Das Arbeitsgericht Iserlohn entschied, dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zu der Auflösung des Betriebsrates führen können.
Hintergrund des Verfahrens
Zwei Unternehmen der Automobilzulieferungsbranche, welche über einen Gemeinschaftsbetrieb miteinander verbunden waren, wollten eine Tochtergesellschaft restrukturieren. Diese Versuche waren jedoch aus verschiedenen Gründen gescheitert, woraufhin die Schließung des Standortes beschlossen wurde. Daraufhin entstand ein Konflikt mit dem Betriebsrat. Der Betriebsratsvorsitzende versandte, nach der betriebsbedingten Kündigung der Beschäftigten des Gemeinschaftsbetriebes, eine E-Mail an eine gewerkschaftliche Rechtsschutz GmbH sowie an verschiedene Kanzleien. Der Inhalt der E-Mail bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht über 921 Seiten), wie beispielsweise Abschriften von E-Mails, persönlichen Kalendereinträgen, Rechnungen, Vertragstexten, Urlaubsanträge usw. Diese Menge an Daten nutzten die Empfänger der E-Mail im Kündigungsschutzverfahren. Die Arbeitgeber beantragten daraufhin die Auflösung des Betriebsrats.
Zur Entscheidung des Arbeitsgerichtes Iserlohn
Die Übermittlung der Daten in diesem Umfang bewertete das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates. Aus diesem Grund gab es dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen statt.
Neben den Verstößen gegen die Datenschutzbestimmungen wurde durch das Arbeitsgericht Iserlohn ebenso die Stellung des Betriebsrates in die Beurteilung mit einbezogen. Hierbei betrachtete das Gericht den Grundsatz der vertrauensvollen Zusammenarbeit aus § 1 BetrVG, welcher durch die Überschreitungen der Kompetenzen verletzt wurde. Des Weiteren setzte das Gericht ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben ist. So kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenübermittlung nach Art. 6 DSGVO ebenso wenig vorlag wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder Kompetenzen des Betriebsrats und damit die Erforderlichkeit zur Übermittlung nicht vorlag. Das Argument des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, lehnte das Gericht ab. Begründet wurde die Ablehnung des Argumentes wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Des Weiteren waren die E-Mails lediglich allgemein an die jeweilige Anwaltskanzlei adressiert und nicht persönlich an einen Ansprechpartner gerichtet. Ein weiterer grober Verstoß bestand darin, dass der Link zum Download der Dokumente nicht passwortgeschützt war. Das Arbeitsgericht berücksichtigte hierbei die Möglichkeit, dass die Daten an unbeteiligte Dritte hätten gelangen können und somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt wurden. Der Betriebsrat hätte die Sicherheit der Verarbeitung unter Berücksichtigung des Stands der Technik, gemäß Art. 32 DSGVO, die technischen und organisatorischen Maßnahmen gewährleisten müssen (einen aussagekräftigen Artikel, dass der Betriebsrat sich eigenständig Gedanken zum Datenschutz machen muss, finden sie hier). In dem Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates und dem Einsatz sämtlicher Mittel, wodurch dieser seine Kompetenzen überschritten hat, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat in der Zukunft nicht davor zurückschreckt sensible Daten und Unterlagen Dritten offenzulegen.
Fazit
Auch der Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Beschäftigte versteht, bedeutet nicht, dass er einen Freibrief in der Verarbeitung von Beschäftigtendaten hat. Vielmehr muss er ebenfalls fragen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzen darf und welche Sicherheitsvorkehrungen zum Schutze der Daten er treffen muss.
Im Umgang mit personenbezogenen Daten, sei es mit denen von Beschäftigten aber ebenso mit denen von Kunden, muss sich an den Grundsätzen des Datenschutzrechts orientiert werden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat das Betriebsverfassungsrecht enge Grenzen abgesteckt. Somit stellt es einen Verstoß dar, wenn jegliche Mittel z. B. zur Sammlung oder Analyse eingesetzt werden.
Update: Die Angabe des Gericht wurde im Einleitungssatz korrigiert (Arbeitsgericht Iserloh)