Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung personenbezogener Beschäftigtendaten an privates E-Mail-Postfach

LAG Hessen Beschl. v. 10.3.2025 – 16 TaBV 109/24 (Rechtsbeschwerde eingelegt unter dem Az. 7 ABR 21/25)

Mit Beschluss vom 10. März 2025 (Az. 16 TaBV 109/24, n.rkr.) hat das Landesarbeitsgericht (LAG) Hessen entschieden, dass die Weiterleitung personenbezogener Beschäftigtendaten durch ein Betriebsratsmitglied an dessen private E-Mailadresse einen groben Pflichtverstoß nach § 23 Abs. 1 BetrVG darstellt und somit den Ausschluss aus dem Betriebsrat rechtfertigt.

Sachverhalt

Der Fall betrifft einen Klinikbetreiber mit rund 390 Beschäftigten und einem neunköpfigen Betriebsrat.

Im Herbst 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Postfach des Betriebsratsvorsitzenden eine automatische Weiterleitungsregel eingerichtet war, durch die sämtliche eingehenden E-Mails an dessen private E-Mail-Adresse weitergeleitet wurden. Trotz einer Abmahnung durch den Arbeitgeber setzte der Betriebsratsvorsitzende diese Praxis fort. Unter den weitergeleiteten E-Mails befand sich unter anderem eine vollständige Personalliste mit sensiblen Informationen wie die Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitlicher Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern. Der Betriebsratsvorsitzende hatte sich diese Excel-Datei zunächst selbst an seine private E-Mail-Adresse geschickt, sie zu Hause bearbeitet und anschließend wieder an den Betriebsrat weitergeleitet.

Der Arbeitgeber beantragte daraufhin gemäß § 23 Abs. 1 BetrVG den Ausschluss des Betriebsratsvorsitzenden aus dem Gremium, da dieser durch sein Verhalten massiv gegen datenschutzrechtliche Pflichten verstoßen habe. Nach § 23 Abs. 1 BetrVG kann der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen; zu diesen Pflichten gehört auch die Einhaltung der datenschutzrechtlichen Vorschriften. Je nach Schwere des Verstoßes kann dies einen Ausschluss aus dem Betriebsrat begründen. Der Betriebsrat und sein Vorsitzender argumentierten, die private Weiterleitung sei lediglich erfolgt, um die Tabelle zu Hause auf einem größeren Bildschirm effizient bearbeiten zu können. Nach der Bearbeitung seien sämtliche Daten vollständig gelöscht worden.

Das Arbeitsgericht Wiesbaden gab dem Antrag des Arbeitgebers am 23. Mai 2024 statt. Gegen diese Entscheidung legten der Betriebsratsvorsitzende und der Betriebsrat Beschwerde ein.

Entscheidung des LAG Hessen

Das LAG Hessen wies die Beschwerde zurück und bestätigte den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat wegen eines groben datenschutzrechtlichen Pflichtverstoßes nach § 23 Abs. 1 BetrVG.

Zur Begründung führte das Gericht aus, dass die Weiterleitung personenbezogener Daten an das private E-Mail-Postfach des Betriebsratsvorsitzenden rechtswidrig war. Nach § 26 Abs. 1 BDSG dürfen Beschäftigtendaten nur dann verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Eine solche Erforderlichkeit lag hier nicht vor, da dem Betriebsratsvorsitzenden ein dienstlicher Computer für die Betriebsratstätigkeit zur Verfügung stand. Auch die Erlaubnistatbestände des Art. 6 Abs. 1 lit. a bis f DSGVO sah das LAG Hessen als nicht erfüllt an, ohne dies ausführlich zu begründen. 

Zudem wurde ein Verstoß gegen das Transparenzgebot festgestellt: Die betroffenen Beschäftigten wurden nicht darüber informiert, dass ihre sensiblen Daten an ein privates E-Mail-Postfach weitergeleitet und dort verarbeitet wurden. Auch gegen den Grundsatz der Datenminimierung wurde verstoßen, da es keine Notwendigkeit gab, die Daten außerhalb der geschützten dienstlichen Infrastruktur zu verarbeiten.

Diese datenschutzrechtliche Pflichtverletzung stufte das LAG Hessen auch als „grob“ im Sinne des § 23 Abs. 1 BetrVG ein. Besonders schwer wog dabei, dass es sich um die Weiterleitung von Informationen zur Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass der Umgang mit diesen Daten allergrößte Sensibilität erfordert, war für den Betriebsratsvorsitzenden ohne weiteres erkennbar. Außerdem verstieß der Betriebsratsvorsitzende trotz vorangegangener Abmahnung weiterhin gegen die datenschutzrechtlichen Vorgaben. Das Gericht warf ihm vor, „unbelehrbar“ zu sein und bewusst gegen die Vorgaben gehandelt zu haben, die der Arbeitgeber zum Schutz der Beschäftigtendaten erlassen hatte.

Das Argument des Betriebsratsvorsitzenden, sein privater PC sei durch ein Passwort sowie durch ein Sicherheitsprogramm („Bitfender Total Security“) geschützt gewesen, ließ das Gericht nicht gelten. Eine absolute Datensicherheit lasse sich auch durch solche Maßnahmen nicht gewährleisten. Gerade deshalb seien die Regelungen der DSGVO strikt zu beachten, um vermeidbare Risiken auszuschließen.

Auch die vom Betriebsratsvorsitzenden angeführte Eilbedürftigkeit der Vorbereitung einer Betriebsvereinbarung rechtfertigte den Datenschutzverstoß nach Ansicht des Gerichts nicht.

Die Rechtsbeschwerde zum Bundesarbeitsgericht wurde wegen grundsätzlicher Bedeutung zugelassen und ist unter dem Aktenzeichen 7 ABR 21/25 bereits anhängig.

Fazit

Die Entscheidung des LAG Hessen unterstreicht einmal mehr, wie hoch die Anforderungen an den datenschutzkonformen Umgang mit personenbezogenen Daten sind. Betriebsräte haben regelmäßig Zugang zu hochsensiblen Beschäftigtendaten, etwa im Rahmen von Vergütungsverhandlungen, Versetzungen, Eingruppierungen oder bei Sozialplänen. Mit dieser Verantwortung geht eine besondere Pflicht zur Vertraulichkeit und Datensicherheit einher (vgl. § 79a S. 1 BetrVG). Die Weiterleitung solcher Daten an private E-Mail-Postfächer stellt ein hohes datenschutzrechtliches Risiko dar und kann einen groben Pflichtverstoß im Sinne des § 23 Abs. 1 BetrVG begründen. 

Die Entscheidung des LAG Hessen kommt nicht überraschend: Das OLG München hat in einem ähnlichen Fall entschieden, dass Vorstandsmitglieder einer AG, die sensible Unternehmensdaten oder personenbezogene Informationen aus dienstlichen E-Mails an ihr privates E-Mail-Postfach weiterleiten, damit unter Umständen einen „wichtigen Grund“ im Sinne von § 626 BGB für eine außerordentliche Kündigung liefern (OLG München, Urt. v. 31.07.2024 – 7 U 351/23). In dem dem Urteil des OLG München zugrundeliegenden Fall hatte ein Vorstandsmitglied einer AG mehrere E-Mails mit internen Geschäfts- und Personaldaten an sein privates E-Mail-Postfach weitergeleitet, um nach eigenen Angaben „effizienter von zu Hause arbeiten zu können“. Das Gericht wies darauf hin, dass das Vertrauen in die Integrität und Vertraulichkeit beim Umgang mit schützenswerten Daten entscheidend sei. Selbst wenn keine Weitergabe an Dritte erfolgt, reiche bereits die potenzielle Gefährdung des Datenschutzes für eine Kündigung aus.

Die Rechtsprechung beider Gerichte zeigt, dass Datenschutzverstöße gravierende arbeits- und betriebsverfassungsrechtliche Konsequenzen haben können. 

Handlungsempfehlungen

Unternehmen sind im Hinblick einer sie selbst treffenden Haftung als datenschutzrechtlich Verantwortliche gut beraten, es gar nicht erst zu solchen Pflichtverletzungen kommen zu lassen. Unternehmen sollten klare technische und organisatorische Maßnahmen ergreifen, um die Weiterleitung sensibler Daten an private E-Mail-Postfächer zu verhindern, etwa durch sichere IT-Systeme für den Betriebsrat und die restriktive Handhabung automatischer Weiterleitungen. Regelmäßige Schulungen stärken das Bewusstsein und schaffen klare Regeln für den Umgang mit personenbezogenen Daten. Im Sinne der vertrauensvollen Zusammenarbeit sollten die Betriebsparteien gemeinschaftlich die Einhaltung des Datenschutzes bei der Datenverarbeitung durch den Betriebsrat in einer Regelungsabrede regeln. Zudem sollten Datenschutzverstöße konsequent geahndet und eng mit dem betrieblichen Datenschutzbeauftragten abgestimmt werden. Besonders wichtig ist es, Betriebsräten geeignete Arbeitsmittel bereitzustellen, damit sie ihre Aufgaben datenschutzkonform erfüllen können.