Am 28. März 2024 hat das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) ein aufsehenerregendes Urteil zur fristlosen Kündigung wegen unbefugtem E-Mail-Zugriff gefällt. Der Fall betrifft eine fristlose Kündigung wegen unbefugten E-Mail-Zugriffs auf dienstliche Accounts – ein Thema mit erheblicher Bedeutung für Arbeitgeber, HR-Abteilungen und Datenschutzbeauftragte.
Wann rechtfertigt ein unbefugter E-Mail-Zugriff eine fristlose Kündigung?
Unter welchen Voraussetzungen darf ein Arbeitgeber fristlos kündigen, wenn ein Mitarbeiter auf fremde E-Mail-Postfächer zugreift – auch ohne nachweisliche Nutzung?
Das LAG-Köln-Urteil zum unbefugten E-Mail-Zugriff zeigt exemplarisch, wie eng Arbeitsrecht, Datenschutzrecht und IT-Compliance miteinander verflochten sind. Unternehmen müssen sicherstellen, dass ihre internen IT-Richtlinien nicht nur technisch, sondern auch arbeitsrechtlich und datenschutzkonform gestaltet sind.
Im B2B-Umfeld kann ein unzulässiger E-Mail-Zugriff schwerwiegende Folgen haben – von Vertrauensverlust und Datenschutzverstößen bis hin zu wirtschaftlichen Schäden. Besonders brisant: Das Gericht betonte, dass bereits die Einrichtung eines unbefugten Zugriffs auf E-Mail-Accounts eine Pflichtverletzung darstellen kann, die den sofortigen Verlust des Arbeitsplatzes rechtfertigt.
Der Fall des LAG Köln: Unzulässige Einrichtung von E-Mail-Zugriffsrechten durch eine Prokuristin
Im Mittelpunkt des LAG-Köln-Urteils zum unbefugten E-Mail-Zugriff stand eine Prokuristin eines Unternehmens, die über den IT-Dienstleister unberechtigt Zugriffsrechte auf dienstliche E-Mail-Accounts mehrerer Kolleginnen und Kollegen einrichten ließ – ohne deren Zustimmung und ohne Genehmigung der Geschäftsführung.
Die Freischaltung erfolgte durch ein internes IT-Support-Ticket. Ein Nachweis, dass die Mitarbeiterin tatsächlich E-Mails geöffnet oder gelesen hatte, lag nicht vor. Dennoch wertete der Arbeitgeber bereits die bloße technische Zugriffsmöglichkeit auf fremde E-Mail-Accounts als schwerwiegenden Vertrauensbruch und sprach die fristlose Kündigung aus.
Gerade in Branchen mit sensiblen Kundendaten oder vertraulicher Kommunikation stellt sich die entscheidende arbeitsrechtliche Frage: Reicht die Einrichtung eines unbefugten E-Mail-Zugriffs ohne Nutzung schon für eine fristlose Kündigung?
Oder ist der konkrete Missbrauch der Daten erforderlich?
Das LAG Köln musste in diesem Zusammenhang zwischen zwei zentralen Rechtsgütern abwägen:
- dem Schutz der Persönlichkeitsrechte und der informationellen Selbstbestimmung der betroffenen Mitarbeitenden,
- und dem Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer, das Grundlage jeder Beschäftigung ist.
Der Fall zeigt, dass Verstöße gegen Datenschutzrichtlinien und unzulässige E-Mail-Zugriffe nicht nur technische oder Compliance-Themen sind, sondern unmittelbar in das Arbeitsrecht hineinwirken. Eine Verletzung des Datenschutzes kann hier zugleich eine arbeitsrechtliche Pflichtverletzung darstellen, die eine fristlose Kündigung wegen unbefugtem E-Mail-Zugriff rechtfertigt.
Arbeitsgericht Köln stoppt zunächst die fristlose Kündigung
Die Prokuristin wehrte sich gegen die fristlose Kündigung wegen unbefugtem E-Mail-Zugriff mit einer Kündigungsschutzklage.
Das Arbeitsgericht Köln gab ihr zunächst Recht und erklärte die Kündigung für unwirksam.
Das Gericht stellte zwar eine Pflichtverletzung fest, sah jedoch keine ausreichende Schwere, die eine sofortige Beendigung des Arbeitsverhältnisses rechtfertigen würde. Eine Abmahnung hätte nach Ansicht der Richter ausgereicht, um zukünftiges Fehlverhalten zu verhindern.
Warum das Arbeitsgericht keine ausreichende Schwere der Pflichtverletzung sah
Das Gericht betonte mehrere entscheidende Punkte:
- Es fehlte der Nachweis einer tatsächlichen Einsichtnahme in fremde E-Mails.
- Der bloße technische E-Mail-Zugriff ohne Nutzung reiche nicht automatisch für eine fristlose Kündigung aus.
- Eine mildere Maßnahme – insbesondere eine Abmahnung – sei zumutbar und ausreichend gewesen.
Damit hob das Arbeitsgericht hervor, dass im Arbeitsrecht die Verhältnismäßigkeit gewahrt bleiben müsse.
Die fristlose Kündigung sei das äußerste Mittel („ultima ratio“) und komme nur dann in Betracht, wenn dem Arbeitgeber eine weitere Zusammenarbeit unzumutbar ist.
Diese Entscheidung machte deutlich: Auch bei sensiblen Datenschutzverstößen ist nicht jeder unbefugte E-Mail-Zugriff automatisch ein Kündigungsgrund. Erst bei bewusstem und schwerwiegendem Fehlverhalten kann eine sofortige Beendigung gerechtfertigt sein.
Berufung vor dem LAG Köln: Warum bereits der technische Zugriff für eine fristlose Kündigung genügt
Der Arbeitgeber legte gegen das Urteil des Arbeitsgerichts Berufung ein. In der zweiten Instanz kam das Landesarbeitsgericht Köln zu einer abweichenden Entscheidung und erklärte die fristlose Kündigung wegen unbefugtem E-Mail-Zugriff für rechtmäßig.
Die Richter sahen in der bewussten Einrichtung eines unbefugten Zugriffs auf dienstliche E-Mail-Accounts einen massiven Vertrauensbruch.
Die Arbeitnehmerin habe gewusst, dass sie für diesen Zugriff keine Berechtigung besaß – und damit bewusst gegen interne IT- und Datenschutzrichtlinien verstoßen.
Die entscheidenden Gründe des LAG Köln für die wirksame fristlose Kündigung
- Der unbefugte Zugriff auf fremde E-Mails verletzte das Persönlichkeitsrecht und die informationelle Selbstbestimmung der betroffenen Mitarbeitenden in erheblichem Maße.
- Aufgrund der Offensichtlichkeit des Verstoßes sei eine Abmahnung entbehrlich gewesen.
- Dem Arbeitgeber sei die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der ordentlichen Kündigungsfrist unzumutbar gewesen.
Damit setzte das LAG Köln einen klaren arbeitsrechtlichen Maßstab:
Bereits die Einrichtung eines unbefugten E-Mail-Zugriffs – selbst ohne nachweisliche Nutzung – kann im Arbeitsrecht eine fristlose Kündigung rechtfertigen.
Bedeutung des Urteils für Datenschutz, IT-Compliance und Arbeitsrecht
Das Urteil verdeutlicht, dass ein unbefugter E-Mail-Zugriff schnell zu einer fristlosen Kündigung führen kann und Datenschutzverstöße schwerwiegende arbeitsrechtliche Konsequenzen haben.
Arbeitgeber dürfen bei bewussten Zugriffshandlungen konsequent reagieren, um das Vertrauen und die Datensicherheit im Unternehmen zu schützen.
Rechtliche Grundlagen beim Zugriff auf E-Mail-Accounts (BDSG, TKG & Fernmeldegeheimnis)
Der Fall des LAG Köln berührt zentrale Vorschriften des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie des Fernmeldegeheimnisses.
Diese Normen bilden die juristische Grundlage für den E-Mail-Zugriff im Arbeitsverhältnis – insbesondere, wenn es um dienstliche und private Nutzung geht.
1. Reine dienstliche Nutzung: Wann Arbeitgeber E-Mail-Postfächer einsehen dürfen
Ist die Nutzung rein dienstlich, darf der Arbeitgeber unter engen Voraussetzungen auf dienstliche E-Mail-Accounts zugreifen. Der Zugriff muss gemäß § 26 Abs. 1 BDSG erforderlich sein und darf nur auf dienstliche Inhalte beschränkt sein.
Wichtig: Der Zugriff darf sich nur auf dienstliche Inhalte beziehen.
Von dieser Kontrollbefugnis sind E-Mails an bestimmte geschützte Empfängergruppen ausgenommen – etwa an den Betriebsrat, den Betriebsarzt oder an Whistleblower-Stellen.
Hier besteht ein besonderer Schutz vor Einsichtnahme.
2. Erlaubte private Nutzung: Bedeutung des Fernmeldegeheimnisses nach § 88 TKG
Hat der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts ausdrücklich erlaubt, wird er zum Anbieter von Telekommunikationsleistungen im Sinne des § 88 TKG.
Damit ist er an das Fernmeldegeheimnis gebunden und darf keine Kenntnis vom Inhalt des E-Mail-Verkehrs seiner Beschäftigten erlangen.
Das bedeutet:
Selbst wenn es sich nur um private Nachrichten handelt, ist eine Kontrolle oder Einsichtnahme durch den Arbeitgeber unzulässig.
Das Fernmeldegeheimnis schützt die Vertraulichkeit privater Kommunikation – ein Verstoß dagegen kann datenschutz- und strafrechtliche Konsequenzen haben.
3. Datenschutzpflichten des Arbeitgebers nach DSGVO und BDSG
Arbeitgeber müssen klare Regeln zu Zugriffsrechten auf E-Mail-Accounts, Transparenz und Dokumentation einhalten. Dazu gehört insbesondere:
- die klare Trennung von dienstlicher und privater Nutzung,
- die Transparenz über Zugriffsrechte,
- und die Dokumentation von Zugriffen auf E-Mail-Konten.
Verstöße können nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche Sanktionen nach sich ziehen – bis hin zu Bußgeldern nach DSGVO.
Praxis-Tipps für Unternehmen: Wie unbefugte E-Mail-Zugriffe verhindert werden
Das LAG-Köln-Urteil zeigt, wie wichtig präzise Regeln zur Vermeidung unbefugter E-Mail-Zugriffe sind.
Nur wer technisch, organisatorisch und rechtlich sauber aufgestellt ist, kann im Streitfall nachweisen, dass Zugriffsrechte und Datenschutzrichtlinien eingehalten wurden.
1. Klare E-Mail- und Zugriffsrichtlinien als Compliance-Grundlage
Unternehmen sollten verbindliche E-Mail-Policies im Arbeitsvertrag oder in Betriebsvereinbarungen festschreiben.
Diese Richtlinien sollten eindeutig regeln:
- wer auf dienstliche Postfächer zugreifen darf,
- unter welchen Voraussetzungen ein Zugriff zulässig ist,
- und wie dieser Zugriff dokumentiert wird.
Ein klar definiertes Berechtigungskonzept schafft Transparenz und schützt vor internen Datenschutzverstößen.
2. Technische und organisatorische Maßnahmen für rechtssichere Zugriffsrechte
Zur Absicherung der IT-Compliance und des Datenschutzes empfehlen sich folgende Schritte:
- Vier-Augen-Prinzip bei jeder Freigabe von Zugriffsrechten.
- Dokumentation aller Zugriffe, inklusive Anlass, Datum und beteiligter Personen.
- Nutzung von Funktionspostfächern, um den Zugriff auf persönliche E-Mail-Accounts zu vermeiden.
- Regelmäßige Berechtigungsprüfungen, um sicherzustellen, dass nur befugte Personen Zugriff haben.
- Technische Protokollierungen und Zugriffssperren als Teil eines IT-Sicherheitskonzepts.
3. Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit
Neben der technischen Absicherung ist die Schulung der Mitarbeitenden ein entscheidender Faktor.
Nur wer die rechtlichen Grenzen des Datenschutzes kennt, kann sicher und compliant handeln.
Regelmäßige DSGVO-Schulungen, Awareness-Trainings und klare Kommunikationsrichtlinien fördern eine Kultur der Datensicherheit im Unternehmen und minimieren das Risiko unbefugter E-Mail- oder Datenzugriffe.
4. Zusammenarbeit zwischen IT, HR und Datenschutzbeauftragten
Eine enge Abstimmung zwischen IT-Abteilung, Personalabteilung und Datenschutzbeauftragten sorgt dafür, dass rechtliche Vorgaben, technische Schutzmaßnahmen und interne Prozesse harmonisch ineinandergreifen.
So lassen sich Datenschutzverstöße, Vertrauensbrüche und arbeitsrechtliche Konflikte effektiv vermeiden.
Warum das Urteil besonders im B2B-Umfeld relevant ist
Im B2B-Umfeld stehen Unternehmen täglich im Umgang mit vertraulichen Informationen – von Kundendaten und Vertragsdetails über technische Zeichnungen bis hin zu strategischen Geschäftsanalysen.
Ein unbefugter Zugriff auf geschäftliche E-Mail-Accounts kann hier nicht nur eine arbeitsrechtliche Pflichtverletzung, sondern auch eine massive Datenschutzverletzung darstellen.
1. Schutz sensibler Daten und Unternehmensgeheimnisse
Das Urteil des LAG Köln verdeutlicht: Selbst der bloße technische Zugriff auf geschützte Informationen kann das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zerstören.
Gerade im B2B-Bereich, wo Geschäftsgeheimnisse und strategische Kundendaten eine zentrale Rolle spielen, kann ein solcher Vorfall weitreichende Folgen haben – von Vertragskündigungen bis zu Reputationsschäden.
Unternehmen sollten daher proaktiv prüfen, ob ihre Datenschutz- und IT-Compliance-Strukturen ausreichen, um unbefugte Zugriffe zu verhindern.
2. Rechtliche und wirtschaftliche Risiken bei Datenschutzverstößen
Ein Verstoß gegen Datenschutzvorschriften oder ein unzulässiger Zugriff auf E-Mail-Accounts kann zu erheblichen wirtschaftlichen Schäden führen.
Neben arbeitsrechtlichen Konsequenzen drohen auch:
- Schadensersatzforderungen von Geschäftspartnern,
- Verlust von Kundenvertrauen,
- und Bußgelder nach DSGVO und BDSG.
Deshalb gilt:
B2B-Unternehmen müssen Datenschutz und IT-Sicherheit als integralen Bestandteil ihrer Geschäftsprozesse begreifen.
3. Prävention durch Compliance- und Sicherheitsstrukturen
Das LAG-Köln-Urteil ist ein Weckruf für Unternehmen, klare Zugriffsrichtlinien zu implementieren und regelmäßig Compliance-Audits durchzuführen.
Die Kombination aus technischen Zugriffskontrollen, rechtlich dokumentierten Berechtigungen und laufender Schulung der Mitarbeitenden ist der Schlüssel zur Vermeidung von Datenschutzrisiken.
Fazit: Das LAG Köln setzt klare Grenzen beim unbefugten E-Mail-Zugriff
Mit seinem Urteil vom 28. März 2024 (Az. 6 Sa 324/23) hat das Landesarbeitsgericht Köln (LAG Köln) einen neuen arbeitsrechtlichen Standard gesetzt.
Das Urteil zeigt: Schon ein unbefugter E-Mail-Zugriff kann eine fristlose Kündigung auslösen – Arbeitgeber sollten daher klare Richtlinien definieren und Mitarbeitende schulen.
Das Urteil betont den hohen Stellenwert von Vertrauen und Datenschutz im Arbeitsverhältnis.
Ein Verstoß gegen IT- oder Datenschutzrichtlinien kann nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche und wirtschaftliche Konsequenzen nach sich ziehen.
Was Arbeitgeber jetzt tun sollten
Für Arbeitgeber bedeutet das LAG-Köln-Urteil vor allem eines:
Prävention statt Reaktion.
- Klare Richtlinien und Compliance-Prozesse schaffen
- Zugriffsrechte transparent regeln und regelmäßig prüfen
- Mitarbeitende schulen, um Datenschutzverstöße zu vermeiden
- IT-Sicherheit und Datenschutzmanagement eng verzahnen
Eine Null-Toleranz-Strategie bei bewussten Vertrauensbrüchen stärkt nicht nur die Rechtssicherheit, sondern auch die interne Unternehmenskultur.
Was Arbeitnehmer beachten sollten
Auch für Beschäftigte ist das Urteil ein deutlicher Hinweis:
Selbst scheinbar kleine technische Handlungen, wie das Einrichten von Zugriffsrechten, können erhebliche Konsequenzen haben.
Wer ohne Berechtigung auf fremde E-Mail-Accounts zugreift oder Berechtigungen verändert, riskiert den sofortigen Verlust des Arbeitsplatzes – unabhängig davon, ob tatsächlich Daten eingesehen wurden.
Private E-Mails sollten ausschließlich über eigene Geräte und außerhalb der Arbeitszeit versendet werden, um Konflikte mit dem Fernmeldegeheimnis und der Datenschutzgrundverordnung (DSGVO) zu vermeiden.
Fragen zum Urteil des LAG Köln?
Unsere spezialisierten Rechtsanwälte für IT-, Arbeits- und Datenschutzrecht unterstützen Sie dabei, rechtssichere Zugriffs- und E-Mail-Richtlinien zu gestalten – damit Ihr Unternehmen Urteile wie das des LAG Köln zum unbefugten E-Mail-Zugriff vermeidet. Jetzt Beratung anfordern.
Sie haben Fragen zur DSGVO oder anderen Rechtsgebieten wie dem Energie- oder Insolvenzrecht? Nehmen Sie an unserer DSGVO-Sprechstunde teil oder buchen Sie eine unserer vielfältigen Veranstaltungen!
❓ FAQ Fristlose Kündigung: LAG Köln-Urteil zum E-Mail-Zugriff
Das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) entschied, dass bereits die Einrichtung eines unbefugten E-Mail-Zugriffs eine fristlose Kündigung rechtfertigen kann – selbst ohne tatsächliche Nutzung der Daten.
Das Urteil stärkt die Position von Arbeitgebern im Arbeitsrecht und setzt einen klaren Maßstab für Datenschutz und IT-Compliance.
Die wichtigsten Präventionsmaßnahmen sind:
- Klare Berechtigungskonzepte und regelmäßige Berechtigungsprüfungen
- Protokollierung aller E-Mail-Zugriffe
- Sensibilisierung und Schulung der Mitarbeitenden
- Zusammenarbeit zwischen IT, HR und Datenschutzbeauftragten
Diese Maßnahmen reduzieren das Risiko von Datenschutzverletzungen, Arbeitsrechtskonflikten und Vertrauensbrüchen erheblich.
Nein.
Laut LAG Köln genügt bereits die technische Zugriffsmöglichkeit auf fremde dienstliche E-Mails, wenn diese ohne Berechtigung eingerichtet wurde.
Ein tatsächlicher Datenmissbrauch ist nicht erforderlich, wenn ein erheblicher Vertrauensbruch oder eine bewusste Pflichtverletzung vorliegt.
Das BDSG regelt den Umgang mit dienstlichen Daten, während TKG und das Fernmeldegeheimnis (§ 88 TKG) den Schutz privater Kommunikation sicherstellen.
- Ist private Nutzung erlaubt → Arbeitgeber darf keine privaten E-Mails lesen.
- Ist private Nutzung verboten → Arbeitgeber darf unter strengen Voraussetzungen auf dienstliche Inhalte zugreifen, etwa nach § 26 Abs. 1 BDSG.
Unternehmen sollten klare E-Mail-Policies und IT-Richtlinien einführen.
Besonders wichtig sind:
- Vier-Augen-Prinzip bei Vergabe von Zugriffsrechten
- Lückenlose Dokumentation aller E-Mail-Zugriffe
- Technische Protokollierungen und Zugriffsbeschränkungen
- Regelmäßige DSGVO-Schulungen für Mitarbeitende
Im B2B-Bereich betreffen unbefugte E-Mail-Zugriffe oft sensible Kundendaten, Vertragsunterlagen oder Geschäftsgeheimnisse.
Ein solcher Verstoß kann arbeitsrechtliche, zivilrechtliche und wirtschaftliche Folgen haben, darunter:
- Schadensersatzforderungen
- Reputationsschäden
- DSGVO-Bußgelder
B2B-Unternehmen sollten deshalb ihre Zugriffsrichtlinien und Compliance-Strukturen regelmäßig prüfen.
Arbeitnehmer riskieren:
- fristlose Kündigung,
- Abmahnung,
- Schadensersatzforderungen,
- und in schweren Fällen strafrechtliche Konsequenzen (z. B. DSGVO/BDSG-Verstöße).
Eine fristlose Kündigung droht, wenn Mitarbeitende ohne Berechtigung auf dienstliche E-Mail-Accounts zugreifen oder unbefugte Zugriffsrechte einrichten – selbst ohne nachweisliche Nutzung der Daten.
Weiterführende Themen
Fristlose Kündigung wegen unbefugtem E-Mail-Zugriff: LAG Köln-Urteil
Fristlose Kündigung: LAG Köln-Urteil zum E-Mail-Zugriff – schon der bloße Zugriff kann zur Entlassung führen. Erfahren Sie, was das für Arbeitgeber, Arbeitnehmer und Compliance bedeutet und welche rechtlichen Grundlagen jetzt entscheidend sind.