Weiterleitung personenbezogener Daten an einen privaten E-Mailaccount durch ein Betriebsratsmitglied: Ausschluss aus dem Betriebsrat

Das Hessische Landesarbeitsgericht (Az.: 16 TaBV 109/24) entschied, dass ein Betriebsratsmitglied, welches wiederholt umfangreiche personenbezogene Beschäftigtendaten an eine private E-Mailadresse versandte, aus dem Betriebsrat auszuschließen war. Dies macht deutlich, dass das Datenschutzrecht uneingeschränkt auf die Datenverarbeitung durch Betriebsratsmitglieder anzuwenden ist. 

Die Entscheidung

Ein Betriebsratsmitglied hatte wiederholt Beschäftigtendaten, die ihm im Rahmen der Betriebsratstätigkeit offenbart worden waren, an eine private E-Mailadresse weitergeleitet, um im privaten Umfeld mit eigener Hard- und Software Betriebsratstätigkeiten auszuüben. U.a. wurden vollständige Personallisten einschließlich Namen und Angaben zur Arbeitszeit, zur Beschäftigungszeit, sowie zur Eingruppierung und sonstigen Vergütungsdaten weitergeleitet. Das Betriebsratsmitglied rechtfertigte dies damit, dass er unter Zeitdruck stehend die Betriebsratstätigkeit im häuslichen Umfeld fortsetzen und dazu seinen privaten großen Bildschirm nutzen wollte. Sein großer Bildschirm habe ihm die Bearbeitung einer großen Excel-Tabelle sehr erleichtert. Das Hessische Landesarbeit entschied, dass es sich um eine rechtswidrige Datenverarbeitung gehandelt habe. Es habe für die Übermittlung an die private E-Mailadresse keine Rechtsgrundlage gegeben. Diese Übermittlung sei weder für die Durchführung des Beschäftigungsverhältnisses noch für die Betriebsratsarbeit erforderlich gewesen. Es hätten ebenso wenig berechtigte Interessen, die die Übermittlung hätten rechtfertigen können, vorgelegen. Außerdem habe die Verarbeitung – weil Sie ohne Information der Beschäftigten erfolgt sei – gegen den Grundsatz der Transparenz nach Art. 5 Abs. 1 Buchstabe a Datenschutz-Grundverordnung (DS-GVO) verstoßen sowie nicht dem Grundsatz der Datenminimierung im Sinne des Art. 5 Abs. 1 Buchstabe c DS-GVO entsprochen. Zwar sei auch im Betrieb keine absolute Datensicherheit zu erreichen, das Betriebsratsmitglied habe aber vermeidbare Datensicherheitsrisiken geschaffen. Die Pflichtverletzung sei zudem „grob“ im Sinne des § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) gewesen. Dies habe sich aus der großen Sensibilität der Daten wie auch aus der Tatsache gegeben, dass diese Pflichtverletzung wiederholt und zuletzt in dem Wissen erfolgte, dass der Arbeitgeber dieses Verhalten nicht billige. Den Einwand, das Betriebsratsmitglied habe für die Bearbeitung einen größeren Bildschirm gebraucht, der ihm im Betrieb nicht zur Verfügung gestanden habe, ließ das Gericht nicht gelten. Das Betriebsratsmitglied hätte in diesem Fall sich vom Arbeitgeber einen der Aufgabe angemessenen Bildschirm zur Verfügung stellen lassen können. Wegen des groben Verstoß gegen datenschutzrechtliche Vorschriften, sei das Betriebsratsmitglieds nach § 23 Abs. 1 BetrVG aus dem Betriebsrat auszuschließen gewesen.

Die Entscheidung des Hessischen Landesarbeitsgerichts ist noch nicht rechtskräftig; sie wird Gegenstand eines Verfahrens beim Bundesarbeitsgericht sein (Az. 7 ABR 21/25). 

Auswirkungen auf die Praxis 

Der Beschluss zeigt, dass nicht nur Beschäftigte und Geschäftsführer ihre datenschutzrechtlichen Pflichten verletzten, wenn sie dienstliche Dokumente an private E-Mailadressen senden oder in anderer Weise in ihren privaten Bereich überführen (siehe dazu Blog-Beitrag vom 20.01.2025). Auch der Betriebsrat hat nach § 79a BetrVG bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Ist dies durch den Betriebsrat nicht gewährleistet, kommen die Sanktionen nach § 23 BetrVG (Ausschluss eines Mitglieds aus dem Betriebsrat, Auflösung des Betriebsrats) in Betracht. 

Auch wenn das Gesetz den Betriebsrat und seine Mitglieder unmittelbar zur Einhaltung des Datenschutzrechts verpflichtet, ist es immer auch eine Angelegenheit des Arbeitgebers als Verantwortlichen im Sinne der DSGVO. § 79 a Satz 2 BetrVG stellt klar, dass auch dann, wenn der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, der Arbeitgeber der für die Verarbeitung verantwortlich im Sinne der datenschutzrechtlichen Vorschriften ist. Insofern ist auch eine Haftung des Arbeitgebers gegenüber dem Beschäftigten nicht ausgeschlossen. 

In diesem Zusammenhang ist außerdem wichtig, zu beachten, dass angemessene technische und organisatorische Maßnahmen zum Schutz der Datenschutzinteressen der Arbeitnehmer und Arbeitnehmerinnen im Betriebsrat tatsächlich für die Betriebsratsarbeit umgesetzt werden müssen, um – auch im Hinblick auf die Übermittlung personenbezogener Daten an den Betriebsrat durch den Arbeitgeber – die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten (vgl. BAG, 09.04.2019 – Az. 1 ABR 51/17). Nicht zuletzt, da auch ein Arbeitgeber ein großes Interesse daran hat, personenbezogene Daten auf rechtmäßige Weise an den Betriebsrat übermitteln zu können, muss er alles für die Einhaltung der Datenschutzvorschriften durch Betriebsratsmitglieder tun, was ihm unter Berücksichtigung der Unabhängigkeit des Betriebsrats und der Vertraulichkeit der Betriebsratstätigkeit, möglich ist. 

Schließlich zeigt die Entscheidung des Hessischen Landesarbeitsgerichts auf, dass die Nutzung privater Hard- und Software der Beschäftigten, welche oft unter dem Schlagwort „Bring your own device“ diskutiert wird, mit Datenschutzrisiken – auch im Hinblick auf die Datensicherheit – verbunden ist, die die Interessen aller Beteiligten gefährden.

Fazit und Praxistipp

Die Betriebsratstätigkeit findet also nicht in einem „Datenschutz rechtsfreiem Raum“ statt. Die Entscheidung des Hessischen Landesarbeitsgerichts zeigt, dass nicht nur dem Arbeitgeber aufgrund seiner Rolle als Verantwortlichen im Rahmen der DS-GVO Sanktionen drohen, sondern auch den Mitgliedern des Betriebsrates oder ggf. dem Betriebsrat im Ganzen. Es sollte deshalb im Interesse beider Seiten liegen, gemeinsam an der Einhaltung des Datenschutzes bei der Betriebsratstätigkeit zu arbeiten und insofern technische und organisatorische Sicherheitsmaßnahmen zu implementieren. Dabei geht es nicht nur um die technische Sicherheit, sondern zum Beispiel auch um Schulungsmaßnahmen für Betriebsratsmitglieder. Den vorgenannten Maßnahmen steht nicht entgegen, dass der Arbeitgeber aufgrund der Vertraulichkeit der Betriebsratsarbeit selbst nur eingeschränkte Kontrollmöglichkeiten hat. 

Die Entscheidung zeigt auch auf, dass selbst im Hinblick auf die Datenverarbeitung durch den Betriebsrat und seine Mitglieder grundsätzlich Transparenzpflichten bestehen und die Betroffenen über die Verarbeitung ihrer Daten im Betriebsrat zu informieren sind. Insofern bietet es sich an, die dem Beschäftigten nach Art. 13, 14 DSGVO gegebenen Informationen auf ihre Vollständigkeit hin zu überprüfen. 

Weiterführende Links

• Hessisches Landesarbeitsgerichts, Beschluss vom 10.03.2025 (Az. 16 TaBV 109/24)   
• Esche-Blog-Beitrag vom 20.01.2025: Weiterleitung dienstlicher E-Mails an private E-Mail-Adresse: Grund für eine außerordentliche Kündigung?