Ausschluss aus Betriebsrat möglich

Der Sachverhalt:

Der Arbeitgeber betreibt eine Klinik und beschäftigt etwa 390 Mitarbeiter. Bei ihm ist ein aus 9 Mitgliedern bestehender Betriebsrat gebildet. Im September 2023 hatte der Arbeitgeber festgestellt, dass im dienstlichen E-Mail Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisiert an dessen (private) GMX-Adresse weitergeleitet wurden. Der Arbeitgeber sah darin einen Datenschutzverstoß und erteilte dem Betriebsratsvorsitzenden eine Abmahnung.

Vollständige Personallisten

Der Betriebsratsvorsitzende richtete daraufhin eine neue private E‑Mail-Adresse ein und leitete an diese eine Excel-Datei mit vollständiger Personalliste mit Klarnamen sämtlicher Mitarbeiter und allen relevanten Vergütungsangaben weiter. Die Datei bearbeitete er vollständig auf seinen privaten Speichermedien und sandte sie dann wieder an sein E‑Mail-Account als Betriebsrat.

Der Arbeitgeber sah darin eine grobe Verletzung der datenschutzrechtlichen Pflichten eines Betriebsrats und beantragte beim Arbeitsgericht den Ausschluss des Vorsitzenden aus dem Gremium. Der Betriebsratsvorsitzende und der Betriebsrat haben behauptet, der Betriebsratsvorsitzende habe die E-Mail nur deshalb an seinen privaten E-Mail Account geschickt, um eine zeitnahe Bearbeitung der Excel-Tabelle zu Hause auf seinem größeren Bildschirm zu ermöglichen. Danach habe er die Daten auf seinen privaten Speichermedien vollständig gelöscht.

Beide Instanzen haben dem Arbeitgeber recht gegeben. Allerdings wurde die Rechtsbeschwerde zum BAG wird zugelassen.

Das Gericht:

Nach § 23 Abs. 1 S. 1 BetrVG kann u.a. der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gem. § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass er innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit i.S.d. Art. 24, 32 DSGVO vorzunehmen hat. Der Betriebsrat hat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (BAG 9.5.2023 -1 ABR 14/22). Je nach Schwere kann ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gem. § 23 Abs. 1 BetrVG begründen.

Grobe Pflichtverletzung

Der Betriebsratsvorsitzende hatte im vorliegenden Fall durch die Weiterleitung der Liste und Bearbeitung auf seinem häuslichen Computer personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO verarbeitet, Art. 4 Nr. 2 DSGVO. Das Verhalten stellte eine grobe Verletzung datenschutzrechtlicher Pflichten (§ 79a BetrVG) dar, denn die Datenverarbeitung auf dem privaten Rechner war – auch unter Berücksichtigung der vorgebrachten Rechtfertigungsgründe (Eilbedürftigkeit der Bearbeitung) nicht erforderlich gewesen. Der Betriebsratsvorsitzende hätte sich vielmehr an den Arbeitgeber wenden und eine bessere technische Ausstattung beantragen müssen.

Gefährdung persönlicher Daten

Der Betriebsratsvorsitzende hatte durch die Verarbeitung auf den privaten Speichermedien eine erhebliche Gefährdung der persönlichen Daten in Kauf genommen. Wegen der detaillierten Vergütungsdaten in der Datei war der Verstoß auch als grob i.S.d. § 23 BetrVG zu werten, denn er hätte erkennen können, dass der Umgang hier allergrößte Sensibilität erforderte. Aufgrund des erkennbaren Verhaltens im Einzelfall – Einrichtung und Nutzung einer neuen privaten E‑Mail-Adresse trotz vorheriger Abmahnung – war der Betriebsratsvorsitzende zudem als unbelehrbar zu bezeichnen. Dies vertiefte zudem die Schwere des Verstoßes. (Hessisches LAG 10.3.2025 – 16 TaBV 109/24)

Tags: , , , , , , , , , ,