Ausschluss aus dem Betriebsrat wegen privater E-Mail-Weiterleitung
Ein aktueller Beschluss aus Hessen zeigt klar, wie ernst Datenschutzpflichten im Betriebsrat zu nehmen sind. Ein Betriebsratsvorsitzender leitete sensible Personaldaten an seine private E-Mail-Adresse weiter. Das Gericht sah darin einen groben Pflichtverstoß und bestätigte seinen Ausschluss aus dem Betriebsrat.
Hintergrund
Der Fall wurde vom Hessisches Landesarbeitsgericht entschieden. Maßgeblich waren § 23 Abs. 1 BetrVG und § 79a BetrVG. Danach muss der Betriebsrat personenbezogene Daten genauso schützen wie der Arbeitgeber. Verstöße können arbeitsverfassungsrechtliche Folgen haben und nicht nur datenschutzrechtliche.
Was wurde entschieden?
Der Betriebsratsvorsitzende hatte eine vollständige Personalliste mit Namen, Funktionen und Entgeltangaben an private E-Mail-Konten weitergeleitet. Er begründete dies mit praktischen Gründen wie besserer Bearbeitung zu Hause. Das Gericht folgte dem nicht. Es stellte fest, dass es keine Rechtsgrundlage für diese Weiterleitung gab. Auch technische Schutzmaßnahmen auf dem privaten Rechner änderten daran nichts. Die Verarbeitung war weder erforderlich noch transparent und verstieß gegen die Grundsätze der DSGVO. Der Verstoß wurde als grob eingestuft, weil es um hochsensible Entgeltdaten ging und der Betroffene bereits zuvor wegen ähnlicher Vorgänge abgemahnt worden war. Der Ausschluss aus dem Betriebsrat blieb bestehen.
Bedeutung für Betriebsräte und Arbeitgeber
Die Entscheidung macht deutlich: Betriebsräte sind eigenständig für den Datenschutz verantwortlich. Private E-Mail-Konten, private Laptops oder Cloud-Dienste sind tabu, wenn keine klare Rechtsgrundlage besteht. Praktische Erwägungen reichen nicht aus. Auch Zeitdruck oder fehlende Ausstattung entschuldigen keinen Datenschutzverstoß. Arbeitgeber dürfen bei groben Pflichtverletzungen den Ausschluss beantragen. Für Betriebsräte bedeutet das ein reales persönliches Risiko.
So reagieren Unternehmen richtig
Unternehmen sollten Betriebsräten geeignete IT bereitstellen. Dazu gehören sichere E-Mail-Konten, ausreichend große Bildschirme und klare Regeln zur Nutzung. Schulungen zum Datenschutz sollten konkret sein und typische Praxisfälle abdecken. Betriebsräte sollten strikt trennen zwischen dienstlicher und privater IT. Datenverarbeitungen müssen dokumentiert sein und auf einer belastbaren Rechtsgrundlage beruhen. Im Zweifel ist der Datenschutzbeauftragte einzubeziehen.
Unsere Empfehlung
Prüfen Sie die IT-Nutzung Ihres Betriebsrats und die bestehenden Datenschutzregeln. Sorgen Sie für klare Vorgaben und funktionierende Alternativen zur privaten IT. So vermeiden Sie Konflikte, Haftungsrisiken und Vertrauensverlust.
Quellenangabe: Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks