Ausschluss aus Betriebsrat wegen Datenschutzverstößen

Darum geht es

Der Betriebsratsvorsitzende einer Klinik (ca. 390 Beschäftigte) hatte eine automatische Weiterleitung aller dienstlichen und sein Betriebsratsamt betreffenden E-Mails an seine private GMX-Adresse eingerichtet. Nach einer Abmahnung richtete er eine neue private E-Mail-Adresse ein.

Er leitete vor einer Betriebsratssitzung eine Excel-Datei mit vollständigen Mitarbeiterdaten und Vergütungsinformationen an seinen privaten E-Mail-Account weiter, um sie zu Hause zu bearbeiten. Die Datei bearbeitete der Vorsitzende auf seinem privaten Laptop und schickte die Bearbeitungen später an seine eigene dienstliche E-Mail-Adresse und die des Betriebsrats zurück.

Das Arbeitsgericht schloss den Vorsitzenden auf Antrag des Arbeitgebers wegen einer groben Verletzung seiner Amtspflichten aus dem Betriebsrat aus (§ 23 Abs. 1 BetrVG).

Das sagt das Gericht

Das Hessische LAG bestätigte den Ausschluss aus dem Betriebsrat. Das Gericht stellte klar, dass der Betriebsrat ist nach § 79a BetrVG i.V.m. Art. 24, 32 DSGVO eigenverantwortlich für den Datenschutz zuständig ist, wenn er personenbezogener Daten verarbeitet.

Der Betriebsratsvorsitzende hatte im vorliegenden Fall durch die Weiterleitung der Liste und Bearbeitung auf seinem häuslichen Computer personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO verarbeitet, Art. 4 Nr. 2 DSGVO. Das Weiterleiten und das Bearbeiten der dienstlich überlassenen Daten auf privaten Geräten stellen eine erhebliche Gefährdung der Daten dar – insbesondere bei sensiblen Informationen wie Sozialdaten und Gehältern.

Das Verhalten stellte eine grobe Verletzung datenschutzrechtlicher Pflichten (§ 79a BetrVG) dar, denn die Datenverarbeitung auf dem privaten Rechner war nicht erforderlich.

Auch bei Eilbedürftigkeit hätte das Betriebsratsmitglied zuerst den Arbeitgeber um geeignete technische Ausstattung bitten müssen. Das Argument des Vorsitzenden, er habe für die Arbeit mit den Daten nur seinen größeren privaten Bildschirm nutzen wollen, verwarf das LAG mit der Begründung, er hätte auch den vom Arbeitgeber dem Betriebsrat überlassenen Laptop mit nach Hause nehmen und dort anschließen können.

Einen dafür ggf. erforderlichen Adapter hätte der Arbeitgeber als Sachmittel für die Betriebsratsarbeit zahlen müssen.  Die wiederholte Missachtung des Weiterleitungsverbots trotz der Abmahnung wertete das LAG als Zeichen von Uneinsichtigkeit gewertet.

Die Entscheidung ist noch nicht rechtskräftig – die Rechtsbeschwerde zum BAG wurde zugelassen.

Hinweis für Betriebsräte

Auch wenn die Entscheidung noch nicht rechtskräftig ist, bestätigt der Beschluss aus Hessen den Trend der Rechtsprechung, auch Betriebsratsmitglieder für eigene Datenschutzverstöße in die Verantwortung zu nehmen.

Jeder Betriebsrat muss daher wissen, dass Datenschutz keine Nebensache ist und auch Betriebsräte für Verstöße haften. Private Geräte und E-Mail-Konten dürfen nicht zur Verarbeitung sensibler personenbezogener Daten anderer Personen genutzt werden. Auch bei technischen Problemen oder Zeitdruck gelten die Datenschutzregeln.

© bund-verlag.de (ck)