Betriebsräte haben Zugang zu hochsensiblen Mitarbeiterdaten. Gemäß § 79a BetrVG ist das Gremium verpflichtet, die Vorschriften über den Datenschutz (DSGVO) strikt einzuhalten. Werden diese Pflichten grob verletzt, sieht § 23 Abs. 1 BetrVG als schärfste Sanktion den Ausschluss des Mitglieds aus dem Betriebsrat vor.

Der Sachverhalt: Gezielte Umgehung von SicherheitsvorkehrungenEin Betriebsratsvorsitzender leitete eine Excel-Liste mit sensiblen Entgeltdaten sämtlicher 390 Mitarbeiter (Namen, Tarifstufen, Grundgehalt etc.) an sein privates E-Mail-Postfach weiter.

• Besonderheit: Der Arbeitgeber hatte ihn bereits zuvor wegen automatisierter Weiterleitungen abgemahnt.
• Reaktion des Mitglieds: Als der Arbeitgeber technische Sperren einrichtete, versuchte der Vorsitzende die Weiterleitung über wechselnde private Accounts, um die Daten zu Hause auf einem größeren Bildschirm zu bearbeiten.

Die Entscheidung: Grobe Pflichtverletzung bejahtDas Hessische LAG bestätigte in der Beschwerdeinstanz den Ausschluss des Vorsitzenden. Die Begründung stützt sich auf eine Verletzung der DSGVO in Verbindung mit dem Betriebsverfassungsgesetz:

1. Fehlende Erforderlichkeit (§ 26 BDSG / Art. 6 DSGVO): Die Weiterleitung an eine private Adresse war nicht erforderlich. Der Betriebsrat muss die vom Arbeitgeber gestellte IT nutzen. Ein "größerer Bildschirm" zu Hause rechtfertigt nicht den Export von Massendaten in einen privaten, unsicheren Raum.
2. Verstoß gegen die Datenminimierung (Art. 5 DSGVO): Es wurden Daten ohne Notwendigkeit außerhalb des geschützten Dienstnetzwerks verarbeitet.
3. Unbelehrbarkeit als Verschuldensmerkmal: Da das Mitglied trotz vorheriger Abmahnung und technischer Sperren gezielt nach Wegen suchte, die Daten weiterzuleiten, handelte es bewusst und beharrlich.

Rechtliche Einordnung: Der Betriebsrat als Verantwortlicher

Seit der Reform des § 79a BetrVG ist klargestellt, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorgaben der DSGVO eigenverantwortlich umsetzen muss.

• Technische Maßnahmen: Der Betriebsrat muss sicherstellen, dass Unbefugte keinen Zugriff haben. Ein privates E-Mail-Konto (z. B. GMX, Gmail) erfüllt diese Sicherheitsstandards für Personaldaten grundsätzlich nicht.
• Haftungsrisiko: Verstöße führen nicht nur zur Abmahnung im Arbeitsverhältnis, sondern gefährden das Amt. Das Vertrauen in die ordnungsgemäße Amtsführung ist bei einem solch gravierenden Verstoß dauerhaft zerstört.

‍

Praxishinweis für Betriebsräte

Um einen Amtsverlust zu vermeiden, sollten Mitglieder des Betriebsrats folgende Regeln beachten:

• Kein Export: Personenbezogene Daten (Gehaltslisten, Krankheitsdaten, Abmahnungen) dürfen das Dienstnetzwerk oder das Betriebsratsbüro niemals unverschlüsselt oder über private Kanäle verlassen.
• Arbeitsmittel einfordern: Reicht die technische Ausstattung (z. B. Bildschirmgröße) nicht aus, muss der Betriebsrat nach § 40 Abs. 2 BetrVG vom Arbeitgeber angemessene Sachmittel fordern, statt auf private Hardware auszuweichen.
• Schulungen nutzen: Der Datenschutzbeauftragte des Betriebs sollte das Gremium regelmäßig über die Grenzen der Datenverarbeitung informieren.

‍

Quellenangabe

• Rechtsquellen: § 23 Abs. 1 BetrVG (Ausschluss von BR-Mitgliedern); § 79a BetrVG (Datenschutz); Art. 4, 5, 6 DSGVO.
• Beschluss: Hessisches LAG, Beschluss (vorgehend ArbG Wiesbaden, 23.05.2024 – 1 BV 7/23).
• Referenz: Bestätigung der erstinstanzlichen Entscheidung zum Ausschluss wegen grober Amtspflichtverletzung.