Das Hessische Landesarbeitsgericht hat mit Beschluss vom 10. März 2025 (Az. 16 TaBV 109/24) entschieden, dass ein grober Verstoß gegen Datenschutzpflichten den Ausschluss eines Betriebsratsmitglieds aus dem Gremium rechtfertigen kann. Der Betriebsratsvorsitzende hatte hochsensible Personaldaten an seine private E-Mail-Adresse weitergeleitet – ein klarer Verstoß gegen die DSGVO und das BetrVG.
Der Fall: Personalliste mit Gehaltsdaten an privaten Account geschickt
Der Vorsitzende des Betriebsrats einer Klinik mit rund 390 Beschäftigten hatte sich eine vollständige Personalliste mit Namen, Funktionen, Eingruppierungen, Tarifstufen und Vergütungen an seine private E-Mail-Adresse weitergeleitet, um sie zu Hause auf einem größeren Bildschirm zu bearbeiten. Nach der Bearbeitung verschickte er die Datei erneut von seinem privaten Mailkonto – unter anderem zurück an die dienstliche Adresse des Betriebsrats.
Trotz einer vorherigen Abmahnung wegen ähnlichen Verhaltens setzte der Vorsitzende die datenschutzwidrige Praxis fort. Der Arbeitgeber stellte daraufhin einen Antrag auf Ausschluss des Vorsitzenden aus dem Betriebsrat – mit Erfolg.
Gericht: Massive Pflichtverletzung im Sinne von § 23 BetrVG
Das LAG sah in der Weiterleitung und Verarbeitung der sensiblen Daten einen groben Verstoß gegen die gesetzlichen Pflichten des Betriebsratsmitglieds. Insbesondere hob das Gericht hervor:
- Die Datenverarbeitung erfolgte ohne Rechtsgrundlage nach Art. 6 DSGVO.
- Weder lag eine Einwilligung der betroffenen Mitarbeiter vor, noch war die Datenweitergabe an ein privates Endgerät erforderlich im Sinne von Art. 5 und Art. 6 DSGVO.
- Die Weiterleitung der vollständigen Entgeltliste widersprach zudem dem Grundsatz der Datenminimierung.
- Die Maßnahme war auch nicht durch Eilbedürftigkeit gerechtfertigt, zumal technische Alternativen im Betrieb verfügbar gewesen wären (z. B. ein Adapter für einen größeren Monitor).
Das Gericht betonte, dass der Betriebsrat gemäß § 79a BetrVG die datenschutzrechtlichen Vorschriften der DSGVO selbstständig und eigenverantwortlich einzuhalten habe. Auch das Argument, der private Rechner sei durch Passwortschutz und Sicherheitssoftware abgesichert gewesen, ließ das Gericht nicht gelten – es fehle an einer datenschutzrechtlich zulässigen Grundlage für die Datenverarbeitung auf privaten Endgeräten.
Bedeutung für die betriebliche Praxis
Der Beschluss unterstreicht die wachsende Bedeutung des Datenschutzes im Kontext der Betriebsratsarbeit. Betriebsratsmitglieder agieren datenschutzrechtlich wie „eigene Verantwortliche“ und müssen die DSGVO umfassend einhalten – unabhängig davon, ob es sich um ehrenamtliche oder hauptamtliche Tätigkeit handelt.
Besonders bei sensiblen Daten – wie Gehältern, Krankheitszeiten oder Vertragskonditionen – ist höchste Sorgfalt geboten. Verstöße können nicht nur disziplinarische, sondern auch gremienrechtliche Konsequenzen haben – bis hin zum Ausschluss aus dem Betriebsrat.
Sie möchten sicherstellen, dass Ihr Betriebsrat datenschutzkonform handelt oder haben Fragen zur rechtssicheren Verarbeitung sensibler Mitarbeiterdaten? Wir stehen Ihnen sehr gern beratend zur Seite – kompetent, praxisorientiert und DSGVO-sicher.