Ein Betriebsratsmitglied kann aus dem Gremium ausgeschlossen werden, wenn es dienstliche E-Mails mit sensiblen personenbezogenen Daten an seinen privaten E-Mail-Account weiterleitet. Dies hat das Hessische Landesarbeitsgericht in einem Beschluss vom 10.03.2025 (16 TaBV 109/24) festgestellt.

Der Sachverhalt

Antragstellerin in dem Verfahren war eine Klinik mit ca. 390 Mitarbeitenden. Dort ist ein 9- köpfiger Betriebsrat gebildet. Der Betriebsrat und dessen Vorsitzender waren Antragsgegner in dem Beschlussverfahren. Der Betriebsratsvorsitzende hatte eine automatische Weiterleitung aller dienstlichen und sein Betriebsratsamt betreffenden E-Mails eine seine private GMX-Adresse eingerichtet. Dies stellte die Klinik im September 2023 fest. Dafür wurde der Betriebsratsvorsitzende abgemahnt. Nach der Abmahnung richtete dieser eine neue private E-Mailadresse ein. Am 26.10.2023 bemerkte die Klinik, dass der Betriebsratsvorsitzende unter anderem Termine an diese neue private E-Mail-Adresse weitergeleitet hatte. Am 07.11.2023 und am Tag danach schickte der Betriebsratsvorsitzende vor einer Betriebsratssitzung eine Excel-Datei mit vollständigen Mitarbeiterdaten und Vergütungsinformationen an seinen privaten E-Mail-Account, um sie zu Hause zu bearbeiten. Bei einer Sichtung des Exchange Gateways am 12.12.2023 wurde der Versand der Personalliste von der privaten E-Mailadresse des Betriebsratsvorsitzenden ebenfalls festgestellt. Am 13.12.2023 wurde dazu ein Personalgespräch geführt. Am 21.12.2023 beantragte die Klinik den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsratsgremium. Das Arbeitsgericht Wiesbaden (Beschluss vom 23.05.2024 – 1 BV 7/23) gab dem Antrag statt.

Die Beschwerden des Betriebsrats und des Betriebsratsvorsitzenden blieben vor dem Hessischen Landesarbeitsgericht erfolglos und bestätigte damit den Ausschluss aus dem Betriebsrat.

Die Entscheidung

Nach § 23 Abs. 1 BetrVG kann ein Arbeitgeber beim Arbeitsgericht den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflicht beantragen. Das LAG verweist insoweit auf § 79a S. 1 BetrVG zur Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogenen Daten. Das Gericht stellte dabei klar, dass der Betriebsrat nach § 79a BetrVG i.V.m. Art. 24, 32 DSGVO eigenverantwortlich für den Datenschutz zuständig ist, wenn er personenbezogene Daten verarbeitet. Der Betriebsratsvorsitzende habe im vorliegenden Fall durch die Weiterleitung der Liste und Bearbeitung auf seinem häuslichen Computer personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO verarbeitet. Das Weiterleiten und das Bearbeiten der dienstlich überlassenen Daten auf privaten Geräten stellten eine erhebliche Gefährdung der Daten dar, insbesondere bei sensiblen Informationen wie Sozialdaten und Gehältern. Die Datenverarbeitung erweise sich als rechtswidrig, da es für den Betriebsratsvorsitzenden an einer Grundlage für die Datenverarbeitung fehle. Auch sei die Weiterleitung an einen privaten Account nicht erforderlich gewesen. Das Verhalten des Betriebsratsvorsitzenden stelle damit eine grobe Verletzung datenschutzrechtlicher Pflichten dar.

Der Betriebsratsvorsitzende habe durch die vorangegangene Abmahnung auch gewusst, dass der Arbeitgeber in seinem Verhalten einen schweren Datenschutzverstoß sehe. Außerdem habe er nach dem ersten Verstoß eine neue E-Mail-Adresse eingerichtet. Er habe arbeitgeberseitige Schutzvorschriften wissentlich umgangen und sich als unbelehrbar gezeigt. 

Auch den Einwand des Betriebsratsvorsitzenden auf eine Eilbedürftigkeit wies das LAG zurück. Der Betriebsratsvorsitzende hätte den Arbeitgeber um geeignete technische Ausstattung bitten müssen. Das Argument des Betriebsratsvorsitzenden er habe für die Arbeit mit den Daten zu Hause nur seinen größeren privaten Bildschirm nutzen wollen, überzeugte das LAG nicht. Vielmehr hätte er den vom Arbeitgeber den Betriebsrats überlassenen Laptop mit nach Hause und dort damit arbeiten können. Einen dafür notfalls erforderlichen Adapter hätte der Arbeitgeber als Sachmittel für die Betriebsratsarbeit zahlen müssen. Die wiederholte Missachtung des Weiterleitungsverbots trotz Abmahnung wertete das LAG als Zeichen von Uneinsichtigkeit.

Bewertung für die Praxis

Die Entscheidung ist noch nicht rechtskräftig. Vielmehr ist Rechtsbeschwerde bei dem BAG (7 ABR 21/25) eingelegt.

Die Entscheidung des Hessischen LAG unterstreicht wie hoch die Anforderungen an den datenschutzkonformen Umgang mit personenbezogenen Daten ist. Dies gilt auch für Betriebsräte, da diese regelmäßig Zugang zu sensiblen Beschäftigtendaten haben. Jedem Betriebsrat muss daher klar sein, dass Datenschutz keine Nebensache ist und auch Betriebsräte haften können. Private Geräte und E-Mail-Konten dürfen nicht zur Verarbeitung sensibler personenbezogener Daten anderer Personen genutzt werden.

Insgesamt bestätigte der Beschluss des Hessischen LAG den Trend der Rechtsprechung auch Betriebsratsmitglieder für eigene Datenschutzverstöße in die Verantwortung zu nehmen.