Ausschluss aus dem Betriebsrat wegen groben Verstoßes gegen datenschutzrechtliche Pflichten

Die Beteiligten streiten über den Ausschluss des BR-Vorsitzenden aus dem Betriebsrat. Der ArbG betreibt eine Klinik mit etwa 390 ArbN. Dort ist ein aus 9 Köpfen bestehender Betriebsrat gebildet.

Im September 2023 stellte der ArbG fest, dass der dienstliche E-Mail-Account des BR-Vorsitzenden so eingerichtet war, dass alle eingehenden E-Mails automatisiert an dessen private GMX-Adresse weitergeleitet wurden. Der ArbG sah hierin einen Datenschutzverstoß und mahnte den BR-Vorsitzenden ab. Einen Monat später stellte der ArbG fest, dass der BR-Vorsitzende unter anderem Termine an eine neue private E-Mail-Adresse weitergeleitet hat. Anfang November 2023 versandte er von seinem privaten E-Mail-Account eine vollständige Personalliste an seinen dienstlichen E-Mail-Account und nebst Anlagen (nochmals) an die E-Mail-Adresse des Betriebsrats. Er hatte sich die Datei zuvor von seinem dienstlichen E-Mail-Account an seine private E-Mail-Adresse geschickt und sie zu Hause bearbeitet. Einen Tag später leitete er die Liste nochmals von seinem privaten E-Mail-Account an die E-Mail-Adresse des Betriebsrats sowie an seine dienstliche E-Mail-Adresse weiter.

Mitte Dezember fand eine Sichtung unter Beteiligung des Datenschutzbeauftragten statt. Hier wurden E-Mails im Zeitraum ab 1.9.23 gesichtet, die die privaten E-Mail-Accounts des BR-Vorsitzenden betrafen. Dabei wurde dieser Sachverhalt dem ArbG bekannt. Die fragliche E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitlicher Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern. Diese Daten musste der BR-Vorsitzende vorher von seinem dienstlichen E-Mail-Account an seine private E-Mail-Adresse verschickt haben. Diese E-Mail löschte er auch aus dem elektronischen Papierkorb. Nach einem Gespräch zwischen dem Geschäftsführer und dem BR-Vorsitzenden, beantragte der ArbG vor dem Arbeitsgericht den Ausschluss des BR-Vorsitzenden aus dem Betriebsrat.

Das Arbeitsgericht Wiesbaden (23.5.24, 1 BV 7/23) gab dem Antrag des ArbG statt.

Das Hessische LAG (10.3.25, 16 TaBV 109/24, Abruf-Nr. 250278) wies die Beschwerden des BR-Vorsitzenden und des BR zurück. Nach § 23 Abs. 1 S. 1 BetrVG könne unter anderem der ArbG den Ausschluss eines Mitglieds aus dem BR wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG habe der BR bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeute, dass der BR innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO vorzunehmen habe. Der BR habe bei jeder Datenverarbeitung die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten.

Die vom BR-Vorsitzenden per E-Mail an seine private Adresse weitergeleitete Liste mit den Namen aller Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitlicher Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern enthalte „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO. Diese Daten habe der BR-Vorsitzende verarbeitet, Art. 4 Nr. 2 DSGVO. Hierbei handele es sich um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Das Erheben und das Erfassen von personenbezogenen Daten bezeichne einen Vorgang, durch den solche Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen würden. Durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail-Account habe der BR-Vorsitzende diese sich gezielt beschafft und damit „erhoben“ im Sinne von Art. 4 Nr. 2 DSGVO.

Falls § 26 Abs. 1 BDSG unionsrechtlich noch anwendbar sei, ergebe sich, dass personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich sei.

Es war nicht erforderlich, die personenbezogenen Daten aller ArbN an den privaten E-Mail-Account des BR-Vorsitzenden weiterzuleiten. Er hätte die Daten der ArbN an dem ihm für die Betriebsratstätigkeit vom ArbG gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer verarbeiten können. Erforderlichenfalls hätte er einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsrats-Laptops an seinen privaten, größeren Bildschirm anfordern müssen. Auch eine Einwilligung der Beschäftigten im Sinne von § 26 Abs. 2 BDSG zur Erhebung von deren persönlichen Daten auf dem privaten Endgerät des BR-Vorsitzenden gab es nicht. Es lag vielmehr auch ein Verstoß gegen die Grundsätze der Datenminimierung nach Art. 5 Abs. 1c DSGVO und gegen Art. 6 Abs. 1 DSGVO vor.