Ein Betriebsratsvorsitzender wurde von seinem Arbeitgeber aus dem Betriebsrat ausgeschlossen, weil er dienstliche personenbezogene Daten an seinen privaten E-Mail-Account weitergeleitet hatte und damit gegen die ihm aus § 79a S. 1 BetrVG obliegende Pflicht verstoßen hatte.

§ 79a S. 1 BetrVG lautet:

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.“ Und weiter in § 79a S. 2 BetrVG: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Was war geschehen?

Dem Beschluss des Hessischen Landesarbeitsgerichtes (LAG) vom 10.03.2025 (Az. 16 TaBV 109/24) lag folgender Sachverhalt zu Grunde:

Der Arbeitgeber stellte fest, dass alle beim dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eingehenden E-Mails automatisiert an dessen private E-Mail-Adresse weitergeleitet wurden. Hierauf mahnte der Arbeitgeber den Betriebsratsvorsitzenden ab. Einige Wochen später leitete der Betriebsratsvorsitzende Termine an eine andere ihm gehörende private E-Mail-Adresse weiter und versendete von seinem privaten E-Mail-Account zudem eine vollständige Personalliste, die u. a. die Namen sämtlicher Mitarbeiter, deren Gehaltsdaten, Tarifgruppe etc. enthielt, an seine dienstliche E-Mail-Adresse. Der Arbeitgeber machte gerichtlich den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat geltend, da er der Meinung war, dass der Betriebsratsvorsitzende seine gesetzlichen Pflichten als Betriebsrat grob verletze.

Der Betriebsratsvorsitzende sah in seiner Handlung keinen Pflichtenverstoß und gab u. a. an, die Weiterleitung vorgenommen zu haben, um zu Hause zeitnah die Excel-Tabelle auf dem größeren Bildschirm bearbeiten zu können.

Das Gericht sah in der Weiterleitung der personenbezogenen Daten der Beschäftigten an den privaten E-Mail-Account des Betriebsratsvorsitzenden keine Erforderlichkeit und einen Verstoß gegen die datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO, insbesondere gegen den Grundsatz der Datenminimierung. Auch fehlte es nach Auffassung des Gerichts an einer wirksamen Rechtsgrundlage für diese Datenverarbeitung sowie einer Information der Betroffenen über die Datenverarbeitung, sodass das Gericht einen Verstoß gegen die dem Betriebsratsvorsitzenden aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten bejahte (vgl. Beschluss des LAG).

Weiterleitung dienstlicher E-Mails auf private E-Mail-Konten

Aus datenschutzrechtlicher Sicht sollten Mitarbeiter – nicht nur Betriebsratsmitglieder – von einer Weiterleitung dienstlicher E-Mails auf private E-Mail-Konten absehen. Denn: Hinsichtlich aller personenbezogenen Daten, die der Arbeitgeber als verantwortliche Stelle verarbeitet, haftet dieser grundsätzlich für Rechtsverletzungen. Nach Art. 32 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen (z. B. auch Sicherheitsmaßnahmen zum Schutz von E-Mail-Accounts durch die IT, Abschluss von Verträgen zur Auftragsverarbeitung mit eingesetzten Dienstleistern) zu treffen, um die Datensicherheit zu gewährleisten. Umgeht ein Mitarbeiter die vom Arbeitgeber zum Schutz der Daten implementierten Sicherheitsmaßnahmen, steht ein Mitarbeiterexzess (wir berichteten) und damit die Haftung des Mitarbeiters im Raum.

Eben solche Sicherheitsmaßnahmen werden jedoch bei einer Weiterleitung an private E-Mail-Accounts gerade umgangen. Daher stellt der Versand von geschäftlichen E-Mails auf private Accounts einen datenschutzrechtlichen Verstoß dar. Zudem werden bei diesen E-Mail-Anbietern (GMX, Google etc.) die (geschäftlichen) E-Mails zunächst auf den eigenen Servern gespeichert, auf die der E-Mail-Anbieter i. d. R. auch zugreifen kann. In einer solchen Konstellation, sprich bei Zugriffsmöglichkeit des E-Mail-Anbieters auf die E-Mails und darin enthaltene personenbezogene Daten, wäre ein Vertrag zur Auftragsdatenverarbeitung mit dem Anbieter zu schließen. Zudem dürften dienstliche personenbezogene Daten, die auf private E-Mail-Accounts weitergeleitet und dort gespeichert werden, kaum vom Arbeitgeber im Rahmen von Betroffenenanfragen berücksichtigt werden können.

Daneben kann es im Rahmen der Weiterleitung geschäftlicher Korrespondenz auch zur Verarbeitung von Informationen über Geschäftsgeheimnisse kommen, was unter Umständen zum Verstoß gegen Vorschriften des UWG führen könnte. Handelt es sich bei dem Verantwortlichen um einen Berufsgeheimnisträger, besteht aufgrund der gesetzlichen Verschwiegenheitspflicht zudem die Gefahr von strafrechtlich relevanten Verstößen (§ 203 StGB).

Fazit

Aus datenschutzrechtlicher Sicht sollten sämtliche Mitarbeiter – nicht nur Betriebsratsmitglieder – von einer Weiterleitung dienstlicher E-Mails auf private E-Mail-Konten absehen. Arbeitgeber sollten zudem die Nutzung privater E-Mail-Accounts im beruflichen Kontakt bspw. über eine Richtlinie ausdrücklich verbieten. Sollte Klärungsbedarf hinsichtlich der konkreten Nutzung dienstlicher E-Mail-Accounts bestehen, sollte der erste Gang stets zum Arbeitgeber und der IT führen.

| | | , , , , , , , , , ,