Ausschluss aus dem Betriebsrat wegen Datenschutzverstoßes
Nach § 23 Abs. 1 BetrVG kann u. a. der Arbeitgeber beim Arbeitsgericht einen Antrag auf Ausschluss eines Mitglieds aus dem Betriebsrat stellen, wenn das Mitglied in grober Weise seine gesetzlichen Pflichten verletzt hat. Darüber, ob dies der Fall war, stritten Arbeitgeber, Betriebsratsgremium und das ausgeschlossene Betriebsratsmitglied vor dem Hessischen LAG (Beschl. v. 10.3.2025 – 16 TaBV 109/24).
Der Antragsteller betreibt eine Klinik und beschäftigt ca. 400 Mitarbeiter. Im September 2023 stellte er fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisch an dessen private „gmx-Adresse“ weitergeleitet werden. Der Arbeitgeber erteilte dem Betriebsratsvorsitzenden daraufhin im September 2023 eine Abmahnung wegen Datenschutzverstoßes. Im Herbst 2023 ergab eine Sichtung des Exchange Gateways unter Beteiligung des Datenschutzbeauftragten, dass der Betriebsratsvorsitzende sich am 7.11.2023 eine E-Mail mit einer vollständigen Personalliste an die private E-Mailadresse weitergeleitet hatte. Diese E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitlicher Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung, Konzern und zu Grundgehalt Konzern. Diese Liste schickte der Betriebsratsvorsitzende mehrfach zwischen seinem dienstlichen Account und dem privaten hin und her. Der Betriebsratsvorsitzende rechtfertigte sein Verhalten damit, dass er die Tabelle zu Hause auf seinem größeren Bildschirm bearbeiten wollte und dass dies der Vorbereitung einer Betriebsvereinbarung über die Vergütungsordnung diente. Sein häuslicher Computer sei passwortgeschützt und es sei das System „Bitdefender Total Security“ dort installiert. Er habe aus altruistischen Motiven gehandelt, da die Vergütungsverhandlungen zwischen Arbeitgeber und Betriebsrat sich hingezogen hätten. Sowohl die erste Instanz als auch das Hessische LAG hielten den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat für begründet. Dieser habe in unverantwortlicher Weise gegen die Einhaltung des Datenschutzes verstoßen. Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass er innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der DSGVO vornehmen muss. Bei der weitergeleiteten Personalliste handelte es sich um personenbezogene Daten besonders sensibler Natur, da es Vergütungsdaten waren. Diese Daten hatte der Vorsitzende sich durch die Weiterleitung auf dem privaten Account gezielt beschafft. Diese Datenverarbeitung war nicht rechtmäßig. Für die Weiterleitung bestand keine Erforderlichkeit. Er hätte mit dem ihm für die Betriebsratstätigkeit vom Arbeitgeber zur Verfügung gestellten Computer arbeiten können. Es gab auch keine sonstige Rechtfertigung, etwa in Form der Einwilligung sämtlicher Beschäftigter. Außerdem habe er gegen den Grundsatz der Datenminimierung verstoßen. Die Pflichtverletzung war auch „grob“ i. S. v. § 23 Abs. 1 BetrVG, denn es handelt sich um eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung, die bei Ausübung des Betriebsratsamtes begangen wurde. Erschwerend kam hinzu, dass er aufgrund der vorangegangenen Abmahnung wusste, dass der Arbeitgeber in der Weiterleitung von E-Mails auf den privaten Account einen schweren Datenschutzverstoß sieht.
Das Gericht ließ wegen grundsätzlicher Bedeutung die Rechtsbeschwerde zu. Sie ist beim BAG unter dem Az. 7 ABR 21/25 anhängig.
