Mit diesem oben genannten Thema hatte sich das Landesarbeitsgericht (LAG) Frankfurt am Main am 10.03.2025 (Az. 16 TaBV 109/24, siehe hier) auseinanderzusetzen. In Zeiten der Digitalisierung kommt dem Datenschutzrecht im Beschäftigungsverhältnis immer mehr an Bedeutung zu. Dies spiegelt sich auch deutlich in der aktuellen Rechtsprechung wider. Bereits vergangenes Jahr hatte das Oberlandesgericht München (Urteil vom 31.07.2024 – Az. 7 U 351/23, siehe hier) entschieden, dass die Weiterleitung von dienstlichen E-Mails an den privaten E-Mail-Account einen Datenschutzverstoß darstellen und eine fristlose Kündigung rechtfertigen kann. Der Beschluss des Landesarbeitsgerichts zeigt, dass auch der Ausschluss aus dem Betriebsrat eine weitere arbeitsrechtliche Konsequenz sein kann.
Sachverhalt
Der Antragsteller ist ein Klinikbetreiber und hat einen Betriebsrat (Beteiligter zu 3), der aus acht Mitgliedern und einem Vorsitzenden (Beteiligter zu 2) besteht.
Die Beteiligten streiten über den Ausschluss des Vorsitzenden aus dem Betriebsrat. Hintergrund war die Feststellung des Antragstellers, dass der dienstliche E-Mail-Account des Beteiligten zu 2 derart eingestellt war, dass automatisch alle eingehenden E-Mails an dessen private E-Mail-Adresse weitergeleitet wurden. Daraufhin mahnte der Antragsteller den Beteiligten zu 2 ab. Gleichwohl behielt der Beteiligte zu 2 diese automatische Weiterleitung bei. Unter den weitergeleiteten E-Mails befand sich unter anderem eine vollständige Personalliste mit sensiblen Informationen, wie die Namen sämtlicher Mitarbeiter und Mitarbeiterinnen, deren Stellung im Betrieb, die Tarifgruppe, das Grundentgelt, der Tarifeintritt, die Eingruppierung und anderes mehr. Um die Übersendung zu ermöglichen, musste der Beteiligte zu 2 diese Personalliste vorher entweder von seinem dienstlichen E-Mail-Account als Mitarbeiter oder von dem Account des Betriebsrats an seine private E-Mail-Adresse verschickt haben.
Der Antragsteller ist der Ansicht, der Beteiligte zu 2 habe seine gesetzlichen Pflichten grob verletzt, weshalb er vom Betriebsrat ausgeschlossen werden müsse. Der Beteiligte zu 3 habe dieselben gesetzlichen Vorgaben zu beachten wie der Antragsteller.
Im Ergebnis gab das Arbeitsgericht dem Antrag statt und das Landesarbeitsgericht bestätigte diese Entscheidung.
Entscheidung
Das Landesarbeitsgericht stellte einen groben Verstoß gegen gesetzliche Pflichten fest.
Gesetzliche Pflicht
Nach § 79a Satz 1 Betriebsverfassungsgesetz (BetrVG) habe der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Insofern habe der Betriebsrat eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit vorzunehmen. Je nach Schwere könne ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen.
Rechtswidrigkeit der Datenverarbeitung
Die vom Beteiligten zu 2 per E-Mail an seine private Adresse weitergeleitete Liste enthalte personenbezogene Daten, deren Verarbeitung rechtswidrig gewesen sei. Nach § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung, zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Eine solche Erforderlichkeit liege hier nicht vor, da dem Beteiligten zu 2 ein dienstlicher Computer für die Betriebsratstätigkeit zur Verfügung gestanden habe. Es habe keinen Anlass gegeben, die Daten auf ein privates Endgerät per E-Mail weiterzuleiten. Schließlich habe die Möglichkeit bestanden, sich mit der IT-Abteilung in Verbindung zu setzen, um einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsratslaptops an seinen privaten, größeren Bildschirm zu erhalten.
Ferner seien nach Art. 5 Abs. 1 lit. a) Datenschutz-Grundverordnung (DSGVO) die Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise zu verarbeiten. Hier habe es jedoch weder eine Einwilligung nach § 26 Abs. 2 BDSG gegeben noch sei eine andere Rechtsgrundlage vorhanden. Die Datenverarbeitung habe nicht auf nachvollziehbare Weise stattgefunden, da die Verarbeitung heimlich erfolgt sei und die betroffenen Personen nicht informiert worden seien.
Letztlich sei gegen den Grundsatz der Datenminimierung verstoßen worden, da der Beteiligte zu 2 auf dem ihm zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte in Bezug auf ihm vom Antragsteller zur Verfügung gestellten Daten gehabt und keine Veranlassung bestanden habe, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.
Grobe Pflichtverletzung
Letztlich sei die Pflichtverletzung auch grob im Sinne von § 23 Abs. 1 BetrVG gewesen. Der Beteiligte zu 2 habe eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung im Hinblick auf die Einhaltung des Datenschutzes bei Ausübung seines Betriebsratsamts begangen. Der Datenschutzverstoß sei erheblich, da in der weitergeleiteten Personalliste die Vergütung der Mitarbeiter enthalten gewesen sei und entsprechend mit solchen sensiblen Daten hätte umgegangen werden müssen. Der Beteiligte zu 2 war bereits wegen der rechtswidrigen Weiterleitung von E-Mails durch den Antragsteller abgemahnt worden. Dennoch habe der Beteiligte zu 2 weiterhin zunächst erfolglos versucht, die Unterlagen an seinen bisherigen (gmx-)Account weiterzuleiten und, als dies nicht funktionierte, an eine weitere private E-Mail-Adresse. Ein Rechtfertigungsgrund habe nicht bestanden. In diesem Zusammenhang könne der Beteiligte zu 2 nicht vortragen, er habe die Mails weitergeleitet, um die Daten zu Hause an seinem größeren Bildschirm besser bearbeiten zu können.
Handlungsempfehlungen
Datenschutzrechtliche Verantwortlichkeit
Das Urteil des LAG Frankfurt am Main ist zu begrüßen. Sämtliche Arbeitnehmer und Arbeitnehmerinnen sollten die datenschutzrechtlichen Regelungen einhalten. Ist dies nicht der Fall, sollte dem Arbeitgeber die Möglichkeit gegeben werden, arbeitsrechtlich dagegen vorzugehen. Hintergrund ist, dass der Arbeitgeber der datenschutzrechtliche Verantwortliche bleibt. Bei Datenschutzverstößen kann er von der Aufsichtsbehörde zur Zahlung von Geldbußen in Anspruch genommen werden. Insbesondere bei Verstößen gegen die datenschutzrechtlichen Grundsätze (Art. 5 DSGVO) oder bei fehlender Rechtsgrundlage (Art. 6 DSGVO) drohen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens.
Datenschutzrechtliche Maßnahmen
Aus Compliancegesichtspunkten sollten daher von Anfang an klare technische und organisatorische Maßnahmen im Unternehmen ergriffen werden, um die Weiterleitung sensibler Daten an private E-Mail-Postfächer zu verhindern, etwa durch sichere IT-Systeme und das Verbot automatischer Weiterleitungen. Ein umfassendes Datenschutzkonzept sowie regelmäßige Datenschutzschulungen der Mitarbeiter schaffen klare Regeln für den Umgang mit personenbezogenen Daten. Es sollte daran gedacht werden, dem Betriebsrat zur Ausübung seiner Tätigkeit entsprechendes Equipment wie einen eigenen Betriebsratslaptop, einen großen Bildschirm (gegebenenfalls auch für die Arbeit zu Hause) oder entsprechende Adapter zur Verfügung zu stellen. Im Sinne der vertrauensvollen Zusammenarbeit kann zudem angedacht werden, dass die Betriebsparteien gemeinschaftlich die Einhaltung des Datenschutzes bei der Datenverarbeitung durch den Betriebsrat in einer Regelungsabrede festlegen. Dabei sollten der interne beziehungsweise externe Datenschutzbeauftragte hinzugezogen werden.
