Das Landesarbeitsgericht (LAG) Hessen hat mit Beschluss vom 10. März 2025 (Az.: 16 TaBV 109/24, BeckRS 2025, 8248) entschieden, dass ein schwerwiegender Verstoß eines Betriebsratsmitglieds gegen datenschutzrechtliche Pflichten einen Ausschluss aus dem Betriebsrat gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) rechtfertigen kann.
Im zugrunde liegenden Fall nahm das LAG Hessen an, dass das betroffene Mitglied sowohl gegen die Vorgaben des § 79a BetrVG sowie gegen die einschlägigen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) verstoßen hat.
I. Der Sachverhalt
Der Fall betrifft einen Klinikträger mit rund 390 Beschäftigten und einem aus neun Personen bestehenden Betriebsrat. Im Herbst 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Postfach des Betriebsratsvorsitzenden eine automatische Weiterleitungsregel eingerichtet worden war, durch die sämtliche eingehenden Nachrichten an dessen private E-Mail-Adresse übermittelt wurden. Von der Weiterleitung betroffen waren unter anderem eine Excel-Datei, die sensible personenbezogene Daten sämtlicher Beschäftigter enthielt – darunter Name, Funktion, tarifliche Eingruppierung, Gehaltsstufen, Zeitansätze sowie konzerninterne Vergleichswerte. Die Datei war zunächst vom Vorsitzenden selbst an seine private Adresse versendet, dort bearbeitet und anschließend wieder an den Betriebsrat zurückgeleitet worden. Trotz einer ausgesprochenen Abmahnung unterließ es der Vorsitzende, diese Weiterleitung zu deaktivieren.
Der Arbeitgeber beantragte daraufhin gemäß § 23 Abs. 1 BetrVG den Ausschluss des Vorsitzenden aus dem Betriebsrat vor dem Arbeitsgericht Wiesbaden. Zur Begründung führte er grobe Pflichtverletzungen an, insbesondere der datenschutzrechtlichen Vorgaben, die auch für Betriebsratsmitglieder gelten. Der Betriebsrat sowie dessen Vorsitzender argumentierten, die Weiterleitung sei ausschließlich aus praktischen Gründen erfolgt, um die Datei auf einem größeren Bildschirm bearbeiten zu können; sämtliche Daten seien nach Abschluss der Bearbeitung gelöscht worden.
Das Arbeitsgericht Wiesbaden entsprach dem Antrag des Arbeitgebers mit Beschluss vom 23. Mai 2024 und stellte fest, dass das Verhalten des Vorsitzenden eine schwerwiegende Pflichtverletzung darstelle, die den Ausschluss aus dem Gremium rechtfertige. Gegen diese Entscheidung legten sowohl der Betriebsrat als auch dessen Vorsitzender Beschwerde beim LAG Hessen ein.
II. Die Entscheidung des LAG Hessen
Das LAG Hessen hat in seiner Entscheidung die datenschutzrechtliche Verantwortung des Betriebsrats erneut bestätigt. Es stellte klar, dass der Betriebsrat gemäß § 79a BetrVG bei der Verarbeitung personenbezogener Daten uneingeschränkt den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) unterliegt. Die Weiterleitung sensibler Beschäftigtendaten – insbesondere vollständiger Entgeltinformationen – an eine private E-Mail-Adresse wurde vom Gericht als Datenverarbeitung im Sinne von Art. Nr. 2 DSGVO qualifiziert. Für diese Datenübermittlung sowie für die anschließende Bearbeitung außerhalb der gesicherten Infrastruktur des Arbeitgebers fehlte es sowohl an einer Einwilligung der betroffenen Personen als auch an einer anderweitigen Rechtsgrundlage. Insbesondere war die Verarbeitung nicht erforderlich im Sinne von § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 DSGVO, da eine Bearbeitung der Daten auf den vom Arbeitgeber bereitgestellten dienstlichen Geräten ohne Weiteres möglich gewesen wäre. Das Verhalten des Betriebsratsvorsitzenden wurde als objektiv gravierende Pflichtverletzung im Sinne von § 23 Abs. 1 BetrVG gewertet. Ausschlaggebend war neben der Sensibilität der übermittelten Daten auch die Tatsache, dass der Vorsitzende bereits zuvor wegen eines datenschutzrechtlichen Verstoßes abgemahnt worden war. Die vom Vorsitzenden behaupteten technischen Schutzmaßnahmen auf seinem privaten Endgerät genügten nach Auffassung des Gerichts nicht den Anforderungen der DSGVO (Art. 24 und 32 DSGVO). Weder eine behauptete Dringlichkeit der Bearbeitung noch technische Notwendigkeiten konnten das Vorgehen rechtfertigen.
Das LAG Hessen bestätigte daher den Ausschluss des Betriebsratsvorsitzenden aus dem Gremium gemäß § 23 Abs. 1 BetrVG und betonte die Eigenverantwortung des Betriebsrats für die Einhaltung datenschutzrechtlicher Vorgaben.
III. Fazit und Ausblick
Die Entscheidung reiht sich in eine zunehmend strengere arbeitsgerichtliche Bewertung datenschutzrechtlicher Verstöße durch Betriebsratsmitglieder ein. Sie verdeutlicht, dass Betriebsratsmitglieder bei der Verarbeitung personenbezogener Daten denselben datenschutzrechtlichen Maßstäben unterliegen wie der Arbeitgeber selbst. Sie stärkt die Position der Arbeitgeber, datenschutzrechtliche Verstöße innerhalb des Betriebsrats konsequent zu sanktionieren, und setzt ein deutliches Signal für die Einhaltung datenschutzrechtlicher Standards im Rahmen der Betriebsratsarbeit. Verstöße können gravierende arbeitsrechtliche Konsequenzen bis hin zum Ausschluss aus dem Gremium nach sich ziehen.
Betriebsräten ist daher dringend zu empfehlen, sich regelmäßig über ihre datenschutzrechtlichen Pflichten fortzubilden.
Unternehmen sollten bei Datenschutzverstößen durch Betriebsratsmitglieder konsequent reagieren und – sofern erforderlich – rechtliche Schritte einleiten, um ihrer eigenen datenschutzrechtlichen Verantwortung nachzukommen. Der Arbeitgeber bleibt in der Regel nach der DSGVO Letztverantwortlicher für die Einhaltung des Datenschutzes im Unternehmen. Auch wenn der Betriebsrat bei der Verarbeitung personenbezogener Daten eigenständig agiert, trägt der Arbeitgeber im Außenverhältnis nach einem Datenschutzverstoß in der Regel das Risiko von Bußgeldern nach Art. 83 DSGVO oder Schadensersatzansprüchen nach Art. 82 DSGVO. Um Risiken zu minimieren, sollten Unternehmen ihre Compliance-Strukturen regelmäßig überprüfen und anpassen.
(Gastautorin: Alisa Schöneberg, Rechtsanwältin bei Luther Rechtsanwaltsgesellschaft mbH)
Bildquellen
- Tastatur Schloss: Foto von Sasun Bughdaryan auf Unsplash