01.05.2026
Zurück zur Übersicht
Zurück zur Übersicht
01.05.2026

Konzernbetriebsrat muss nicht alles wissen

Verwarnung nach unzulässiger Weitergabe von Krankendaten an den Konzernbetriebsrat

Ein lokaler Betriebsrat hat nach der Kündigung eines Krankenhausmitarbeiters dessen Gesundheitsdaten per E-Mail an den Konzernbetriebsrat übermittelt. Eine Rechtsgrundlage für diese Weitergabe fehlte. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat darin einen Verstoß gegen die DS-GVO festgestellt und dem Betriebsrat eine Verwarnung erteilt.

Nach seiner Kündigung wandte sich der betroffene Mitarbeiter an den TLfDI. Er beschwerte sich darüber, dass der Betriebsratsvorsitzende den Konzernbetriebsrat per E-Mail über die Hintergründe der Kündigung informiert und dabei auch Gesundheitsdaten des Beschwerdeführers übermittelt hatte. Der Konzernbetriebsrat setzt sich aus allen Betriebsräten des gesamten Konzerns zusammen. Dadurch erhielt ein sehr großer Personenkreis Kenntnis von den persönlichen Daten des Betroffenen.

Im Verfahren war zunächst zu klären, wer für diese Datenverarbeitung als Verantwortlicher gilt. Da es sich um eine nicht-öffentliche Stelle handelte, regelt grundsätzlich § 79a Satz 2 BetrVG, dass der Arbeitgeber Verantwortlicher für die Datenverarbeitung durch den Betriebsrat ist. Diese Regelung galt zum Zeitpunkt der E-Mail allerdings noch nicht. Bis zu ihrem Inkrafttreten hat der TLfDI den Betriebsrat selbst als Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO eingestuft. Das Verfahren richtete sich daher gegen den Betriebsrat als Verantwortlichen.

Ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit stand nicht im Raum, weil die E-Mail über das geschützte konzerninterne Netz verschickt worden war. Problematisch war aber die fehlende Rechtsgrundlage für die Gesundheitsdatenübermittlung. Im Anhörungsverfahren konnte der Betriebsrat keine Rechtsgrundlage nennen.

Nach Art. 5 Abs. 1 lit. a DS-GVO in Verbindung mit Art. 6 DS-GVO ist jede Datenübermittlung nur bei Vorliegen einer Rechtsgrundlage zulässig. Eine Einwilligung des Betroffenen lag nicht vor. Die Übermittlung war auch nicht erforderlich, um das Arbeitsverhältnis zu beenden. Zwar erlaubt § 79a BetrVG dem Betriebsrat grundsätzlich die Verarbeitung personenbezogener Daten, aber stets nur im Rahmen der Erforderlichkeit.

Für personelle Einzelmaßnahmen wie eine Kündigung ist der lokale Betriebsrat zuständig, nicht der Konzernbetriebsrat. Das ergibt sich aus § 58 Abs. 1 BetrVG, wonach der Konzernbetriebsrat nur für Angelegenheiten zuständig ist, die den gesamten Konzern oder mehrere Konzernunternehmen betreffen und nicht von den einzelnen Betriebsräten vor Ort geregelt werden können. Das gilt auch bei einer Versetzung innerhalb des Konzerns oder einem Konzernversetzungsvorbehalt im Arbeitsvertrag. Die Kommentarliteratur ist sich darin einig. Es war daher nicht erforderlich, die Kündigungsgründe an den Konzernbetriebsrat zu übermitteln.

Erschwerend kam hinzu, dass es sich bei den weitergegebenen Daten um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO handelte. Für solche Daten gilt ein grundsätzliches Verarbeitungsverbot. Eine der Ausnahmen nach Art. 9 Abs. 2 DS-GVO war nicht erkennbar.

Der TLfDI stellte einen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO fest und erteilte dem Betriebsrat eine Verwarnung. Weitere Maßnahmen hielt er nicht für erforderlich, da der Verstoß nicht mehr andauerte und sowohl der Betriebsrat als auch der Konzernbetriebsrat bereits Konsequenzen gezogen hatten. Als Maßnahme für die Zukunft wurde festgelegt, personenbezogene Daten bei der konzerninternen Kommunikation zwischen den Gremien möglichst zu anonymisieren, sodass kein Rückschluss auf einzelne Personen möglich ist.

Unsere Empfehlungen

Unternehmen und KMU mit Betriebsrat

Betriebsräte verarbeiten regelmäßig personenbezogene Daten von Beschäftigten. Für jede Datenweitergabe an andere Gremien, auch an einen Konzernbetriebsrat oder Gesamtbetriebsrat, braucht es eine klare Rechtsgrundlage. Die Erforderlichkeit ist dabei strikt zu prüfen: Personelle Einzelmaßnahmen wie Kündigungen sind Sache des lokalen Betriebsrats. Der Konzernbetriebsrat ist in solchen Fällen nicht zuständig und sollte auch keine entsprechenden Daten erhalten.

Unternehmen sollten gemeinsam mit dem Betriebsrat interne Richtlinien für die Datenkommunikation zwischen den Betriebsratsgremien erarbeiten. Dabei hilft eine einfache Regel: Nur das weitergeben, was für die konkrete Zuständigkeit des Empfängers tatsächlich gebraucht wird. Lassen sich Informationen anonymisiert übermitteln, ist das der bevorzugte Weg.

Gesundheitseinrichtungen

Krankenhäuser und andere Gesundheitseinrichtungen verarbeiten täglich Gesundheitsdaten. Diese Daten fallen unter den besonderen Schutz von Art. 9 DS-GVO und dürfen nur bei ausdrücklich gesetzlich geregelten Ausnahmen verarbeitet werden. Das gilt auch innerhalb der Organisation, also auch für Betriebsratskommunikation.

Betriebsratsmitglieder in Gesundheitseinrichtungen sollten gezielt zu den Datenschutzpflichten beim Umgang mit Mitarbeiterdaten geschult werden. Der betriebliche Datenschutzbeauftragte ist hier der richtige Ansprechpartner. Er kann konkrete Verfahrensregeln für die Betriebsratskommunikation entwickeln und bei Fragen zur Zulässigkeit einzelner Datenweitergaben beraten.

Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks