Betriebsräte haben regelmäßig Zugang zu sensiblen Personaldaten – von Gehaltslisten über Leistungsbeurteilungen bis zu Gesundheitsdaten. Sie unterliegen deshalb einer gesetzlichen Verschwiegenheitspflicht in Bezug auf die personenbezogenen Daten, mit denen sie aufgrund ihrer Amtsstellung in Kontakt kommen.
Häufig verpflichten Arbeitgeber sie zusätzlich schriftlich auf das Datengeheimnis. Letzteres auch deshalb, weil nach dem Willen des Gesetzgebers Arbeitgeber gegenüber der Datenschutzbehörde datenschutzrechtlich verantwortlich bleiben. Doch was geschieht, wenn ein Betriebsratsmitglied sich nicht an die Pflicht zur Vertraulichkeit und zur Einhaltung der Datenschutzvorschriften hält?
Mit dieser Frage hat sich im vergangenen Jahr das Hessische Landesarbeitsgericht befasst (Beschluss vom 10. März 2025, Aktenzeichen 16 TaBV 109/24). Was war passiert? Der Betriebsratsvorsitzende einer Klinik hatte zunächst eine automatische Weiterleitung aller bei ihm eingehenden dienstlichen E-Mails an seine private E-Mail-Adresse eingerichtet. Trotz Abmahnung setzte er dieses Verhalten fort und leitete weiter dienstliche Daten an eine zweite private E-Mail-Adresse weiter, um sie dort zu bearbeiten.
Grobe Pflichtverletzung
Unter den versandten Daten befand sich unter anderem eine Personalliste mit personenbezogenen Daten sämtlicher Mitarbeiter des Betriebs. Der Arbeitgeber hatte nach Bekanntwerden der Vorfälle beim Arbeitsgericht den Ausschluss des Vorsitzenden aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten als Betriebsrat beantragt. Zu Recht, wie das Hessische Landesarbeitsgericht befand.
Die Weiterleitung personenbezogener Daten an einen privaten E-Mail-Account stellte eine grobe Pflichtverletzung dar und rechtfertigte den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat. Der Betriebsrat hat bei der Verarbeitung personenbezogener Daten die geltenden Datenschutzvorschriften einzuhalten. Die Weiterleitung an einen privaten Account verstößt regelmäßig gegen die anwendbaren Datenschutzbestimmungen. Denn eine Einwilligung der betroffenen Beschäftigten zur Weiterleitung ihrer personenbezogenen Daten an die privaten E-Mail-Adressen der Betriebsratsmitglieder liegt in aller Regel nicht vor. Und auch nach den sonstigen datenschutzrechtlichen Maßstäben ist ein Transfer personenbezogener Beschäftigtendaten auf private Geräte nicht erforderlich.
Nicht jeder Verstoß führt zum Ausschluss
Allerdings führt nicht jeder Datenschutzverstoß eines Betriebsratsmitglieds zum Ausschluss. Erforderlich ist eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung, die die weitere Amtsausübung als untragbar erscheinen lässt. Das war hier der Fall, weil das Betriebsratsmitglied unter anderem hochsensible Vergütungsdaten einer Vielzahl Beschäftigter an seine private E-Mail-Adresse weitergeleitet hatte. Zudem hatte der Betriebsratsvorsitzende trotz vorheriger Abmahnung bewusst technische Schutzmechanismen des Arbeitgebers umgangen und das abgemahnte Verhalten fortgesetzt.
Für die Praxis ergeben sich daraus zwei Empfehlungen: Betriebsratsmitglieder sollten personenbezogene Daten ausschließlich auf den vom Arbeitgeber bereitgestellten Geräten verarbeiten. Arbeitgeber wiederum sind gut beraten, dem Betriebsrat eine angemessene technische Ausstattung zur Verfügung zu stellen, um zu verhindern, dass Betriebsratsmitglieder aus praktischen Gründen auf private Endgeräte ausweichen.
Dr. Doris-Maria Schuster ist Partnerin, Amira Klose wissenschaftliche Mitarbeiterin der Kanzlei Gleiss Lutz am Standort Hamburg.
