Ein Betriebsratsvorsitzender leitete sensible Mitarbeiterdaten an seine private E-Mail-Adresse weiter. Das LAG Frankfurt bewertete dies als grobe Pflichtverletzung und bestätigte den Ausschluss aus dem Betriebsrat. Die Entscheidung unterstreicht die strengen datenschutzrechtlichen Anforderungen an Betriebsratsmitglieder.
Ein Betriebsratsvorsitzender darf besonders sensible Mitarbeiterdaten nicht ohne ausdrückliche Rechtsgrundlage an seine private E-Mail-Adresse weiterleiten. Tut er es dennoch, kann dies seinen Ausschluss aus dem Betriebsrat zur Folge haben. Das hat das Hessische Landesarbeitsgericht (LAG Frankfurt) entschieden. Im konkreten Fall hatte ein Klinikbetreiber die gerichtliche Entfernung des Betriebsratsvorsitzenden aus dem Gremium beantragt (Hessisches Landesarbeitsgericht, Beschluss vom 10. März 2025, Az. 16 TaBV 109/24).
Betriebsratsvorsitzender leitet Mails an private GMX-Adresse weiter
Ein Klinikträger mit rund 390 Beschäftigten stellte im Herbst 2023 fest, dass der Vorsitzende des neunköpfigen Betriebsrats eine Regel in seinem dienstlichen E-Mail-Postfach eingerichtet hatte. Diese sorgte dafür, dass eingehende Mails automatisch an seine private GMX-Adresse weitergeleitet wurden. Nach Ansicht des Arbeitgebers handelte es sich dabei um einen klaren Datenschutzverstoß. Der Betriebsratsvorsitzende wurde zunächst abgemahnt. Doch nur wenige Wochen später zeigte sich, dass er erneut personenbezogene Daten an private Mailadressen geschickt hatte.
Besonders schwer wog ein Vorfall vom 7. November 2023. An diesem Tag verschickte der Betriebsratsvorsitzende eine Excel-Tabelle vom privaten Mailaccount an seinen dienstlichen Account und anschließend auch an das Betriebsrats-Postfach. Die Datei enthielt eine vollständige Personalliste der Klinik. Darin waren unter anderem die Namen, Tätigkeiten, Eingruppierungen, Entgelte, Stufenverläufe und Konzernvergleiche sämtlicher Mitarbeiter aufgeführt. Der Betriebsratsvorsitzende hatte die Datei zuvor vom dienstlichen Postfach an seine private Adresse weitergeleitet, um sie zu Hause zu bearbeiten. Laut Arbeitgeber war er auch zu diesem Zeitpunkt über die datenschutzrechtlichen Bedenken bereits informiert und hätte entsprechend umsichtig handeln müssen.
Bei einer späteren Analyse der digitalen Kommunikationssysteme wurden weitere Datenübertragungen festgestellt. Der Klinikbetreiber leitete daraufhin ein gerichtliches Verfahren ein, um den Vorsitzenden wegen grober Pflichtverletzung aus dem Betriebsrat auszuschließen. Das Arbeitsgericht Wiesbaden gab dem Antrag erstinstanzlich statt. Die hiergegen gerichtete Beschwerde des Betriebsratsvorsitzenden sowie des gesamten Betriebsrats wurde vom LAG Frankfurt nun zurückgewiesen.
Private Weiterleitung von Mitarbeiterdaten ist nicht erlaubt
Der Betriebsratsvorsitzende hatte sich damit verteidigt, er habe die Datei lediglich zu Hause auf einem größeren Monitor bearbeiten wollen. Nur so habe er eine ordentliche Vorbereitung der Betriebsvereinbarung zur Vergütung gewährleisten können. Außerdem sei sein privater Rechner ausreichend geschützt gewesen. Er sei passwortgesichert, mit aktueller Sicherheitssoftware ausgestattet und werde regelmäßig automatisch bereinigt. Die Daten seien zudem nach der Bearbeitung gelöscht worden. Einen Zugriff Dritter habe es zu keinem Zeitpunkt gegeben.
Das LAG ließ diese Argumentation jedoch nicht gelten. Nach Ansicht der Richter habe der Vorsitzende mit seinem Verhalten massiv gegen datenschutzrechtliche Pflichten verstoßen. Zwar sei es grundsätzlich zulässig, dass Betriebsräte zur Erfüllung ihrer Aufgaben auch mit personenbezogenen Daten arbeiten. Jedoch müssten dabei alle Vorgaben des Datenschutzes eingehalten werden. Dies gelte nicht nur für den Arbeitgeber, sondern auch für den Betriebsrat selbst. Insbesondere sei es nicht erlaubt, sensible Daten wie Vergütungsinformationen ohne besondere Sicherung auf private Geräte oder in private E-Mail-Konten zu übertragen.
Die vollständige Personalliste habe er z.B. gezielt an seinen privaten Mailaccount übermittelt. Damit habe er die Daten im Sinne der Datenschutzgrundverordnung „verarbeitet“. Die Richter nahmen eine „Erhebung“ im datenschutzrechtlichen Sinn an. Für diese Erhebung habe es jedoch keine rechtliche Grundlage gegeben. Weder habe eine Einwilligung der betroffenen Mitarbeiter vorgelegen, noch sei eine entsprechende gesetzliche Erlaubnis ersichtlich gewesen. Auch die Regelungen des Bundesdatenschutzgesetzes seien nach Maßgabe des Europäischen Gerichtshofs nicht ohne Weiteres anwendbar, wenn sie keine spezifischen Schutzmechanismen enthielten.
Ausschluss wegen grober Pflichtverletzung gerechtfertigt
Das LAG betonte, dass die Weiterleitung der Daten auch nicht erforderlich gewesen sei. Der Arbeitgeber habe dem Betriebsrat bereits technische Ausstattung zur Verfügung gestellt. Für etwaige Ergänzungen, etwa die Nutzung eines größeren Bildschirms, hätte der Vorsitzende die IT-Abteilung einbinden können. Es sei nicht notwendig gewesen, die Daten auf privaten Geräten zu verarbeiten. Auch das Argument der Eilbedürftigkeit ließ das LAG nicht gelten. Die Verhandlungen zur neuen Betriebsvereinbarung hätten sich ohnehin über Monate hingezogen und seien keineswegs so dringend gewesen, wie vom Betriebsratsvorsitzenden behauptet.
Besonders ins Gewicht fiel aus Sicht des Gerichts, dass der Betriebsratsvorsitzende bereits zuvor abgemahnt worden war, weil er dienstliche E-Mails an sein privates Postfach weitergeleitet hatte. Ihm sei daher bewusst gewesen, dass der Arbeitgeber ein solches Verhalten als Datenschutzverstoß werte. Dennoch habe er erneut personenbezogene Daten auf diesem Weg verarbeitet und zwar in besonders sensibler Form.
Das LAG sah darin eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung. Es sei allgemein bekannt, dass Gehaltsdaten zu den besonders schützenswerten Informationen gehörten. Diese müssten mit größter Sorgfalt behandelt werden. Dass der Betriebsratsvorsitzende dennoch in dieser Weise gehandelt habe, zeige aus Sicht des LAG eine „bewusste Umgehung“ seiner datenschutzrechtlichen Verpflichtungen.
Die Sicherheitsmaßnahmen auf dem privaten Rechner des Vorsitzenden änderten daran nichts. Das LAG verwies auf die generellen Risiken, die mit der Nutzung privater Endgeräte im Zusammenhang mit sensiblen Daten einhergehen. Eine absolute Datensicherheit sei dort nicht zu gewährleisten. Gerade aus diesem Grund müssten Betriebsräte ihre Tätigkeit ausschließlich über die vom Arbeitgeber bereitgestellten Systeme abwickeln.
Auch dass der Betriebsratsvorsitzende sich auf altruistische Motive berief, sah das Gericht nicht als entlastend an. Entscheidend sei allein, dass die Datenverarbeitung ohne Rechtsgrundlage erfolgte und ein erhebliches Risiko für die Rechte der betroffenen Mitarbeiter darstellte. Der Schutz personenbezogener Daten sei zentraler Bestandteil des Betriebsverfassungsgesetzes und der DSGVO. Wer hier bewusst Grenzen überschreite, müsse mit Konsequenzen rechnen.
Mit dem Beschluss hat das LAG klargestellt, dass Datenschutzverstöße durch Betriebsratsmitglieder nicht toleriert werden. Wer wiederholt und ohne rechtliche Grundlage personenbezogene Daten verarbeitet, kann seine Funktion im Betriebsrat verlieren. Das Gericht ließ ausdrücklich die Rechtsbeschwerde zu. Damit könnte sich auch das Bundesarbeitsgericht demnächst mit der Entscheidung befassen.
