Datenschutzverstöße im Betriebsrat: Ausschluss eines Mitglieds wegen grober Pflichtverletzung

Cloud arbeit kreativ mail

Die Einhaltung datenschutzrechtlicher Vorgaben ist nicht nur für Arbeitgeber, sondern auch für Betriebsräte verbindlich. Das Hessische Landesarbeitsgericht hat in einem Beschluss vom 10. März 2025 (16 TaBV 109/24) entschieden, dass ein Betriebsratsmitglied wegen grober Verletzung seiner datenschutzrechtlichen Pflichten aus dem Gremium ausgeschlossen werden kann.

Im konkreten Fall hatte der Betriebsratsvorsitzende personenbezogene Daten von Mitarbeitern an seinen privaten E-Mail-Account weitergeleitet, um sie zu Hause zu bearbeiten. Das Gericht sah darin einen schweren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und das Betriebsverfassungsgesetz (BetrVG), der einen Ausschluss rechtfertige. Die Entscheidung zeigt, wie streng die Anforderungen an den Umgang mit personenbezogenen Daten sind – und dass selbst gut gemeinte Absichten keine Verletzung der Datenschutzregeln entschuldigen.

Weiterleitung sensibler Personaldaten an private E-Mail-Adressen

Der Betriebsratsvorsitzende einer Klinik leitete im November 2023 eine vollständige Personalliste mit sensiblen Daten – darunter Namen, Tarifgruppen, Grundgehälter und Eingruppierungen – von seinem dienstlichen an seinen privaten E-Mail-Account weiter. Begründet wurde dies damit, dass er die Daten zu Hause auf einem größeren Bildschirm bearbeiten wollte, um sie für anstehende Vergütungsverhandlungen mit dem Arbeitgeber aufzubereiten. Der Arbeitgeber sah darin einen schweren Datenschutzverstoß und beantragte den Ausschluss des Betriebsratsvorsitzenden aus dem Gremium nach § 23 Abs. 1 BetrVG.

Das Arbeitsgericht Wiesbaden gab dem Antrag statt. Das Hessische Landesarbeitsgericht bestätigte diese Entscheidung und verwies darauf, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten dieselben Pflichten wie der Arbeitgeber treffe. Die unbefugte Weiterleitung der Daten an private Accounts stelle eine grobe Pflichtverletzung dar, die den Ausschluss rechtfertige.

EUGH zu Datenschutz im Beschäftigungskontext: Datenverarbeitung auf Basis einer Kollektivvereinbarung

Datenschutzpflichten des Betriebsrats

Nach § 79a Satz 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass er eigenverantwortlich für die Umsetzung technischer und organisatorischer Maßnahmen zur Datensicherheit sorgen muss – ähnlich wie der Arbeitgeber selbst. Verstöße gegen diese Pflichten können, je nach Schwere, einen Ausschluss aus dem Betriebsrat nach § 23 Abs. 1 BetrVG begründen.

1. Die Verarbeitung personenbezogener Daten Die weitergeleitete Personalliste enthielt personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, insbesondere Informationen über die Vergütung der Mitarbeiter. Solche Daten unterliegen einem besonderen Schutz, da sie Rückschlüsse auf die persönlichen und finanziellen Verhältnisse der Betroffenen zulassen. Die Weiterleitung an private E-Mail-Accounts stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar, die einer rechtlichen Grundlage bedarf.

2. Fehlende Rechtsgrundlage für die Datenweiterleitung Der Betriebsratsvorsitzende berief sich auf § 26 Abs. 1 BDSG, der die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses erlaubt. Das Gericht wies dies zurück: Die Weiterleitung der Daten an private Accounts war nicht erforderlich, da der Betriebsrat über einen eigenen, vom Arbeitgeber zur Verfügung gestellten Computer verfügte. Zudem fehlte es an einer Einwilligung der Betroffenen oder einer anderen Rechtsgrundlage im Sinne von Art. 6 DSGVO.

Zulässige Offenbarung privater Korrespondenz durch ein Betriebsratsmitglied

Bewertung als grobe Pflichtverletzung

Das Gericht sah in dem Verhalten des Betriebsratsvorsitzenden eine grobe Verletzung seiner datenschutzrechtlichen Pflichten. Besonders schwerwiegend war, dass es sich um hochsensible Vergütungsdaten handelte, deren Schutz höchste Priorität genießt. Zudem hatte der Arbeitgeber den Betriebsratsvorsitzenden bereits zuvor wegen ähnlicher Verstöße abgemahnt – was zeigt, dass dieser sich bewusst über die Datenschutzregeln hinwegsetzte.

1. Keine Entschuldigung durch praktische Erwägungen
Der Betriebsratsvorsitzende argumentierte, die Datenweiterleitung sei notwendig gewesen, um die Vergütungsverhandlungen zeitnah vorbereiten zu können. Das Gericht ließ dies nicht gelten: Es hätte technische Lösungen gegeben, etwa die Nutzung eines Adapters für einen größeren Bildschirm im Betrieb. Zudem sei der Betriebsrat nicht darauf angewiesen, private Geräte zu nutzen, da der Arbeitgeber nach § 40 Abs. 2 BetrVG verpflichtet ist, die notwendige Ausstattung bereitzustellen.

2. Unbelehrbarkeit als erschwerender Umstand
Besonders belastend war, dass der Betriebsratsvorsitzende trotz vorheriger Abmahnung erneut gegen die Datenschutzregeln verstoßen hatte. Dies zeige, so das Gericht, eine bewusste Missachtung der Pflichten – und damit eine grobe Pflichtverletzung, die den Ausschluss aus dem Betriebsrat rechtfertige.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Datenschutz als unverzichtbare Pflicht des Betriebsrats

Man sieht in der Entscheidung des Hessischen Landesarbeitsgerichts sehr schön, wie der Betriebsrat bei der Verarbeitung personenbezogener Daten dieselbe Sorgfalt walten lassen muss wie der Arbeitgeber. Die Weiterleitung von Daten an private Accounts – selbst wenn sie aus praktischen Gründen erfolgt – ist unzulässig und kann schwerwiegende Konsequenzen nach sich ziehen.

Betriebsräte sollten daher stets die vom Arbeitgeber bereitgestellten technischen Mittel nutzen und auf private Lösungen verzichten. Andernfalls riskieren sie nicht nur Abmahnungen, sondern sogar den Ausschluss aus dem Gremium. Die Entscheidung zeigt, dass Datenschutz keine Formalie ist, sondern eine zentrale Pflicht, deren Verletzung ernsthafte Folgen hat.

Ausschluss aus dem Betriebsrat als ultima ratio

Der Ausschluss eines Betriebsratsmitglieds ist ein schwerwiegender Eingriff in die Betriebsverfassung. Das Gericht betonte jedoch, dass bei schweren Datenschutzverstößen – insbesondere wenn sie wiederholt und trotz Abmahnung begangen werden – keine andere Reaktion möglich sei. Der Betriebsrat muss als Gremium vertrauenswürdig bleiben, und ein Mitglied, das bewusst gegen Datenschutzregeln verstößt, untergräbt diese Vertrauensbasis.

1. Keine Alternative zu technischen Lösungen im Betrieb: Das Gericht verwies darauf, dass der Betriebsrat nicht auf private Lösungen ausweichen dürfe, wenn der Arbeitgeber die notwendige Ausstattung bereitstelle. Die Bequemlichkeit des Betriebsratsvorsitzenden, zu Hause an einem größeren Bildschirm zu arbeiten, rechtfertige keine Verletzung des Datenschutzes.

2. Die Bedeutung der Datensicherheit: Selbst wenn der private Computer des Betriebsratsvorsitzenden durch Passwörter und Sicherheitssoftware geschützt war, könne dies das Risiko einer unbefugten Datenweitergabe nicht vollständig ausschließen. Gerade bei sensiblen Personaldaten müsse jeder vermeidbare Risikofaktor vermieden werden.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.