Am 28. März 2024 hat das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) ein aufsehenerregendes Urteil zur fristlosen Kündigung gefällt. Der Fall betrifft eine fristlose Kündigung wegen unbefugten E-Mail-Zugriffs auf dienstliche Accounts – ein Thema mit erheblicher Bedeutung für Arbeitgeber, HR-Abteilungen und Datenschutzbeauftragte.
Die zentrale Frage:
Unter welchen Voraussetzungen darf ein Arbeitgeber fristlos kündigen, wenn ein Mitarbeiter auf fremde E-Mail-Postfächer zugreift – auch ohne nachweisliche Nutzung?
Das LAG-Köln-Urteil zeigt exemplarisch, wie eng Arbeitsrecht, Datenschutzrecht und IT-Compliance miteinander verflochten sind. Unternehmen müssen sicherstellen, dass ihre internen IT-Richtlinien nicht nur technisch, sondern auch arbeitsrechtlich und datenschutzkonform gestaltet sind.
Im B2B-Umfeld kann ein unzulässiger E-Mail-Zugriff schwerwiegende Folgen haben – von Vertrauensverlust und Datenschutzverstößen bis hin zu wirtschaftlichen Schäden. Besonders brisant: Das Gericht betonte, dass bereits die Einrichtung eines unbefugten Zugriffs auf fremde E-Mail-Accounts eine Pflichtverletzung darstellen kann, die den sofortigen Verlust des Arbeitsplatzes rechtfertigt.
Der Fall im Detail: Unbefugter E-Mail-Zugriff durch Prokuristin
Im Mittelpunkt des LAG-Köln-Urteils stand eine Prokuristin eines Unternehmens, die über den IT-Dienstleister unberechtigt Zugriffsrechte auf dienstliche E-Mail-Accounts mehrerer Kolleginnen und Kollegen einrichten ließ – ohne deren Zustimmung und ohne Genehmigung der Geschäftsführung.
Die Freischaltung erfolgte durch ein internes IT-Support-Ticket. Ein Nachweis, dass die Mitarbeiterin tatsächlich E-Mails geöffnet oder gelesen hatte, lag nicht vor. Dennoch wertete der Arbeitgeber bereits die technische Zugriffsmöglichkeit als schwerwiegenden Vertrauensbruch und sprach die fristlose Kündigung aus.
Gerade in Branchen mit sensiblen Kundendaten oder vertraulicher Kommunikation stellt sich die entscheidende arbeitsrechtliche Frage: Reicht die bloße Einrichtung eines Zugriffs ohne Nutzung schon für eine fristlose Kündigung?
Oder ist der konkrete Missbrauch der Daten erforderlich?
Das LAG Köln musste in diesem Zusammenhang zwischen zwei zentralen Rechtsgütern abwägen:
- dem Schutz der Persönlichkeitsrechte und der informationellen Selbstbestimmung der betroffenen Mitarbeitenden,
- und dem Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer, das Grundlage jeder Beschäftigung ist.
Der Fall zeigt, dass Verstöße gegen Datenschutzrichtlinien und IT-Zugriffsrechte nicht nur technische oder Compliance-Themen sind, sondern unmittelbar in das Arbeitsrecht hineinwirken.
Eine Verletzung des Datenschutzes kann hier zugleich eine arbeitsrechtliche Pflichtverletzung darstellen, die eine fristlose Kündigung rechtfertigt.
Erstes Urteil: Warum das Arbeitsgericht Köln die fristlose Kündigung stoppte
Die Prokuristin wehrte sich gegen die fristlose Kündigung mit einer Kündigungsschutzklage.
Das Arbeitsgericht Köln gab ihr zunächst Recht und erklärte die Kündigung für unwirksam.
Das Gericht stellte zwar eine Pflichtverletzung fest, sah jedoch keine ausreichende Schwere, die eine sofortige Beendigung des Arbeitsverhältnisses rechtfertigen würde.
Eine Abmahnung hätte nach Ansicht der Richter ausgereicht, um zukünftiges Fehlverhalten zu verhindern.
Begründung des Arbeitsgerichts
Das Gericht betonte mehrere entscheidende Punkte:
- Es fehlte der Nachweis einer tatsächlichen Einsichtnahme in fremde E-Mails.
- Der bloße technische Zugriff ohne Nutzung reiche nicht automatisch für eine fristlose Kündigung aus.
- Eine mildere Maßnahme – insbesondere eine Abmahnung – sei zumutbar und ausreichend gewesen.
Damit hob das Arbeitsgericht hervor, dass im Arbeitsrecht die Verhältnismäßigkeit gewahrt bleiben müsse.
Die fristlose Kündigung sei das äußerste Mittel („ultima ratio“) und komme nur dann in Betracht, wenn dem Arbeitgeber eine weitere Zusammenarbeit unzumutbar ist.
Diese Entscheidung machte deutlich: Auch bei sensiblen Datenschutzverstößen ist nicht jeder unbefugte E-Mail-Zugriff automatisch ein Kündigungsgrund.
Erst wenn bewusstes, schwerwiegendes Fehlverhalten vorliegt, kann eine sofortige Beendigung gerechtfertigt sein.
Berufung vor dem LAG Köln: Wann der bloße E-Mail-Zugriff eine fristlose Kündigung rechtfertigt
LAG Köln bestätigt fristlose Kündigung wegen unbefugten E-Mail-Zugriffs
Der Arbeitgeber legte gegen das Urteil des Arbeitsgerichts Berufung ein.
In der zweiten Instanz kam das Landesarbeitsgericht Köln (LAG Köln) zu einer abweichenden Entscheidung und erklärte die fristlose Kündigung für rechtmäßig.
Die Richter sahen in der bewussten Einrichtung eines unbefugten Zugriffs auf dienstliche E-Mail-Accounts einen massiven Vertrauensbruch.
Die Arbeitnehmerin habe gewusst, dass sie für diesen Zugriff keine Berechtigung besaß – und damit bewusst gegen interne IT- und Datenschutzrichtlinien verstoßen.
Die wesentlichen Entscheidungsgründe des LAG Köln
- Der unbefugte Zugriff auf fremde E-Mails verletzte das Persönlichkeitsrecht und die informationelle Selbstbestimmung der betroffenen Mitarbeitenden in erheblichem Maße.
- Aufgrund der Offensichtlichkeit des Verstoßes sei eine Abmahnung entbehrlich gewesen.
- Dem Arbeitgeber sei die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der ordentlichen Kündigungsfrist unzumutbar gewesen.
Damit setzte das LAG Köln einen klaren arbeitsrechtlichen Maßstab:
Bereits die Einrichtung eines unbefugten E-Mail-Zugriffs – selbst ohne nachweisliche Nutzung – kann im Arbeitsrecht eine fristlose Kündigung rechtfertigen.
Bedeutung für Datenschutz und Unternehmenspraxis
Das Urteil verdeutlicht, dass ein unbefugter E-Mail-Zugriff schnell zu einer fristlosen Kündigung führen kann und Datenschutzverstöße schwerwiegende arbeitsrechtliche Konsequenzen haben.
Arbeitgeber dürfen bei bewussten Zugriffshandlungen konsequent reagieren, um das Vertrauen und die Datensicherheit im Unternehmen zu schützen.
Rechtliche Grundlagen: BDSG, TKG & Fernmeldegeheimnis im Überblick
Der Fall des LAG Köln berührt zentrale Vorschriften des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie des Fernmeldegeheimnisses.
Diese Normen bilden die juristische Grundlage für den E-Mail-Zugriff im Arbeitsverhältnis – insbesondere, wenn es um dienstliche und private Nutzung geht.
1. Verbot der privaten Nutzung und Zugriffsbefugnisse des Arbeitgebers
Ist in einem Unternehmen ausschließlich die dienstliche Nutzung von E-Mails erlaubt, darf der Arbeitgeber grundsätzlich auf den E-Mail-Account eines Arbeitnehmers zugreifen – etwa dann, wenn wichtige geschäftliche Informationen benötigt werden.
Ein solcher Zugriff muss jedoch gemäß § 26 Abs. 1 S. 1 BDSG erforderlich sein, beispielsweise bei einer Abwesenheit des Beschäftigten, um den Geschäftsbetrieb aufrechtzuerhalten.
Wichtig: Der Zugriff darf sich nur auf dienstliche Inhalte beziehen.
Von dieser Kontrollbefugnis sind E-Mails an bestimmte geschützte Empfängergruppen ausgenommen – etwa an den Betriebsrat, den Betriebsarzt oder an Whistleblower-Stellen.
Hier besteht ein besonderer Schutz vor Einsichtnahme.
2. Erlaubte private Nutzung und das Fernmeldegeheimnis
Hat der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts ausdrücklich erlaubt, wird er zum Anbieter von Telekommunikationsleistungen im Sinne des § 88 TKG.
Damit ist er an das Fernmeldegeheimnis gebunden und darf keine Kenntnis vom Inhalt des E-Mail-Verkehrs seiner Beschäftigten erlangen.
Das bedeutet:
Selbst wenn es sich nur um private Nachrichten handelt, ist eine Kontrolle oder Einsichtnahme durch den Arbeitgeber unzulässig.
Das Fernmeldegeheimnis schützt die Vertraulichkeit privater Kommunikation – ein Verstoß dagegen kann datenschutz- und strafrechtliche Konsequenzen haben.
3. Datenschutzrechtliche Pflichten für Arbeitgeber
Arbeitgeber sind verpflichtet, den Datenschutz im Arbeitsverhältnis aktiv sicherzustellen. Dazu gehört insbesondere:
- die klare Trennung von dienstlicher und privater Nutzung,
- die Transparenz über Zugriffsrechte,
- und die Dokumentation von Zugriffen auf E-Mail-Konten.
Verstöße können nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche Sanktionen nach sich ziehen – bis hin zu Bußgeldern nach DSGVO.
Praxis-Tipps für Unternehmen: So vermeiden Sie rechtliche Risiken
Das LAG-Köln-Urteil macht deutlich, dass Arbeitgeber klare und überprüfbare Regelungen brauchen, um fristlose Kündigungen wegen unbefugten E-Mail-Zugriffs rechtssicher aussprechen zu können.
Nur wer technisch, organisatorisch und rechtlich sauber aufgestellt ist, kann im Streitfall nachweisen, dass Zugriffsrechte und Datenschutzrichtlinien eingehalten wurden.
1. E-Mail-Policies und Compliance-Strukturen
Unternehmen sollten verbindliche E-Mail-Policies im Arbeitsvertrag oder in Betriebsvereinbarungen festschreiben.
Diese Richtlinien sollten eindeutig regeln:
- wer auf dienstliche Postfächer zugreifen darf,
- unter welchen Voraussetzungen ein Zugriff zulässig ist,
- und wie dieser Zugriff dokumentiert wird.
Ein klar definiertes Berechtigungskonzept schafft Transparenz und schützt vor internen Datenschutzverstößen.
2. Technische und organisatorische Maßnahmen
Zur Absicherung der IT-Compliance und des Datenschutzes empfehlen sich folgende Schritte:
- Vier-Augen-Prinzip bei jeder Freigabe von Zugriffsrechten.
- Dokumentation aller Zugriffe, inklusive Anlass, Datum und beteiligter Personen.
- Nutzung von Funktionspostfächern, um den Zugriff auf persönliche E-Mail-Accounts zu vermeiden.
- Regelmäßige Berechtigungsprüfungen, um sicherzustellen, dass nur befugte Personen Zugriff haben.
- Technische Protokollierungen und Zugriffssperren als Teil eines IT-Sicherheitskonzepts.
3. Schulungen und Sensibilisierung der Mitarbeitenden
Neben der technischen Absicherung ist die Schulung der Mitarbeitenden ein entscheidender Faktor.
Nur wer die rechtlichen Grenzen des Datenschutzes kennt, kann sicher und compliant handeln.
Regelmäßige DSGVO-Schulungen, Awareness-Trainings und klare Kommunikationsrichtlinien fördern eine Kultur der Datensicherheit im Unternehmen.
4. Zusammenarbeit zwischen IT, HR und Datenschutzbeauftragten
Eine enge Abstimmung zwischen IT-Abteilung, Personalabteilung und Datenschutzbeauftragten sorgt dafür, dass rechtliche Vorgaben, technische Schutzmaßnahmen und interne Prozesse harmonisch ineinandergreifen.
So lassen sich Datenschutzverstöße, Vertrauensbrüche und arbeitsrechtliche Konflikte effektiv vermeiden.
Warum das Urteil besonders im B2B-Umfeld entscheidend ist
Im B2B-Umfeld stehen Unternehmen täglich im Umgang mit vertraulichen Informationen – von Kundendaten und Vertragsdetails über technische Zeichnungen bis hin zu strategischen Geschäftsanalysen.
Ein unbefugter Zugriff auf E-Mail-Accounts kann hier nicht nur eine arbeitsrechtliche Pflichtverletzung, sondern auch eine massive Datenschutzverletzung darstellen.
1. Schutz sensibler Unternehmensdaten
Das Urteil des LAG Köln verdeutlicht: Selbst der bloße technische Zugriff auf geschützte Informationen kann das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer nachhaltig zerstören.
Gerade im B2B-Bereich, wo Geschäftsgeheimnisse und strategische Kundendaten eine zentrale Rolle spielen, kann ein solcher Vorfall weitreichende Folgen haben – von Vertragskündigungen bis zu Reputationsschäden.
Unternehmen sollten daher proaktiv prüfen, ob ihre Datenschutz- und IT-Compliance-Strukturen ausreichen, um unbefugte Zugriffe zu verhindern.
2. Wirtschaftliche und rechtliche Folgen eines Datenschutzverstoßes
Ein Verstoß gegen Datenschutzvorschriften oder ein unzulässiger Zugriff auf E-Mail-Accounts kann zu erheblichen wirtschaftlichen Schäden führen.
Neben arbeitsrechtlichen Konsequenzen drohen auch:
- Schadensersatzforderungen von Geschäftspartnern,
- Verlust von Kundenvertrauen,
- und Bußgelder nach DSGVO und BDSG.
Deshalb gilt:
B2B-Unternehmen müssen Datenschutz und IT-Sicherheit als integralen Bestandteil ihrer Geschäftsprozesse begreifen.
3. Prävention und Compliance im Fokus
Das LAG-Köln-Urteil ist ein Weckruf für Unternehmen, klare Zugriffsrichtlinien zu implementieren und regelmäßig Compliance-Audits durchzuführen.
Die Kombination aus technischen Zugriffskontrollen, rechtlich dokumentierten Berechtigungen und laufender Schulung der Mitarbeitenden ist der Schlüssel zur Vermeidung von Datenschutzrisiken.
Fazit & Ausblick: Was Arbeitgeber und Arbeitnehmer jetzt wissen müssen
Mit seinem Urteil vom 28. März 2024 (Az. 6 Sa 324/23) hat das Landesarbeitsgericht Köln (LAG Köln) einen neuen arbeitsrechtlichen Standard gesetzt.
Das Urteil zeigt: Schon ein unbefugter E-Mail-Zugriff kann eine fristlose Kündigung auslösen – Arbeitgeber sollten daher klare Richtlinien definieren und Mitarbeitende schulen.
Das Urteil betont den hohen Stellenwert von Vertrauen und Datenschutz im Arbeitsverhältnis.
Ein Verstoß gegen IT- oder Datenschutzrichtlinien kann nicht nur arbeitsrechtliche, sondern auch datenschutzrechtliche und wirtschaftliche Konsequenzen nach sich ziehen.
Was Arbeitgeber jetzt tun sollten
Für Arbeitgeber bedeutet das LAG-Köln-Urteil vor allem eines:
Prävention statt Reaktion.
- Klare Richtlinien und Compliance-Prozesse schaffen
- Zugriffsrechte transparent regeln und regelmäßig prüfen
- Mitarbeitende schulen, um Datenschutzverstöße zu vermeiden
- IT-Sicherheit und Datenschutzmanagement eng verzahnen
Eine Null-Toleranz-Strategie bei bewussten Vertrauensbrüchen stärkt nicht nur die Rechtssicherheit, sondern auch die interne Unternehmenskultur.
Was Arbeitnehmer beachten sollten
Auch für Beschäftigte ist das Urteil ein deutlicher Hinweis:
Selbst scheinbar kleine technische Handlungen, wie das Einrichten von Zugriffsrechten, können erhebliche Konsequenzen haben.
Wer ohne Berechtigung auf fremde E-Mail-Accounts zugreift oder Berechtigungen verändert, riskiert den sofortigen Verlust des Arbeitsplatzes – unabhängig davon, ob tatsächlich Daten eingesehen wurden.
Private E-Mails sollten ausschließlich über eigene Geräte und außerhalb der Arbeitszeit versendet werden, um Konflikte mit dem Fernmeldegeheimnis und der Datenschutzgrundverordnung (DSGVO) zu vermeiden.
Fragen zum Urteil des LAG Köln?
Unsere spezialisierten Rechtsanwälte für IT-, Arbeits- und Datenschutzrecht unterstützen Sie dabei, rechtssichere Zugriffs- und E-Mail-Richtlinien zu gestalten – damit Ihr Unternehmen Urteile wie das des LAG Köln zum unbefugten E-Mail-Zugriff vermeidet. Jetzt Beratung anfordern.
Sie haben Fragen zur DSGVO oder anderen Rechtsgebieten? Nehmen Sie an unserer DSGVO-Sprechstunde teil oder buchen Sie eine unserer vielfältigen Veranstaltungen!
❓ FAQ Fristlose Kündigung: LAG Köln-Urteil zum E-Mail-Zugriff
Das Landesarbeitsgericht Köln (Az. 6 Sa 324/23) entschied, dass bereits die bewusste Einrichtung eines unbefugten E-Mail-Zugriffs eine fristlose Kündigung rechtfertigen kann – selbst ohne tatsächliche Nutzung der Daten.
Das Urteil stärkt die Position von Arbeitgebern im Arbeitsrecht und setzt einen klaren Maßstab für Datenschutz und IT-Compliance im Unternehmen.
Nein. Laut LAG Köln genügt bereits die technische Zugriffsmöglichkeit auf fremde dienstliche E-Mails, wenn diese ohne Berechtigung eingerichtet wurde.
Ein nachweislicher Datenmissbrauch ist nicht erforderlich, sofern ein erheblicher Vertrauensbruch oder eine bewusste Pflichtverletzung vorliegt.
Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit dienstlichen Daten, während das Telekommunikationsgesetz (TKG) und das Fernmeldegeheimnis (§ 88 TKG) die private Kommunikation von Arbeitnehmern schützen.
- Wird die private Nutzung des dienstlichen E-Mail-Accounts erlaubt, darf der Arbeitgeber nicht auf private E-Mails zugreifen.
- Ist die private Nutzung untersagt, kann der Arbeitgeber unter bestimmten Voraussetzungen auf dienstliche Inhalte zugreifen, sofern dies nach § 26 Abs. 1 BDSG erforderlich ist.
Unternehmen sollten verbindliche E-Mail- und IT-Policies einführen und deren Einhaltung regelmäßig überprüfen.
Wichtige Maßnahmen sind:
- Vier-Augen-Prinzip bei Freigabe von Zugriffsrechten
- Lückenlose Dokumentation aller Zugriffe
- Technische Zugriffsbeschränkungen und Protokollierungen
- Regelmäßige DSGVO-Schulungen für Mitarbeitende
Im B2B-Bereich sind häufig sensible Kundendaten, Vertragsunterlagen und Geschäftsgeheimnisse betroffen.
Ein unbefugter E-Mail-Zugriff kann daher nicht nur arbeitsrechtliche, sondern auch zivilrechtliche und wirtschaftliche Konsequenzen haben – etwa Schadensersatzforderungen oder Reputationsschäden.
Unternehmen sollten ihre Zugriffsrichtlinien und Compliance-Strukturen regelmäßig prüfen und anpassen.
Neben der fristlosen Kündigung drohen Schadensersatzansprüche, Abmahnungen und in schweren Fällen auch strafrechtliche Ermittlungen – insbesondere bei Verstößen gegen das BDSG oder die DSGVO.
Arbeitnehmer sollten daher niemals ohne Genehmigung auf fremde E-Mail-Postfächer zugreifen oder Berechtigungen verändern.
Die wichtigsten Präventionsmaßnahmen sind:
- Klare Berechtigungskonzepte und regelmäßige Berechtigungsprüfungen
- Protokollierung aller E-Mail-Zugriffe
- Sensibilisierung und Schulung der Mitarbeitenden
- Zusammenarbeit zwischen IT, HR und Datenschutzbeauftragten
Diese Maßnahmen reduzieren das Risiko von Datenschutzverletzungen, Arbeitsrechtskonflikten und Vertrauensbrüchen erheblich.
Eine fristlose Kündigung wegen E-Mail-Zugriff droht, wenn Mitarbeitende ohne Berechtigung auf dienstliche Postfächer zugreifen oder entsprechende Zugriffsrechte einrichten – auch ohne nachweisliche Nutzung der Daten.
Weiterführende Themen
Personalakte und DSGVO: Welche Auskunftsansprüche Arbeitnehmer wirklich haben
Welche Daten dürfen in der digitalen Personalakte gespeichert werden – und was muss im Fall eines Auskunftsersuchens offengelegt werden?
Unternehmen stehen zunehmend vor der Herausforderung, datenschutzrechtliche Pflichten mit effizienter Personalverwaltung zu vereinen. Dieser Beitrag zeigt praxisnah, wie Sie § 83 BetrVG und Art. 15 DSGVO rechtssicher umsetzen – und dabei Vertrauen, Compliance und Prozesssicherheit stärken.
Arbeitszeitbetrug durch Raucherpause: Kündigung laut LAG Thüringen zulässig
Das LAG Thüringen hat entschieden: Wer wiederholt seine Raucherpausen nicht stempelt, begeht Arbeitszeitbetrug – und riskiert die Kündigung. Selbst langjährige Betriebszugehörigkeit schützt in solchen Fällen nicht. Dieses Urteil zeigt, wie wichtig korrekte Zeiterfassung und dokumentierte Belehrungen für Arbeitgeber sind – und welche arbeitsrechtlichen Folgen selbst scheinbar kleine Pflichtverstöße haben können.
LSG Baden-Württemberg: ALG-Sperrzeit für Berufskraftfahrer nach Verkehrsverstoß bestätigt
Berufskraftfahrer riskiert ALG-Sperrzeit bei Verkehrsverstoß – selbst private Fahrfehler können den Führerschein und den Anspruch auf Arbeitslosengeld kosten. Das Urteil des LSG Baden-Württemberg zeigt, wie eng Verkehrsrecht und Sozialrecht bei Pflichtverstößen verzahnt sind – und worauf Fahrer und Arbeitgeber achten sollten.**