LAG Hessen: Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung dienstlicher E-Mails an privaten E-Mail-Account

Nach Feststellung des Arbeitgebers aus September 2023 hatte der Betriebsratsvorsitzende (BR-Vorsitzende) eine automatische Weiterleitung aller eingehenden E-Mails an seine private GMX-Adresse eingerichtet. Der Dienstgeber mahnte ihn für sein Fehlverhalten ab. Der Zugang zu dieser privaten E-Mail wurde im Betrieb technisch gesperrt.

Der BR-Vorsitzende richtete daraufhin eine neue private E-Mail-Adresse ein und leitete an diese für seine BR-Tätigkeit eine Excel-Datei mit vollständiger Personalliste mit Klarnamen sämtlicher Mitarbeitenden und allen relevanten Vergütungsangaben weiter. Die Datei bearbeitete er vollständig auf seinen privaten Speichermedien und sandte sie anschließend an seinen E-Mail-Account als BR.

Im Nachgang erklärt er insbesondere, dass er sehr kurzfristig die Betriebsvereinbarung „Vergütungsordnung“ habe vorbereiten müssen und zu Hause wegen des größeren Bildschirms eine bessere Bearbeitungsmöglichkeit bestanden habe.

Der Arbeitgeber sah darin eine grobe Verletzung der datenschutzrechtlichen Pflichten eines BR und beantragte beim Arbeitsgericht den Ausschluss des Vorsitzenden aus dem BR. Das Arbeitsgericht hat dem Antrag entsprochen.

Das HLAG weist die Beschwerde des BR und des BR-Vorsitzenden zurück. Der Ausschluss aus dem Gremium sei rechtmäßig. Gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) könne der Arbeitgeber den Ausschluss eines Mitglieds aus dem BR wegen grober Verletzung seiner gesetzlichen Pflichten verlangen.

Der BR ist innerhalb seines Zuständigkeitsbereichs zur Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten eigenverantwortlich verpflichtet, § 79a BetrVG. Ein Verstoß gegen die datenschutzrechtlichen Vorgaben kann je nach Schwere einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen

Der BR-Vorsitzende habe durch die Weiterleitung der Datei, die als Personalliste detaillierte Personaldaten enthielt, auf seinem häuslichen Computer personenbezogene Daten verarbeitet. Diese Datenverarbeitung sei rechtswidrig. Dabei lässt das LAG dahinstehen, ob der grundsätzlich einschlägige § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) unionsrechtlich noch anwendbar sei. Sowohl bei zugrunde legen des § 26 Abs. 1 BDSG als auch des Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO) erweise sich diese Verarbeitung als rechtswidrig, da es an einer Erlaubnisgrundlage für die Datenverarbeitung fehle. Auch unter Berücksichtigung der vorgebrachten Rechtfertigungsgründe – (subjektiv empfundene) Eilbedürftigkeit und bessere Bearbeitungsmöglichkeit an einem größeren Bildschirm – sei die Verarbeitung der Daten auf dem privaten Rechner nicht erforderlich.

Der Verstoß sei auch „grob“ im Sinne des § 23 Abs. 1 BetrVG gewesen. Der BR-Vorsitzende hätte sich hinsichtlich einer besseren technischen Ausstattung an den Arbeitgeber wenden müssen. Stattdessen habe er eine erhebliche Gefährdung persönlicher Daten in Kauf genommen und somit eine offensichtlich schwerwiegende Pflichtverletzung bei Ausübung seines Amtes begangen. Der BR-Vorsitzende hätte erkennen können, dass mit dem Umgang dieser Daten allergrößte Sensibilität verbunden sein muss. Durch sein Verhalten in diesem Einzelfall – bei vorheriger Abmahnung und Umgehen der technischen Sperre – habe er sich als unbelehrbar gezeigt. Dies vertiefe die Schwere des Verstoßes.

Gegen die Entscheidung wurde die vom HLAG zugelassene Rechtsbeschwerde zum Bundesarbeitsgericht (BAG), Az. 7 ABR 21/25, eingelegt. Der Beschluss ist daher noch nicht rechtskräftig.

Der Entscheidung ist zuzustimmen. Die gesteigerte Sensibilität für entsprechende Handlungsweisen durch die Rechtsprechung, die das Einhalten datenschutzrechtlicher Standards auch durch Betriebsräte verlangt, ist zu begrüßen. Es bleibt abzuwarten, wie das BAG entscheidet.

Aus der Entscheidung selbst lässt sich sehr gut der Unterscheid erkennen zwischen einem

• Arbeitsvertraglichen Pflichtverstoß mit der Sanktionsmöglichkeit „Kündigung des Arbeitnehmers“ und einem
• Betriebsverfassungsrechtlichen Pflichtverstoß mit der Sanktionsmöglichkeit „Ausschluss aus dem Betriebsrat“.

Letzteres hat der Arbeitgeber beantragt, da der Pflichtverstoß in Ausübung der Amtstätigkeit begangen wurde. Bei der Bewertung des Verstoßes als „grob“ wurde neben dem vorsätzlichen Einrichten eines neuen privaten Accounts die Abmahnung berücksichtigt. Eine – insofern betriebsverfassungsrechtlich wirkende – Abmahnung kann somit sinnvoll sein.

Der Fall besitzt auch für den kirchlichen Dienst hohe Relevanz. § 13c Ziffer 4 der Rahmen-Mitarbeitervertretungsordnung (MAVO) sanktioniert grobe Vernachlässigung oder Verletzung der Befugnisse und Pflichten eines Mitglieds der MAV ebenfalls mit Erlöschen der Mitgliedschaft. Dies kann vom Dienstgeber beim kirchlichen Arbeitsgericht beantragt werden, §§ 2 Abs. 2, 44 Kirchliche Arbeitsgerichtsordnung.

Der datenschutzrechtliche Pflichtenverstoß ergibt sich aus dem insoweit zu Art. 6 Abs. 1 DSGVO gleichlautenden § 6 Abs. 1 Kirchliches Datenschutzgesetz.