende Themen
Fristlose Kündigung wegen unbefugtem E-Mail-Zugriff – LAG Köln Urteil
Das LAG Köln bestätigt: Eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff ist auch ohne Datennutzung zulässig. Der Beitrag erklärt das Urteil, rechtliche Grundlagen und zeigt, was Arbeitgeber und Arbeitnehmer jetzt beachten müssen.
DSGVO Kontrollverlust als Schadensersatzgrund – BAG 2025
Reicht Kontrollverlust über personenbezogene Daten für DSGVO-Schadensersatz? Das BAG stellt klar: Auch ohne Datenmissbrauch kann ein Anspruch nach Art. 82 DSGVO bestehen. Was das Urteil für Arbeitgeber und Arbeitnehmer bedeutet, erfahren Sie hier.