Auflösung des Betriebs­rates durch Verstoß gegen den Datenschutz

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, “Business Acquisation Planning”, tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Die Entscheidung des Arbeitsgerichtes Iserlohn

Die Übermittlung der Daten in diesem Größenumfang wurde durch das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates bewertet. Es wurde dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen stattgegeben. Neben der Vertrauensstellung des Betriebsrates wurden durch das Arbeitsgericht Iserlohn auch die Verstöße gegen die Datenschutzbestimmungen mit einbezogen. Verletzt wurde durch die massive Überschreitung der Kompetenzen der § 1 BetrVG.

Das Gericht setzte ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit, begründet durch eine konkrete Wiederholungsgefahr, zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben sei.

Ebenfalls kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO mit dem Zwecke der Weitergabe an Dritte ebenso wenig vorlag, wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder betriebsverfassungsrechtlicher Kompetenzen des Betriebsrats die Erforderlichkeit zur Übermittlung nicht gegeben ist. Der Einwand des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, wies das Gericht ab. Das Arbeitsgericht begründet die Ablehnung wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Die E-Mails waren nicht persönlich an einen Ansprechpartner gerichtet, sondern lediglich allgemein an die jeweilige Anwaltskanzlei adressiert. Der Link zum Download der Dokumente war nicht Passwort-geschützt, was einen weiteren groben Verstoß darstellte. Die Daten hätten an unbeteiligte Dritte gelangen können und sind somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt worden. Durch das Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat sensible Daten der Arbeitgeberinnen erneut einem unüberschaubaren Personenkreis zur Verfügung stellte.

 

Auch ein Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Arbeitnehmer/ -innen versteht, bedeutet nicht, dass er eine Legitimation zur Verarbeitung von Beschäftigtendaten hat.  Auch der Betriebsrat muss darstellen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzt und welche Sicherheitsvorkehrungen zum Schutze der Daten er trifft.

Die Grundsätze des Datenschutzrechts sind für jedermann im Umgang mit personenbezogenen Daten bindend, egal ob mit Daten von Beschäftigten aber ebenso mit denen von Kunden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat auch das Betriebsverfassungsrecht enge Grenzen abgesteckt.