Das Arbeitsgericht Iserlohn (Beschluss vom 14.01.2020 – 2 BV 5/19) hatte sich kürzlich mit einem aufsehenerregenden Fall zu beschäftigen. Was war passiert?
Der Betriebsrat eines Unternehmens aus der Kfz-Zuliefererbranche hatte im Rahmen von Umstrukturierungen in großem Umfang Daten an Dritte herausgegeben, u.a. an Rechtsanwaltskanzleien und die Gewerkschaft. Das Gremium wollte die Kollegen, die sich gerade in einem Rechtsstreit mit dem Arbeitgeber befanden, damit unterstützen.
das Besondere dabei: Es handelte sich um einen Ordner mit einer Dateigröße von beinahe 150 MB. Der Ordner enthielt dabei unzählige Daten und eben auch sensible personenbezogene Daten, unter anderem Gesundheitsdaten und Entgeltdaten ohne Einwilligung der betroffenen Personen.
Der Arbeitgeber beantragte die Auflösung des Gremiums wegen groben Verstoßes gegen gesetzliche Pflichten (§ 23 Abs, 1 Satz 1 BetrVG) und wegen groben Verstoßes gegen das Gebot der vertrauensvollen Zusammenarbeit (§ 2 Abs. 1 BetrVG).
Wie hat das Gericht enstchieden?
Bevor ich das verrate, erkläre ich kurz das Problem.
Das Gericht hat nämlich zunächst Folgendes klargestellt:
Nach der Rechtsprechung des BAG (vgl. z.B. BAG, Beschluss vom 22. Juni 1993 – 1 ABR 62/92) kommt eine Auflösung des Betriebsrats nach § 23 Abs. 1 S. 1 BetrVG in Betracht, wenn dieser grob gegen seine Pflichten aus dem Betriebsverfassungsgesetz verstoßen hat, so dass unter Berücksichtigung aller Umstände die weitere Amtsführung des Betriebsrats untragbar erscheint. Ein Verschulden des Betriebsrats ist dabei nicht erforderlich.
Als grobe Pflichtverletzungen kommen insbesondere die grundsätzliche Missachtung der Gebote des § 2 Abs. 1 BetrVG im Hinblick auf die vertrauensvolle Zusammenarbeit zwischen Arbeitgeber und Betriebsrat (ArbG Krefeld, Beschluss vom 6.2.1995 – 4 BV 34/94, NZA 1995, 803; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, 29. Aufl. 2018, BetrVG § 23 Rn. 37) und die Weitergabe vertraulicher Vorgänge und Daten an Dritte (ErfK/Koch, 20. Aufl. 2020, BetrVG § 23 Rn. 5) in Betracht.
Die grobe Pflichtverletzung muss vom Betriebsrat als Gremium begangen worden sein bzw. diesem zurechenbar sein. Gleichzeitige, jedoch nur dem Einzelnen zurechenbare Pflichtverletzungen rechtfertigen nicht die Auflösung des BR, sondern lediglich den Ausschluss des jeweiligen Betriebsratsmitglieder (Fitting/Engels/Schmidt/Trebinger/Linsenmaier, 29. Aufl. 2018, BetrVG § 23 Rn. 39).
Anders als beim Ausschluss eines einzelnen Betriebsratsmitglieds setzt die Verletzung gesetzlicher Pflichten durch den Betriebsrat kein Verschulden voraus. Ein Verschulden einzelner oder der Mehrheit der Betriebsratsmitglieder kommt, soweit es überhaupt feststellbar ist, nicht in Betracht, da nicht die Verletzung der Pflichten eines oder der einzelnen Betriebsratsmitglieder in Frage steht. Es kommt vielmehr darauf an, ob der BR als Gremium objektiv grob pflichtwidrig gehandelt hat. Unerheblich ist, ob alle Betriebsratsmitglieder an der Pflichtverletzung teilhaben (Fitting/Engels/Schmidt/Trebinger/Linsenmaier, 29. Aufl. 2018, BetrVG § 23 Rn. 40).
Sodann wird es interessant. Ich weise ja schon lange darauf hin, dass Betriebsräte beim Thema Datenschutz ein Thema haben. Siehe nur hier:
Was muss der Betriebsrat beim Datenschutz beachten?
Datenschutzrechtliche Vorgaben für Betriebsräte und Schwerbehindertenvertretungen
Die Haftung des Betriebsrats und der Schwerbehindertenvertretung für Datenschutzverstöße
Unterrichtung des Betriebsrats / der SBV vs. Datenschutz
Was hat nun aber das Arbeitsgericht Iserlohn festgestellt?
Die Sammlung und Zurverfügungstellung von mehr als 150 MB an Daten u.a. in Form von Abschriften von E-Mails, Schriftsätzen, Kalenderauszügen, behördlichen Bescheiden, Rechnungen Konzeptzeichnungen, Urlaubsanträgen, Vertragstexten Präsentationen, Produktlinienkonzepten Bedarfsanforderungen, Lieferantenterminplänen, “Business Acquisation Planning”, tabellarischen Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile und an den Betriebsrat gerichtete Aktennotizen stellt sich nach Auffassung der Kammer offensichtlich als massive Verstöße gegen Datenschutzbestimmungen, gegen den Grundsatz der vertrauensvollen Zusammenarbeit und eine massive Überschreitung der dem Betriebsrat nach dem BetrVG eingeräumten Kompetenzen dar.
Bereits das methodische Vorgehen hinsichtlich der Sammlung von Daten in einem beispiellosen Umfang und in einer systematischen Art und Weise stellten sich nach Auffassung des Gerichts als Handlungen dar, die eine vertrauensvolle Zusammenarbeit mit den Beteiligten als nicht mehr möglich erscheinen lassen.
Die Zurverfügungstellung der gesamten Daten stellt eine massive Überschreitung der betriebsverfassungsrechtlich geregelten Kompetenzen des Betriebsrats dar. Allein in dieser massiven Kompetenzüberschreitung liegt eine gravierende Verletzung des Grundsatzes der vertrauensvollen Zusammenarbeit und damit eine grobe Pflichtverletzung.
Im Ergebnis hat das Arbeitsgericht Iserlohn den Betriebsrat deswegen aufgelöst!
Nun aber noch zum Datenschutz:
Die Zurverfügungstellung einer Liste mit den Namen sämtlicher im Gemeinschaftsbetrieb beschäftigter Arbeitnehmer mit der Angabe der entsprechenden Entgeltgruppen an Dritte stellt eine grobe Pflichtverletzung dar.
Es geht insbesondere einen Dritten ohne ein konkretes berechtigtes Interesse nichts an, wo eine bestimmte Person beschäftigt ist und auch nicht, wie viel diese Person verdient. Es ist insoweit insbesondere auch unter Beachtung der […] Kompetenzen des Betriebsrats nach dem BetrVG in keiner Weise eine Rechtmäßigkeit der Verarbeitung der entsprechenden Daten i.S.v. Art. 6 DSGVO mit dem Zweck der Weitergabe und der tatsächlich erfolgten Weitergabe an Dritte gegeben.
Gemäß § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Die Voraussetzungen für eine Verarbeitung der personenbezogenen Daten sind nach Maßgabe dieser Norm offensichtlich nicht gegeben, da insbesondere keine Erforderlichkeit für die Erfüllung der Rechte und Pflichten des Betriebsrats als Interessenvertretung mangels entsprechender betriebsverfassungsrechtlicher Kompetenz gegeben ist, wie bereits festgestellt wurde im Hinblick auf die oben dargelegte massive Kompetenzüberschreitung.
Die Übermittlung von personenbezogenen Beschäftigtendaten vom Betriebsrat an Dritte, seien es auch konzernangehörige Unternehmen, ist in der Regel unzulässig, da es im Zweifel an einer diesbezüglichen Aufgabe des Betriebsrats und der Erforderlichkeit für die Aufgabenbewältigung und damit an einer datenschutzrechtlichen Rechtfertigung fehlt (vgl. Lücke, in: NZA 2019, 658, 666).
Da die Arbeitgeber zur Einhaltung der Bestimmungen nach dem BDSG und der DSGVO im Hinblick auf die in ihrem Betriebs beschäftigten Arbeitnehmer verpflichtet sind und auch im Hinblick auf § 75 Abs. 1 BetrVG darüber zu wachen haben, dass alle im Betrieb tätigen Personen nach den Grundsätzen von Recht und Billigkeit behandelt werden, können sich die Arbeitgeber nach Auffassung der Kammer auch unzweifelhaft auf die Verletzung entsprechender Datenschutzbestimmungen als grobe Pflichtverletzungen des Betriebsrats berufen.
Fazit?
Augen auf beim Datenschutz!!
Oder wie es in der Imagekampagne des Deutschen Anwaltvereins so schön heißt: Fragen Sie doch jemanden, der sich damit auskennt 😉