Das Hessische Landesarbeitsgericht hat ein deutliches Signal in Sachen Datenschutz gesendet. Ein Betriebsratsvorsitzender, der wiederholt sensible Mitarbeiterdaten an seine private E-Mail-Adresse weiterleitete, wurde wegen grober Pflichtverletzung aus dem Gremium ausgeschlossen. Die Entscheidung verdeutlicht, welche hohen Anforderungen an Betriebsräte in datenschutzrechtlicher Hinsicht gestellt werden – auch in Betrieben in Rheinstetten.
Betriebsratsarbeit ist mit großer Verantwortung verbunden. Insbesondere beim Umgang mit personenbezogenen Daten gilt höchste Sorgfaltspflicht. Ein aktueller Fall aus Hessen verdeutlicht, welche juristischen Konsequenzen drohen können, wenn Betriebsräte gegen datenschutzrechtliche Grundsätze verstoßen.
Klinik stellt schwerwiegenden Datenschutzverstoß fest
In der Belegschaft einer Klinik mit rund 390 Mitarbeitern stellte der Arbeitgeber fest, dass der Betriebsratsvorsitzende eine automatische Weiterleitung aller dienstlichen E-Mails an seine private GMX-Adresse eingerichtet hatte. Dies bewertete der Arbeitgeber bereits als Verstoß gegen den Datenschutz. Trotz einer vorherigen Abmahnung schickte der Betriebsratsvorsitzende anschließend erneut Inhalte mit sensiblen personenbezogenen Daten an private E-Mail-Konten.
Ein besonders kritischer Vorfall ereignete sich im November 2023: Eine Excel-Datei mit einer vollständigen Liste sämtlicher Mitarbeiterdaten – inklusive Name, Tätigkeit, Entgelt und Eingruppierung – wurde zunächst vom dienstlichen Account an das private Postfach des Vorsitzenden weitergeleitet. Ziel war offenbar die Bearbeitung der Datei auf dem heimischen Laptop.
Keine Rechenschaft durch technische Schutzmaßnahmen
Der Betriebsratsvorsitzende rechtfertigte sein Verhalten damit, dass er lediglich bessere Arbeitsbedingungen für die Erstellung einer Betriebsvereinbarung zur Vergütung schaffen wollte. Zudem habe er darauf geachtet, dass sein privater Computer mit allen gängigen Schutzmaßnahmen ausgestattet sei – von Passwörtern über aktuelle Virensoftware bis hin zur regelmäßigen Systembereinigung.
Das Landesarbeitsgericht Frankfurt ließ diese Argumente nicht gelten. Aus Sicht des Gerichts reicht solch ein technischer Eigenschutz nicht aus, um die rechtlich gebotene Datensicherheit zu gewährleisten. Entscheidend sei, dass keine rechtliche Grundlage – weder durch Einwilligung der Mitarbeiter noch durch entsprechende gesetzliche Vorschriften – für die Weiterleitung bestanden habe.
Verletzung der Datenschutz-Grundsätze
Nach Auffassung des Gerichts stellte bereits die Weiterleitung der Datei an das private E-Mail-Postfach eine Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. Ohne ausdrückliche Erlaubnis beziehungsweise erforderliche gesetzliche Regelung habe der Betriebsratsvorsitzende damit seine datenschutzrechtlichen Pflichten verletzt.
Dabei betonten die Richter, dass Datenschutzregeln nicht nur für Arbeitgeber gelten, sondern auch für Betriebsratsmitglieder. Besonders sensible Daten – wie z. B. Gehaltsinformationen – dürfen nicht ohne gesicherte Infrastruktur auf private Endgeräte übertragen werden. Dies gelte auch dann, wenn der Zweck der Nutzung gut gemeint sei.
Wiederholte Pflichtverstöße führen zum Ausschluss
Dass der Vorsitzende bereits zuvor abgemahnt worden war, wertete das Gericht besonders schwer: Er habe eindeutig gewusst, dass sein Verhalten als datenschutzwidrig eingestuft werde und habe dennoch erneut gegen geltendes Recht verstoßen. Das LAG sah hierin eine schwerwiegende Pflichtverletzung mit bewusstem Verstoß gegen datenschutzrechtliche Grenzen.
Auch die Argumentation, der Arbeitgeber habe keine besseren Arbeitsmittel zur Verfügung gestellt, überzeugte das Gericht nicht. Vielmehr habe der Betriebsrat jederzeit die Unterstützung der IT-Abteilung anfordern können, um etwa mit größeren Bildschirmen oder anderer Technik besser arbeiten zu können – ohne dabei auf private Systeme zurückgreifen zu müssen.
Relevanz für Betriebsräte in Rheinstetten
Der Fall zeigt exemplarisch, welche datenschutzrechtlichen Maßstäbe von Gerichten an Betriebsräte angelegt werden. Auch für Betriebsratsmitglieder in Rheinstetten bedeutet das: Die Verarbeitung sensibler Mitarbeiterdaten muss strikt rechtssicher erfolgen – ohne Nutzung privater Konten oder Geräte. Selbst gut gemeinte Motive rechtfertigen kein Risiko für die Persönlichkeitsrechte der Beschäftigten.
Fazit: Verantwortung endet nicht bei guter Absicht
Die Entscheidung des LAG Frankfurt ist deutlich: Datenschutzverstöße dürfen nicht bagatellisiert werden – auch nicht in der Betriebsratsarbeit. Wer sich wiederholt über klare Grenzen hinwegsetzt, riskiert seinen Platz im Gremium. Bei Unsicherheiten über datenschutzkonformes Verhalten sollten Betriebsräte und Mitarbeiter frühzeitig anwaltlichen Rat einholen, um rechtlichen Konsequenzen vorzubeugen.