Das Thema
Ein Betriebsratsvorsitzender leitete dienstliche E-Mails automatisiert an seine private E-Mail-Adresse weiter. Nach einer Abmahnung durch das Unternehmen richtete er eine neue private E-Mail-Adresse ein und übermittelte dorthin eine Excel-Datei mit einer vollständigen Personalliste – inklusive Klarnamen und Vergütungsdaten sämtlicher Mitarbeiter. Die Datei wurde auf privaten Speichermedien bearbeitet und anschließend zurück an das dienstliche Betriebsratskonto gesendet.
Der Arbeitgeber sah hierin eine schwerwiegende Verletzung datenschutzrechtlicher Pflichten und beantragte beim Arbeitsgericht den Ausschluss aus dem Betriebsrat. Das Betriebsratsmitglied als auch der Betriebsrat wendeten sich dagegen und argumentierten, die private Weiterleitung sei lediglich erfolgt, um die Datei zu Hause auf einem größeren Bildschirm effizient bearbeiten zu können. Anschließend wurden die Daten aber vollständig gelöscht.
Die Entscheidung
Das Hess. LAG (Beschl. v. 10.03.2025 – 16 TaBV 109/24) gab dem Unternehmen Recht. Nach § 23 Abs. 1 Satz 1 BetrVG kann ein Betriebsratsmitglied bei grober Pflichtverletzung aus dem Gremium ausgeschlossen werden. Eine solche Pflicht ergibt sich insbesondere aus § 79a Satz 1 BetrVG: Der Betriebsrat hat bei der Verarbeitung personenbezogener Daten die Datenschutzvorgaben einzuhalten und eigenverantwortlich technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen.
Hier hatte das Betriebsratsmitglied durch die Weiterleitung und Bearbeitung einer Excel-Datei mit sensiblen Vergütungsdaten auf seinem privaten Computer personenbezogene Daten im Sinne der DSGVO verarbeitet. Diese Verarbeitung stellte eine nach Ansicht des Gerichts grobe Pflichtverletzung dar. Die Verarbeitung auf privaten Geräten bedeutete eine erhebliche Gefährdung der Daten. Angesichts der detaillierten Vergütungsinformationen hätte dem Betriebsratsmitglied die besondere Schutzbedürftigkeit bewusst sein müssen. Die erneute Nutzung einer privaten E-Mail-Adresse trotz vorheriger Abmahnung wertete das Gericht als Zeichen fehlender Einsicht – und damit als zusätzliche Erschwerung des Verstoßes.
Betriebsratsmitglieder haben keinen „datenschutzrechtlichen Freifahrtschein“
Für Betriebsratsmitglieder gelten dieselben datenschutzrechtlichen Anforderungen wie für Unternehmen: Sie müssen sich an die gesetzlichen Pflichten halten – dazu gehört insbesondere der sorgfältige Umgang mit personenbezogenen Daten. Verstößt ein Mitglied grob gegen diese Pflichten, kann es – je nach Schwere – aus dem Gremium ausgeschlossen werden.
Fazit und Handlungsempfehlung
Arbeitgeber sollten grundsätzlich die folgenden Punkte beachten:
- Auch Betriebsratsmitglieder sind bei der Verarbeitung personenbezogener Daten an die Vorgaben der DSGVO gebunden. Unternehmen sollten darauf achten, dass der Betriebsrat über die datenschutzrechtlichen Anforderungen informiert ist und diese auch praktisch umsetzt.
- Bei schwerwiegenden Pflichtverletzungen durch Betriebsratsmitglieder – insbesondere im Bereich Datenschutz – kann ein Ausschlussverfahren in Betracht kommen. Arbeitgeber sollten eine Auseinandersetzung in solchen Fällen nicht scheuen, denn im Falle von Datenschutzverstößen ist der Arbeitgeber der Letztverantwortliche und trägt die Verantwortung.
- Datenschutzverstöße von Betriebsratsmitgliedern können aber nicht nur betriebsverfassungsrechtliche Konsequenzen, sondern auch individualrechtliche (arbeitsrechtliche) Konsequenzen nach sich ziehen. Voraussetzung ist jedoch, dass sich das Fehlverhalten auch auf das Arbeitsverhältnis auswirkt, es sich bei dem Datenschutzverstoß also nicht „nur“ um ein amtsbezogenes Fehlverhalten handelt. Unternehmen sollten in solchen Fällen frühzeitig rechtlichen Rat einholen und die Dokumentation der Verstöße – unter Mitwirkung des Datenschutzbeauftragten – sorgfältig sichern.
