Ein Betriebsratsvorsitzender wurde von seinem Arbeitgeber aus dem Betriebsrat ausgeschlossen, weil er dienstliche personenbezogene Daten an seinen privaten E-Mail-Account weitergeleitet hatte und damit gegen die ihm aus § 79a S. 1 BetrVG obliegende Pflicht verstoßen hatte.
§ 79a S. 1 BetrVG lautet:
„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.“
Hintergrund
Dem Beschluss des Hessischen Landesarbeitsgerichtes (LAG) vom 10.03.2025 (Az. 16 TaBV 109/24) lag folgender Sachverhalt zu Grunde:
Der Arbeitgeber stellte fest, dass alle beim dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eingehenden E-Mails automatisiert an dessen private E-Mail-Adresse weitergeleitet wurden.Daraufhin erteilte der Arbeitgeber dem Betriebsratsvorsitzenden eine Abmahnung. Einige Zeit später leitete der Betriebsratsvorsitzende Termine an eine andere ihm gehörende private E-Mail-Adresse weiter. Er versendete zudem von seinem privaten E-Mail-Account eine vollständige Personalliste, die u. a. die Namen sämtlicher Mitarbeiter, deren Gehaltsdaten, Tarifgruppe etc. enthielt, an seine dienstliche E-Mail-Adresse. Daraufhin machte der Arbeitgeber gerichtlich den Ausschluss des Vorsitzenden aus dem Betriebsrat geltend, da er der Meinung war, dass dieser seine gesetzlichen Pflichten als Betriebsrat grob verletze.
Der Betriebsratsvorsitzende sah in seiner Handlung keinen Pflichtenverstoß und begründete die Weiterleitung damit, zu Hause zeitnah die Excel-Tabelle auf dem größeren Bildschirm bearbeiten zu können.
Nach Ansicht das Gerichts war die Weiterleitung der personenbezogenen Daten der Beschäftigten an den privaten E-Mail-Account des Betriebsratsvorsitzenden nicht erforderlich und stellt einen Verstoß gegen Art. 5 DS-GVO, insbesondere gegen den Grundsatz der Datenminimierung, dar.
Zudem sei eine wirksamen Rechtsgrundlage für diese Datenverarbeitung nicht ersichtlich und es fehlt an einer Information der Betroffenen über die Datenverarbeitung, sodass das LAG einen Verstoß gegen die dem Betriebsratsvorsitzenden aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten bejahte.
Weiterleitung dienstlicher E-Mails auf private E-Mail-Konten
Aus datenschutzrechtlicher Sicht sollte allen Mitarbeiter generell untersagt werden, dienstlicher E-Mails an private E-Mail-Konten weiterzuleiten.
Denn: Bezüglich aller personenbezogenen Daten, die der Arbeitgeber als verantwortliche Stelle verarbeitet, haftet dieser grundsätzlich für Rechtsverletzungen. Gem. Art. 32 DS-GVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen (z. B. auch Sicherheitsmaßnahmen zum Schutz von E-Mail-Accounts durch die IT, Abschluss von Verträgen zur Auftragsverarbeitung mit eingesetzten Dienstleistern) zu treffen, um so die Datensicherheit zu gewährleisten. Werden von Mitarbeitenden, die vom Arbeitgeber zum Schutz der Daten implementierten Sicherheitsmaßnahmen umgangen, steht ein Mitarbeiterexzess und damit die Haftung des Mitarbeiters im Raum.
Genau solche Sicherheitsmaßnahmen werden bei einer Weiterleitung an private E-Mail-Accounts gerade umgangen. Der Versand von geschäftlichen E-Mails auf private Accounts stellt daher einen Datenschutzverstoß dar.
Bei E-Mail-Anbietern (GMX, Google etc.) werden die (geschäftlichen) E-Mails zunächst auf den eigenen Servern gespeichert, auf die der E-Mail-Anbieter i. d. R. auch zugreifen kann. In einer solchen Konstellation, sprich bei Zugriffsmöglichkeit des E-Mail-Anbieters auf die E-Mails und darin enthaltene personenbezogene Daten, wäre ein Vertrag zur Auftrags-datenverarbeitung mit dem Anbieter zu schließen. Hinzukommt, dass dienstliche personenbezogene Daten, die auf private E-Mail-Accounts weitergeleitet und dort gespeichert werden, kaum vom Arbeitgeber im Rahmen von Betroffenenanfragen berücksichtigt werden können.
Bei der Weiterleitung geschäftlicher Korrespondenz kann es auch zur Verarbeitung von Informationen über Geschäftsgeheimnisse kommen, was u. U. zu einem Verstoß gegen Vorschriften des UWG führen kann.
Bei einem Verantwortlichen bei dem es sich um einen Berufsgeheimnisträger handelt, besteht zudem die Gefahr von strafrechtlich relevanten Verstößen (gesetzliche Ver-schwiegenheitspflicht § 203 StGB).
Fazit:
Sämtliche Mitarbeiter sollten von einer Weiterleitung dienstlicher E-Mails auf private E-Mail-Konten absehen, um Datenschutzverstöße zu vermeiden. Arbeitgeber sollten die Nutzung privater E-Mail-Accounts im beruflichen Kontakt, z.B. über eine Richtlinie, ausdrücklich untersagen.