Ausschluss eines Betriebsratsmitglieds aus dem Betriebsrat wegen eines groben Verstoßes gegen seine datenschutzrechtlichen Verpflichtungen
Sachverhalt:
Zwei Parteien streiten über den Ausschluss eines Beteiligten aus dem Betriebsrat.
Im September 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisiert an dessen (private) GMX-Adresse weitergeleitet werden. Der Arbeitgeber sah hierin einen Datenschutzverstoß und erteilte dem Betriebsratsvorsitzenden eine Abmahnung.
Am 26.10.2023 stellte der Arbeitgeber fest, dass der Betriebsratsvorsitzende unter anderem Termine an eine neue private E-Mail-Adresse weitergeleitet hat. Am 07.11.2023 versandte der Betriebsratsvorsitzende von seinem privaten E-Mail-Account eine vollständige Personalliste unter dem Betreff „Vergütungsverhandlungen 2023 – Berechnungen“ an seinen dienstlichen E-Mail-Account. Am gleichen Tag versandte er die E-Mail nebst Anlagen (nochmals) an die E-Mail-Adresse des Betriebsrats. Er hatte sich die Datei zuvor von seinem dienstlichen E-Mail-Account an seine private E-Mail-Adresse verschickt und sie zu Hause bearbeitet. Am 08.11.2023 leitete er die Personalliste nochmals von seinem privaten E-Mail-Account an die E-Mail-Adresse des Betriebsrats sowie an seine dienstliche E-Mail-Adresse weiter.
Am 12.12.2023 fand eine Sichtung des Exchange Gateways unter Beteiligung des Datenschutzbeauftragten statt, anlässlich der E-Mails im Zeitraum ab 01.09.2023 gesichtet wurden, die die privaten E-Mail Accounts des Betriebsratsvorsitzenden betrafen, d. h. eingehende oder ausgehende E-Mails und der Feststellung des Ziel- oder Absender-Accounts, des Datums des E-Mail-Versands, der Dateigröße und der Angabe des Betreffs. Daraus ergibt sich, dass am 07.11.2023 eine E-Mail mit einer vollständigen Personalliste von der privaten E-Mail-Adresse des Betriebsratsvorsitzenden an seinen dienstlichen E-Mail-Account sowie an die E-Mail-Adresse des Betriebsrats versandt wurde. Diese E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern. Damit dies möglich war, musste der Betriebsratsvorsitzende diese Personalliste vorher von seinem dienstlichen E-Mail-Account als Mitarbeiter oder von dem des Betriebsrats an seine private E-Mail-Adresse verschickt haben. Diese E-Mail hat der Betriebsratsvorsitzende (auch aus dem elektronischen Papierkorb) gelöscht.
Mit seiner am 21.12.2023 beim Arbeitsgericht eingegangenen Antragsschrift hat der Arbeitgeber den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat geltend gemacht. Der Arbeitgeber hat die Auffassung vertreten, der Betriebsratsvorsitzende habe durch die Weiterleitung der personenbezogenen Daten an seinen privaten E-Mail-Account seine gesetzlichen Pflichten als Betriebsrat grob verletzt.
Der Betriebsratsvorsitzende und der Betriebsrat haben behauptet, der Betriebsratsvorsitzende habe die E-Mail vom 07.11.2023 nur deshalb an seinen privaten E-Mail-Account geschickt, um eine zeitnahe Bearbeitung der Excel-Tabelle zu Hause auf seinem größeren Bildschirm zu ermöglichen. Nach erfolgter Bearbeitung habe er die Daten vollständig auf seinen privaten Speichermedien gelöscht. Er habe seinen Betriebsratskollegen eine Gegenüberstellung der aktuellen Betriebsvereinbarung „Vergütungsordnung“ und dem Entwurf des Betriebsrats sowie der Konzern- Rahmenvereinbarung für die Betriebsratssitzung zur Verfügung stellen wollen.
Das Arbeitsgericht Wiesbaden hat dem Antrag des Arbeitgebers stattgegeben. Gegen dieses Urteil haben sowohl der Betriebsrat als auch der Betriebsratsvorsitzende Beschwerde eingelegt.
In seiner Beschwerde rügt der Betriebsratsvorsitzende, entgegen der Auffassung des Arbeitsgerichts liege eine grobe Pflichtverletzung im Sinne von § 23 Abs. 1 BetrVG nicht vor. Die Daten aus der E-Mail seien nicht nur im Umfeld des Arbeitgebers umfassend geschützt. Der Betriebsrat sei für die ordnungsgemäße Datenverarbeitung selbst verantwortlich. Der Betriebsratsvorsitzende habe alle ihm zumutbaren Vorkehrungen getroffen, dass kein Dritter Einsicht in die Daten nehmen könne. Sein häuslicher Computer sei Passwort geschützt, alle Updates seien auf dem aktuellen Stand und es sei eine automatische Löschfrist von 14 Tagen eingerichtet. Das System werde durch „Bitfender Total Security“ überwacht. Daher könne ihm keine gravierende Sorglosigkeit vorgeworfen werden. Die Daten seien auch nicht in einen „rechtsfreien Raum“ gelangt. Vielmehr wurden sie über einen dem Datenschutzrecht unterliegenden E-Mail-Anbieter (GMX.net/web.de) versandt. Auch im Bereich des E-Mail-Anbieters seien die Daten geschützt und unbefugten Dritten nicht zugänglich. Es seien auch keine Kopien aus der E-Mail erstellt worden. Es könnten nur arbeitsvertragliche Sanktionen in Betracht kommen, wenn ein Betriebsratsmitglied seine Vertragspflichten verletzt. Demgegenüber könne der Ausschluss aus dem Betriebsrat nur mit der Verletzung einer Amtspflicht begründet werden. Im vorliegenden Fall habe dem Betriebsratsvorsitzenden nicht ausreichend Zeit zur Verfügung gestanden, um im Betrieb die komplexe Prüfung der Excel-Datei vorzunehmen. Ferner sei er zu Hause ungestört gewesen. Beschaffungen (des erforderlichen Anschlusskabels für die Verbindung zwischen dem Laptop des Betriebsrats und seinem privaten Laptop) über die IT-Abteilung im Betrieb des Arbeitgebers seien zeitintensiv. Das private Laptop des Betriebsratsvorsitzenden habe eine Diagonale von 23 Zoll, der Betriebsrats-Laptop 15 Zoll. Letzterer habe keinen HDMI-Ausgang. Hätte der Betriebsratsvorsitzende die entsprechende Auswertung nicht in seinem Urlaub mit seinem privaten Equipment vorgenommen, hätten die Verhandlungen mit dem Arbeitgeber erst ab dem 27.11.2023 fortgesetzt werden können. Bei anderen Mitarbeitern werde es nicht sanktioniert, wenn diese sich Arbeit nach Hause schickten. Die Weiterleitung der E-Mails sei nicht zu missbräuchlichen Zwecken erfolgt. Außer dem Betriebsratsvorsitzenden habe niemand Zugriff auf dessen privates Postfach. Die Weiterleitung weiterer E-Mails (Urlaubsplan 2024 oder Jahresdienstplan 2022) per E-Mail sei nicht unüblich und werde auch von anderen Mitarbeitern so vollzogen. In der Vergangenheit sei die Zustimmung der Kollegen eingeholt worden. Ein Verstoß gegen das BDSG liege nicht vor. Die Verarbeitung der Daten aus der E-Mail vom 07./08.11.2023 sei zur Ausübung des Betriebsratsamts erforderlich gewesen, § 26 Abs. 1 BDSG. Es habe eine besondere Dringlichkeit hinsichtlich der zeitlichen Bearbeitung der Excel-Tabelle bestanden. Sie habe auch nicht die vertrauensvolle Zusammenarbeit beeinträchtigt. Im Übrigen müsste die weitere Amtsausübung untragbar sein. Dies sei nicht der Fall. Der Arbeitgeber könne sich weiter darauf verlassen, dass der Betriebsratsvorsitzende bei der Ausübung seines Amtes die maßgeblichen Bestimmungen zum Datenschutz einhalte. Die Datenschutzschulung im Jahr 2023 habe das Thema „E-Mail-Weiterleitungen“ nicht zum Gegenstand gehabt.
Der Betriebsrat begründet seine Beschwerde wie folgt: Selbst, wenn man in der Weiterleitung vom 07.11.2023 einen Verstoß gegen Datenschutzbestimmungen sehen wollte, der nicht vom Erlaubnistatbestand des § 26 Abs. 1 S. 1 BDSG gedeckt sei, könne hierin keine erhebliche Amtspflichtverletzung gesehen werden. Dem Arbeitgeber sei kein Schaden entstanden. Eine grobe Pflichtverletzung liege nicht vor, weil der Betriebsratsvorsitzende aus altruistischen Motiven gehandelt habe. Ferner sei zu berücksichtigen, dass der Arbeitgeber nach der Abmahnung im Rahmen einer Prüfung am 23.10.2023 feststellte, dass der Betriebsratsvorsitzende von seinem Dienst-Account einzelne E-Mails (ohne personenbezogene Daten) an seine private Mailadresse weitergeleitet hatte. Der Arbeitgeber habe dies ohne Beanstandung hingenommen. Das Arbeitsgericht habe zu Unrecht einen Verstoß gegen § 26 Abs. 1 S. 1 BDSG angenommen. Ohne die Weiterleitung vom 07.11.2023 wäre eine zeitnahe Bearbeitung der Vergütungstabellen nicht möglich gewesen. Jedenfalls liege kein grober Verstoß vor, § 23 Abs. 1 BetrVG. Vielmehr sei der Verstoß als gering zu bewerten, da er subjektiv zum Wohle des Betriebs erfolgt sei.
Der Arbeitgeber ist dagegen der Ansicht, nach § 79a S. 1 BetrVG habe der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Der Betriebsrat müsse in Bezug auf die Personaldaten der Arbeitnehmer, die er nutzt oder verarbeitet, dieselben Vorgaben beachten, wie der Arbeitgeber. Der Betriebsrat habe innerhalb seines Zuständigkeitsbereichs die Datensicherheit (Art. 24, 32 DSGVO) eigenverantwortlich durch technische und organisatorische Maßnahmen sicherzustellen. Der Arbeitgeber bestreitet, dass der Betriebsratsvorsitzende besondere Schutzmaßnahmen vorgenommen habe. Die Vergütungsverhandlungen zwischen Arbeitgeber und Betriebsrat seien nicht eilbedürftig gewesen, sondern hätten sich hingezogen. Die Betriebsvereinbarung sei erst am 24.06.2024 unterschrieben worden. Während seines Urlaubs/Freizeitausgleichs habe sich der Betriebsratsvorsitzende auch im Betriebsratsbüro aufgehalten und sei für den Betriebsrat tätig gewesen. Die vom Betriebsratsvorsitzenden angesprochene sogenannte gemischte Nutzung des privaten Monitors mit dem Betriebsrats-Laptop wäre mit einem Adapter möglich gewesen. Diesen hätte der Betriebsratsvorsitzende bestellen können. In der Regel seien diese Adapter in der IT-Abteilung des Arbeitgebers vorhanden und hätten erfragt werden können, was seitens des Betriebsratsvorsitzenden nicht erfolgt sei. Dass Mitarbeiter Unterlagen mit nach Hause nehmen, sei dem Arbeitgeber nicht bekannt. Der Betriebsratsvorsitzende sei datenschutzrechtlich geschult und wisse, dass er dies nicht tun dürfe.
Auszüge aus dem Urteil des Hessischen Landesarbeitsgerichts:
Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO vorzunehmen hat. Der Betriebsrat hat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten. Je nach Schwere kann ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen.
Die vom Betriebsratsvorsitzenden per E-Mail an seine private Adresse weitergeleitete Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern enthielt „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO. Sie enthält Informationen, die sich auf identifizierbare natürliche Personen beziehen, insbesondere über deren Vergütung. Art. 4 Nr. 1 umfasst ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und ist daher grundsätzlich weit zu verstehen. Unter die Vorschrift fallen sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z. B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z. B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt.
Die betreffenden Informationen beziehen sich auch auf bestimmte natürliche Personen, die namentlich genannt werden.
Diese Daten hat der Betriebsratsvorsitzende verarbeitet, Art. 4 Nr. 2 DSGVO. Hierbei handelt es sich um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Bei der Verarbeitung muss es sich um einen Vorgang oder eine Vorgangsreihe handeln, die „ausgeführt“ werden. Die Verbindung mit dem Verb „ausführen“ macht deutlich, dass es sich bei einem Vorgang in diesem Sinne um ein Geschehen handeln muss, das auf eine menschliche Handlung zurückgeht. (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14). Das Erheben (collection) und das Erfassen (recording) von personenbezogenen Daten bezeichnet einen Vorgang, durch den solche Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen. Erheben und Erfassen sind nicht scharf zu unterscheiden; das Erheben bezieht sich eher auf die gezielte Beschaffung einzelner Daten, während das Erfassen eher auf die kontinuierliche Aufzeichnung eines Datenstroms abstellt (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21, 22). Durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail-Account hat der Betriebsratsvorsitzende diese sich gezielt beschafft und damit „erhoben“ im Sinne von Art. 4 Nr. 2 DSGVO. Dieses „erheben“ kann hier auch mit einer Speicherung verbunden gewesen sein, notwendig ist ein solcher Zusammenhang jedoch nicht.
Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.
Hierbei kann dahinstehen, ob § 26 Abs. 1 BDSG unionsrechtlich noch anwendbar ist. In seiner Entscheidung zu § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) hat der Europäische Gerichtshof entschieden, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass nationale Rechtsvorschriften zur Gewährung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die dort vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt (EuGH 30.03.2023 C-34/21 Rn. 89). Bestimmungen wie § 23 Abs. 1 HDSIG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken in Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 Unterabsatz 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifische Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen, scheiden aus (EuGH, a.a.O., Rn. 81). Entsprechend hat der Europäische Gerichtshof zu § 26 Abs. 4 BDSG hinsichtlich der konzernweiten Weiterleitung personenbezogener Daten der Beschäftigten mittels der cloudbasierten Software „Workday“ entschieden (EuGH 19.12.2024 C-65/23). Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.
Im Falle der Anwendung von § 26 Abs. 1 S. 1 BDSG ergibt sich folgendes: Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Für die Weiterleitung der personenbezogenen Daten sämtlicher Beschäftigter an den privaten E-Mail-Account des Betriebsratsvorsitzenden bestand keine Erforderlichkeit, denn es wäre ihm möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten. Erforderlichenfalls hätte er sich mit der IT-Abteilung des Arbeitgebers ins Benehmen setzen können, um einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsrats-Laptops an seinen privaten, größeren Bildschirm zu erhalten. Für die Verarbeitung der Daten im Sinne einer Weiterleitung derselben auf sein privates Endgerät per E-Mail bestand daher keine Veranlassung.
Auch eine Einwilligung der Beschäftigten im Sinne von § 26 Abs. 2 BDSG zur Erhebung von deren persönlichen Daten auf dem privaten Endgerät des Betriebsratsvorsitzenden lag nicht vor.
Unter Zugrundelegung der unionsrechtlichen Unanwendbarkeit von § 26 Abs. 1 BDSG ergibt sich folgendes: Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). „Auf rechtmäßige Weise“ i. S. v. Art. 5 Abs. 1 Buchst. a bedeutet demnach, dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruht. Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür. Schon gar nicht erfolgte die Verarbeitung der Daten in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. Transparenz ist eine Vorbedingung für informationelle Selbstbestimmung und verlangt die Information der betroffenen Person über (geplante) Verarbeitungen, sodass diese als autonomes Individuum darauf reagieren und insbesondere ihre Betroffenenrechte wahrnehmen kann. Auch eine derartige Information der Beschäftigten ist nicht erfolgt. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail-Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.
Durch die Weiterleitung der personenbezogenen (Entgelt-)Daten sämtlicher Beschäftigter an seine private E-Mail-Adresse hat der Betriebsratsvorsitzende auch gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1c DSGVO verstoßen. Daraus ergibt sich insbesondere, dass die Daten auf das notwendige Maß zu beschränken sind. Dies wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und - wie ausgeführt - keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.
Die Verarbeitung der Daten verstieß auch gegen Art. 6 Abs. 1 DSGVO. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Eine derartige Einwilligung zur Weiterleitung der personenbezogenen Daten der Beschäftigten auf den privaten E-Mail-Account des Betriebsratsvorsitzenden lag nicht vor.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Partei ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Dies war hier nicht der Fall.
c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Dies war hier nicht der Fall. Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.
d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies war hier nicht der Fall.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Dies war hier nicht der Fall. Insbesondere ist darauf hinzuweisen, dass die Betriebsratstätigkeit zwar ein Ehrenamt ist, aber nicht im „öffentlichen“ Interesse liegt. Im Übrigen erforderte hier die Betriebsratstätigkeit gerade nicht die Weiterleitung der Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden.
f) Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Dies war hier nicht der Fall.
Damit steht fest, dass der Betriebsratsvorsitzende mit der Weiterleitung der personenbezogenen (insbesondere Entgelt-) Daten an seinen privaten E-Mail-Account gegen die ihm aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten verstoßen hat.
Die Pflichtverletzung war auch „grob“ im Sinne von § 23 Abs. 1 BetrVG. Der Betriebsratsvorsitzende hat eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung im Hinblick auf die Einhaltung des Datenschutzes bei Ausübung seines Betriebsratsamts begangen. Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass mit dem Umgang solcher Daten allergrößte Sensibilität verbunden sein muss, konnte der Betriebsratsvorsitzende ohne weiteres selbst erkennen. Hinzu kommt, dass ihm bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail-Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. Gleichwohl hat er erneut -diesmal in Bezug auf ihm in seiner Eigenschaft als Betriebsrat zugeleiteter, in höchstem Maße vertraulicher personenbezogener Unterlagen- zunächst erfolglos versucht, diese an seinen bisherigen (gmx-) Account weiterzuleiten und, als dies nicht funktionierte, an weitere private E-Mail-Adressen. Dies zeigt, dass er sich noch nicht einmal von den seitens des Arbeitgebers eingerichteten technischen Möglichkeiten zur Verhinderung eines Wiederholungsfalles abhalten ließ. Der Betriebsratsvorsitzende zeigte sich als unbelehrbar. Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen. Insbesondere entschuldigt ihn nicht, dass er dies getan habe, um die Daten zu Hause an seinem größeren Bildschirm besser bearbeiten zu können. Hierfür hätte es der Übertragung der Daten auf seinen privaten Rechner nicht bedurft. Er hätte vielmehr den Arbeitgeber um einen entsprechenden Adapter seines ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Laptops an seinen privaten Bildschirm bitten können. Im Übrigen hat der Betriebsratsvorsitzende für die Betriebsratstätigkeit nicht seine privaten Arbeitsmittel einzubringen, sondern die ihm vom Arbeitgeber nach § 40 Abs. 2 BetrVG zur Verfügung zu stellende Informations- und Kommunikationstechnik zu nutzen, wozu auch ein größerer Bildschirm gehören kann, soweit dieser zur Wahrnehmung der Betriebsratsaufgaben erforderlich ist. Ob dies hier der Fall war, bedarf keiner abschließenden Beurteilung durch die Kammer, da die Weiterleitung der personenbezogenen Daten an seinen persönlichen E-Mail-Account aus den dargestellten Gründen keinesfalls zu rechtfertigen war. Es entlastet ihn auch nicht, dass sein privater PC passwortgeschützt und auch sonst durch ein System „Bitfender Total Security“ gesichert war. Wie die immer wieder vorkommenden Fälle sog. Hackings zeigen, lässt sich eine absolute Datensicherheit nicht erreichen. Gerade deshalb sind die Vorschriften der DSGVO unbedingt zu beachten und vermeidbare Risiken auszuschließen. Auch die behauptete Eilbedürftigkeit der Angelegenheit (Vorbereitung einer Betriebsvereinbarung) entschuldigt den begangenen Datenschutzverstoß nicht.
Fundstelle: Urteil des Hessischen LAG vom 10.03.2025, Aktenzeichen 16 TaBV 109/24 – abrufbar im Internet beispielsweise unter https://www.rv.hessenrecht.hessen.de/perma?d=LARE250000513
