Urteil: LAG Hessen, Beschl. v. 10.03.2025 – 16 TaBV 109/24
Personaldaten im Privatpostfach? Wo verläuft die rote Linie?
Im Unternehmensalltag entstehen kritische Situationen oft nicht aus böser Absicht, sondern aus pragmatischen Abkürzungen und Handlungen, die einer zweiten Überlegung bedurft hätten.
Wenn Termine koordiniert, Unterlagen verglichen und kurzfristig Abstimmungen vorbereitet werden müssen, liegt es nahe, E-Mails oder Dateien an die private Adresse weiterzuleiten, um die Bearbeitung zu erleichtern. Gerade dies kann jedoch ein gravierender Fehler sein – insbesondere dann, wenn die Inhalte besonders sensibel oder personenbezogen sind.
Für Führungskräfte sind Datenschutz und der richtige Umgang mit Daten besonders relevant: Sie arbeiten regelmäßig mit sensiblen Daten über interne Prozesse. Datenschutzverstöße können gravierende Folgen haben.
Damit stellt sich die Frage: Was darf man technisch und organisatorisch im Umgang mit E-Mails und personenbezogenen Daten – und wo ist die Grenze überschritten?
Die Entscheidung des LAG Hessen
Mit diesem Themenkomplex befasste sich das LAG Hessen in seinem Beschluss vom 10.03.2025 – 16 TaBV 109/24. Ein Betriebsratsvorsitzende hatte mehrfach personenbezogene Daten, darunter Vergütungsinformationen sämtlicher Beschäftigter, von seinem dienstlichen Account an seine private E-Mail-Adresse weitergeleitet. Die Daten wurden dort bearbeitet und erneut versandt. Eine Einwilligung der betroffenen Mitarbeiter lag nicht vor. Der Vorsitzende begründete sein Verhalten mit technischen und zeitlichen Notwendigkeiten, insbesondere der Nutzung eines größeren privaten Monitors.
Das LAG Hessen bestätigte den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat gemäß § 23 Abs. 1 BetrVG, weil dieser durch die Weiterleitung umfangreicher Personaldaten an seinen privaten E-Mail-Account grob gegen datenschutzrechtliche Pflichten (§ 79a BetrVG, DSGVO) verstoßen hatte.
Das Gericht stellte klar:
- Die Weiterleitung der sensiblen Personaldaten auf einen privaten Account war nicht erforderlich und hätte durch Nutzung der vom Arbeitgeber bereitgestellten IT-Infrastruktur vermieden werden können.
- Es lag keine Einwilligung der Beschäftigten vor; die Verarbeitung war nicht rechtmäßig im Sinne von Art. 6 Abs. 1 DSGVO.
- Die behauptete Eilbedürftigkeit oder technische Einschränkungen rechtfertigen den Verstoß nicht.
- Die Pflichtverletzung war objektiv erheblich und subjektiv schwerwiegend, da der Vorsitzende trotz vorheriger Abmahnung und technischer Sperren bewusst gehandelt hat.
- Die Nutzung privater Geräte und Accounts für die Verarbeitung solcher Daten ist unzulässig, auch wenn diese technisch gesichert sind.
Auswirkung auf die Praxis
Die Entscheidung des LAG Hessen unterstreicht, dass Datenschutzverstöße – insbesondere die unerlaubte Weiterleitung sensibler Personaldaten auf private E-Mail-Accounts – schwerwiegende arbeitsrechtliche Konsequenzen nach sich ziehen können.
Allgemein gilt daher: Die Weiterleitung dienstlicher E-Mails an private Adressen sollte nicht als bloße organisatorische Nachlässigkeit verstanden werden. Vielmehr kann darin eine schwerwiegende Pflichtverletzung liegen. Im Fall des LAG Hessen war auch ausschlaggebend, dass es sich nicht um einen einmaligen Grenzfall handelte, sondern das Verhalten trotz vorheriger Reaktion des Arbeitgebers erneut vorkam.
Die technische Ausstattung im Arbeitsalltag darf kein Grund dafür sein, auf private Endgeräte, E-Mail-Postfächer oder sonstige nicht freigegebene Lösungen auszuweichen. Aus rechtlicher Sicht ist jedenfalls davon abzuraten, sensible Daten in den privaten Bereich zu verlagern.
