Betriebsrat: Datenschutzverstoß führt zur Kündigung

Artikel von Dr. Datenschutz·25. April 2022

Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt nicht nur einen Datenschutzverstoß dar, sondern kann auch zu arbeitsrechtlichen Konsequenzen führen. So sah das LAG Baden-Württemberg mit Urteil vom 25.03.2022 (Az. 7 Sa 63/21) die fristlose Kündigung eines Betriebsrats wegen der unbefugten Veröffentlichung von Gesundheitsdaten als wirksam an.

Der Inhalt im Überblick

Verstoß gegen Datenschutzrecht als Kündigungsgrund
Entscheidung des LAG Baden-Württemberg
Strenge Anforderung an die Verarbeitung von Gesundheitsdaten
Stets die datenschutzrechtlichen Grundsätze im Blick behalten
- Update:

Verstoß gegen Datenschutzrecht als Kündigungsgrund

Der Kläger war seit September 1997 bei der Beklagten beschäftigt und seit 2006 Mitglied des Betriebsrats.

Gegenstand des vorliegenden Verfahrens ist die Wirksamkeit einer außerordentlichen Kündigung aufgrund der unbefugten Veröffentlichung von Gesundheitsdaten und der damit einhergehenden Persönlichkeitsverletzung der von der Veröffentlichung betroffenen Personen. Begründet wurde die Kündigung mit einem Verstoß gegen Bestimmungen des Datenschutzrechts. Der Kläger hatte Prozessakten aus einem vorherigen Kündigungsschutzverfahren zwischen den Parteien, insbesondere Schriftsätze der Beklagten, veröffentlicht, indem er einem größeren Verteilerkreis innerhalb des Betriebs mittels Dropbox Zugriff auf die Dokumente einräumte. Die Schriftsätze enthielten auch Gesundheitsdaten weiterer Mitarbeiter der Beklagten, die dort eindeutig benannt waren.

Der Kläger sah in seinem Verhalten keinen Datenschutzverstoß. Nach seiner Auffassung bestehe keine Geheimhaltungsverpflichtung im Hinblick auf Prozessakten. Auch habe er unter Berücksichtigung von Art. 2 Abs. 2 lit. c DSGVO ausschließlich im Rahmen „persönlicher oder familiärer Tätigkeiten“ gehandelt. Zudem habe er ein berechtigtes Interesse daran gehabt zu dem Fall Stellung zu nehmen und entsprechend zu informieren.

Das zuvor mit der Sache befasste Arbeitsgericht hatte den vom Kläger gestellten Kündigungsschutzantrag abgewiesen. Es war der Auffassung, dass der Kläger mit der Veröffentlichung weiter Teile der Prozessakten durch die Zurverfügungstellung eines Dropbox-Links in rechtswidriger Weise gegen datenschutzrechtliche Bestimmungen verstoßen hat (Arbeitsgericht Stuttgart – Az 25 Ca 1048/19, Urteil vom 04.08.2021).

Entscheidung des LAG Baden-Württemberg

Die vom Kläger beim Landgericht eingelegte Berufung gegen die Abweisung des Kündigungsschutzantrags blieb ohne Erfolg. Dies ergibt sich aus einer Pressemitteilung des LAG:

„Wer im Rahmen eines von ihm angestrengten Gerichtsverfahrens bestimmte Schriftsätze der Gegenseite, in denen Daten, insbesondere auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten), verarbeitet werden, der Betriebsöffentlichkeit durch die Verwendung eines zur Verfügung gestellten Links offenlegt und dadurch auch die Weiterverbreitungsmöglichkeit eröffnet, ohne dafür einen rechtfertigenden Grund zu haben, verletzt rechtswidrig und schuldhaft Persönlichkeitsrechte der in diesen Schriftsätzen namentlich benannten Personen mit der Folge, dass vorliegend die außerordentliche Kündigung der Beklagten gerechtfertigt ist. Die Wahrnehmung berechtigter Interessen des Klägers lag jedenfalls insofern nicht vor, als die Entscheidungsgründe des Urteils des Arbeitsgerichts am Tage der Zurverfügungstellung des Links noch nicht vorlagen und dem Kläger auch noch die Möglichkeit offenstand, gegen das Urteil das Rechtsmittel der Berufung einzulegen, um in diesem Verfahren seinen Standpunkt darzulegen.“

Strenge Anforderung an die Verarbeitung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten unterliegt strengen Anforderungen. Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Solche Daten unterliegen aufgrund ihrer Sensibilität und den besonderen Risiken, die sich aus ihrer Verarbeitung ergeben können, erhöhten Schutzanforderungen. Die Verarbeitung solcher Datenkategorien setzt stets eine Rechtsgrundlage voraus, die sich aus Art. 9 DSGVO oder auch aus speziellen Vorschriften bspw. des Bundesdatenschutzgesetzes ergeben kann.

Nach Art. 9 Abs. 2 lit. f DSGVO dürfen personenbezogene Daten u.a. dann verarbeitet werden, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen wird von der DSGVO als ein berechtigtes Interesse anerkannt, das prinzipiell auch eine Verarbeitung von besonderen Datenkategorien legitimieren kann. Allerdings unter der Voraussetzung, dass die Informationen in Bezug auf die konkreten Ansprüche bzw. Rechte für die gerichtliche Entscheidungsfindung notwendig sind.

Bisher liegt nur die Presseerklärung des LAG vor, die ausführlichen Urteilsgründe bleiben abzuwarten. Denn welchen Umfang die Daten genau haben bzw. wie die Konstellation der veröffentlichten Daten konkret ausgestaltet ist, geht aus der Presseerklärung nicht hervor. Allerdings dürfte es schwierig sein, für die Veröffentlichung von Gesundheitsdaten der eigenen Kollegen innerhalb des Betriebs – und das auch noch über einen Dropbox-Link – eine Rechtsgrundlage ausfindig zu machen. Eine Anwendung des Art. 9 Abs. 2 lit. f DSGVO für die in Rede stehende Veröffentlichung kommt jedenfalls nicht in Betracht, da es dem Kläger vorliegend nicht um die Rechtsdurchsetzung im Rahmen des Prozesses, sondern um die Darstellung seines Standpunkts innerhalb des Betriebs ging.

Stets die datenschutzrechtlichen Grundsätze im Blick behalten

Die wirksame fristlose Kündigung eines langjährigen Betriebsratsmitglieds ist außergewöhnlich, die Umstände jedoch auch. Was bleibt ist ein offensichtlicher Schluss; Die Grundsätze für die Verarbeitung personenbezogener Daten sind stets im Blick zu behalten – auch dann, wenn man sich vermeintlich unberechtigten Vorwürfen gegenübersieht und dazu Stellung beziehen möchte.

Hätte der Kläger bspw. die Interessen der in den Schriftsätzen benannten Personen berücksichtigt und zum Beispiel dafür gesorgt, dass Gesundheitsdaten bzw. Personenbezüge vorher entfernt bzw. unkenntlich gemacht werden, wären die Urteile im Hinblick auf den Vorwurf einer Datenschutzverletzung sicherlich anders bewertet worden.

Update:

Der betroffene Betriebsrat hat sich über die Kommentarfunktion bei uns gemeldet, um seine Sicht der Dinge zu schildern. Wir können keine Wertung vornehmen, aber für das Gesamtbild ist dieser Link interessant: https://www.linkedin.com/pulse/ein-paar-erg%C3%A4nzende-hinweise-zur-aktuellen-bez%C3%BCglich-karsten

- Arbeitnehmer
  Künstliche Intelligenz und Mitbestimmungsrechte des BetriebsratsUrteil·7. März 2024
- Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Active Sourcing – Datenschutz beim E-RecruitingFachbeitrag·20. Februar 2024
Mehr zum Thema
- Arbeitnehmerdatenschutz
  Künstliche Intelligenz und Mitbestimmungsrechte des BetriebsratsUrteil·7. März 2024
- Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Top 5 DSGVO-Bußgelder im November 2023News·4. Dezember 2023
Mehr zum Thema
- Beschäftigtendatenschutz
  Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Active Sourcing – Datenschutz beim E-RecruitingFachbeitrag·20. Februar 2024
Mehr zum Thema
- Betriebsrat
  Künstliche Intelligenz und Mitbestimmungsrechte des BetriebsratsUrteil·7. März 2024
- Betriebsrat: Mitbestimmung bei der ArbeitszeiterfassungFachbeitrag·1. August 2023
- BAG: Betriebsratsvorsitzender kann kein Datenschutzbeauftragter seinUrteil·21. Juni 2023
Mehr zum Thema
- Gesundheitsdaten
  Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
- EuGH: Verarbeitung von GesundheitsdatenUrteil·22. Februar 2024
Mehr zum Thema
- Kündigung
  Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
- Betriebsratsvorsitzender = DSB: Interessenkonflikt? Jein!Urteil·25. April 2023
- Datenschutz beim betrieblichen EingliederungsmanagementFachbeitrag·11. April 2022
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Da leider bisher immer nur Bezug auf die Pressemitteilung des LAG genommen wird, möchte ich hier gerne meine Sicht als Betroffener ebenfalls darlegen.
Es gab nämlich sehr wohl wichtige Gründe, Informationen aus den Schriftsätzen zugänglich zu machen. Die genannten „Gesundheitsdaten“ waren aus den Verhandlungen bekannt und bereits von der Presse berichtet worden. Auch hatte später weder das AG, noch das LAG ein Problem damit, genau diese Gesundheitsdaten im Detail zu veröffentlichen. Lediglich eine Schwärzung der Namen, die den Adressaten aber bekannt waren, wäre sinnvoll gewesen.
Belege hierfür in meinem LinkedIn-Artikel:
https://www.linkedin.com/pulse/ein-paar-erg%C3%A4nzende-hinweise-zur-aktuellen-bez%C3%BCglich-karsten

Karsten vom Bruch am 26. April 2022, 16:09 Uhr

Antworten
- Vielen Dank für den Hinweis. Wir haben ein Update im Artikel formuliert.
  
  Dr. Datenschutz am 27. April 2022, 10:49 Uhr
  
  Antworten