In einem aktuellen Fall hat das Landesarbeitsgericht (LAG) Hessen den Ausschluss eines Betriebsratsvorsitzenden bestätigt, der Gehaltsdaten aller Beschäftigten an sein privates E-Mail-Postfach weitergeleitet hatte. Die Daten sollten am heimischen Monitor bearbeitet werden – ein Vorgehen, das das Gericht als grobe Pflichtverletzung (§ 23 Abs. 1 BetrVG) einstufte. Der Mann verlor daraufhin seinen Sitz im Gremium.

Der Fall unterstreicht nicht nur die hohe Bedeutung des Datenschutzes im Betriebsratskontext, sondern wirft auch ein Schlaglicht auf strukturelle und technologische Defizite in der digitalen Gremienarbeit.

Der Vorfall im Überblick

Ein Betriebsratsvorsitzender erhielt vom Arbeitgeber eine Datei mit den Gehaltsdaten aller Mitarbeitenden – ein sensibler, aber im Rahmen der Gremienarbeit durchaus relevanter Datensatz. Statt diese Informationen intern über gesicherte betriebliche Systeme zu verarbeiten, leitete er sie ohne Absprache und ohne besondere Sicherung an sein privates E-Mail-Konto weiter – ein fataler Fehler.

Auch Betriebsräte unterliegen der DSGVO

In der täglichen Betriebsratsarbeit sind der Umgang mit vertraulichen Informationen und der Schutz personenbezogener Daten zentral. Gehaltslisten, Gesundheitsangaben oder Leistungsbeurteilungen gehören dabei zum sensibelsten Datenmaterial im Unternehmen.

Auch für Betriebsräte gelten hierbei die gesetzlichen Vorgaben der DSGVO, des Betriebsverfassungsgesetzes (BetrVG) und des Bundesdatenschutzgesetzes (BDSG). Die Verarbeitung solcher Daten muss jederzeit rechtskonform und technisch abgesichert erfolgen – unabhängig davon, ob sie im Büro, im Homeoffice oder mobil erfolgt.

Gerade in der zunehmend digitalen Arbeitswelt, in der Cloud-Dienste, mobile Endgeräte und dezentrale Zusammenarbeit zum Alltag gehören, steigt das Risiko für Datenschutzverstöße. Ohne geeignete Schutzmaßnahmen – etwa verschlüsselte Kommunikation oder gesicherte Zugriffsrechte – kann schon eine scheinbar praktische Lösung, wie der Versand sensibler Dateien an eine private E-Mail-Adresse, erhebliche rechtliche Folgen haben. Das zeigt der aktuelle Fall des LAG Hessen auf besonders eindrückliche Weise.

Was folgt daraus für die Praxis der Gremienarbeit?

Das Urteil macht deutlich: Datenschutzverstöße können nicht nur zu Sanktionen gegen den Arbeitgeber oder zu Bußgeldern führen – sie haben auch das Potenzial, arbeitsverfassungsrechtliche Konsequenzen für einzelne Betriebsratsmitglieder nach sich zu ziehen.

HR-Verantwortliche sollten deshalb gezielt prüfen, ob Betriebsräte ausreichend geschult, technisch angemessen ausgestattet und organisatorisch eingebunden sind. Wo nötig, braucht es klare Richtlinien, verbindliche Standards und praxisgerechte Unterstützung im Arbeitsalltag. Denn Datenschutzverstöße können sowohl arbeitsrechtliche Konflikte auslösen als auch das Unternehmen selbst erheblich belasten – etwa durch Compliance-Verstöße, Reputationsschäden oder Datenpannen.

Der § 79a BetrVG verpflichtet Betriebsräte zur Einhaltung geeigneter technischer und organisatorischer Maßnahmen (TOMs) – in Übereinstimmung mit der DSGVO. Private Endgeräte oder ungesicherte Kommunikationswege sind dabei grundsätzlich unzulässig. Auch das Fehlen einer Rechtsgrundlage, unzureichende Transparenz oder die unrechtmäßige Weitergabe sensibler Daten können ausreichen, um die Vertrauensbasis zwischen Gremium und Belegschaft bzw. Arbeitgeber dauerhaft zu zerstören – und in letzter Konsequenz den Ausschluss eines Betriebsratsmitglieds rechtlich zu rechtfertigen.

Um solchen Risiken vorzubeugen, sollten Unternehmen gemeinsam mit ihren Betriebsräten klare Strukturen und Schutzmechanismen etablieren:

1. Verbindliche Datenschutzrichtlinien für die Gremienarbeit

Es braucht konkrete Vorgaben, welche Daten wie verarbeitet und über welche Systeme kommuniziert werden dürfen. Diese Richtlinien sollten regelmäßig überprüft und an technische sowie rechtliche Entwicklungen angepasst werden.

2. Technisch abgesicherte Infrastruktur – auch mit Legal-Tech-Elementen

Neben klassischen IT-Sicherheitsmaßnahmen kann hier auch Legal Tech unterstützen: etwa durch Plattformen, die speziell für die rechtssichere Kommunikation und Dokumentation in Gremien entwickelt wurden. Solche Lösungen bieten nicht nur verschlüsselte Kommunikationswege, sondern auch revisionssichere Protokollierung, automatisierte Zugriffskontrollen und rollenbasierte Berechtigungen – und helfen so, datenschutzrechtliche Vorgaben strukturell abzusichern.

3. DSGVO-Schulungen als E-Learning mit Legal-Tech-Unterstützung

Zunehmend werden datenschutzrechtliche Schulungen über digitale Lernplattformen bereitgestellt, die interaktive Lerneinheiten mit prüfbarer Wissensvermittlung kombinieren. Einige Legal-Tech-Anbieter stellen dabei speziell auf die betriebliche Mitbestimmung zugeschnittene Module zur Verfügung – ein effizienter Weg, um Datenschutzwissen auf dem aktuellen Stand zu halten und gleichzeitig nachweisbar zu dokumentieren.

4. Sensibilisierung für digitale Risiken im Alltag

Nicht jede datenschutzwidrige Handlung erfolgt vorsätzlich. Oft fehlt schlicht das Bewusstsein dafür, dass auch alltägliche Arbeitsweisen – etwa das Weiterleiten von Dateien an private Mailadressen – rechtlich unzulässig sein können. Deshalb ist eine kontinuierliche und praxisorientierte Sensibilisierung unerlässlich, idealerweise unterstützt durch leicht zugängliche digitale Informationsformate oder integrierte Compliance-Hinweise in den genutzten Tools.

Fazit

Das Urteil des LAG Hessen ist ein Warnsignal und ein Weckruf zugleich: Datenschutz ist kein Randthema der Betriebsratsarbeit, sondern integraler Bestandteil verantwortungsvoller Interessenvertretung – gerade im digitalen Raum. Wer Betriebsratsarbeit digitalisieren will, muss auch sicherstellen, dass sie rechtlich abgesichert und technisch geschützt ist. Prävention beginnt dabei nicht mit Verboten, sondern mit klaren Strukturen, technischer Ausstattung und guter Schulung.

---