Betriebsratsvorsitzender als Datenschutzbeauftragter?
Ein Betriebsratsvorsitzender kann grundsätzlich nicht auch zugleich Datenschutzbeauftragter sein. Ein Arbeitgeber ist deshalb in aller Regel auch berechtigt, eine Bestellung zum Datenschutzbeauftragten zu widerrufen. Dies hat das Bundesarbeitsgericht festgestellt (Urteil vom 06.06.2023, 9 AZR 383/19).
Sachverhalt
Dem Urteil des Bundesarbeitsgerichts (BAG) liegt folgender Sachverhalt zugrunde: Die Parteien streiten darüber, ob der Widerruf der Bestellung des Klägers zum Datenschutzbeauftragten durch den Arbeitgeber wirksam war.
Der bei der Beklagten angestellte Kläger ist Vorsitzender des Betriebsrats und in dieser Funktion teilweise von der Arbeit freigestellt. Mit Wirkung zum 01.06.2015 hatte die Beklagte und weitere in Deutschland ansässige Tochtergesellschaften den Kläger zum Datenschutzbeauftragten bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte (und die weiteren Konzernunternehmen) die Bestellung des Klägers zum Datenschutzbeauftragten am 01.12.2017 wegen einer Inkompatibilität der Ämter mit sofortiger Wirkung; nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) beriefen sie den Kläger vorsorglich mit Schreiben vom 25.05.2018 gem. Art. 38 Abs. 3 Satz 2 DSGVO erneut ab.
Der Kläger machte mit der Klage geltend, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter der Beklagten bestehe unverändert fort. Die Beklagte vertritt die Auffassung, Interessenkonflikte bei der Wahrnehmung der Aufgaben als Datenschutzbeauftragter und Betriebsratsvorsitzender ließen sich nicht ausschließen, die Unvereinbarkeit beider Ämter stelle einen wichtigen Grund zur Abberufung des Klägers dar.
Die Vorinstanzen haben der Klage stattgegeben.
Entscheidungsgründe
Die Revision der Beklagten hatte vor dem Neunten Senat des BAG Erfolg, nachdem dieser dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 27.04.2021 (9 AZR 383/19 (A)) Fragen gestellt, die der EuGH mit Urteil vom 09.02.2023 (C-453/21) beantwortet hat.
Das BAG stellte unter Berücksichtigung der Entscheidung des EuGH fest, dass bereits der (erste) Widerruf der Bestellung vom 01.12.2017 aus wichtigem Grund, dieser gestützt auf § 4f Abs. 3 Satz 4 BDSG (aF) iVm. § 626 Abs. 1 BGB gerechtfertigt war. Ein solcher wichtiger Grund kann immer dann vorliegen, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit gem. § 4f Abs. 2 Satz 1 BDSG (aF) nicht (mehr) besitzt.
Die Zuverlässigkeit kann in Frage stehen, wenn Interessenkonflikte drohen. Einen abberufungsrelevanten Interessenkonflikt sieht das BAG dann, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleide, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat, wobei alle relevanten Umstände des Einzelfalls zu würdigen sind. Das BAG hat dabei entschieden, dass die vom EuGH vorgenommene Wertung zu einem Interessenkonflikt nach der Rechtslange zur DSGVO (vgl. Art. 38 Abs. 6 Satz 2 DSGVO) auch bereits während der Geltung des BDSG aF galt.
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können danach typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Personenbezogene Daten dürfen dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Der Betriebsrat entscheidet durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet. In diesem Rahmen legt er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Inwieweit jedes an der Entscheidung mitwirkende Mitglied des Gremiums als Datenschutzbeauftragter die Einhaltung der gesetzlichen Pflichten des Datenschutzes hinreichend unabhängig überwachen kann, bedurfte im entschiedenen Fall keiner abschließenden Entscheidung. Jedenfalls die hervorgehobene Funktion eines Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebt die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF auf.
Hinweise für die Praxis
Die Entscheidung erging zwar für die Rechtslage unter dem BDSG aF. und das BAG musste wegen der Wirksamkeit des ersten Widerrufs nicht auch noch über den weiteren Widerruf entscheiden. Das Urteil ist in gleicher Weise aber auch für einen Widerruf einer Bestellung zum Datenschutzbeauftragten unter der Geltung der DSGVO zu beachten. In der Praxis können sich die vorliegenden Fragen z.B. auch für einen Schwerbehindertenvertreter stellen, der zugleich Datenschutzbeauftragter ist.
Wenn ein Betriebsratsvorsitzender zugleich auch Datenschutzbeauftragter ist, so sollte ein Arbeitgeber den Widerruf der Bestellung zum Datenschutzbeauftragten aufgrund der vorliegenden Entscheidung ernsthaft prüfen. Ein Betriebsratsvorsitzender sollte sich evtl. überlegen, nur sein Amt als Betriebsratsvorsitzender niederzulegen, wenn er Datenschutzbeauftragter bleiben will, und damit noch im Betriebsrat zu verbleiben. Die Frage, ob auch das Amt als (nur) mitwirkendes Mitglied des Gremiums bereits inkompatibel zur gleichzeitigen Stellung eines Datenschutzbeauftragten sein kann, ist offen und nicht beantwortet.
Ein Arbeitgeber könnte auch daran denken, Kontakt mit dem Landesdatenschutzbeauftragten aufzunehmen und diesen aufzufordern, zumindest eine Empfehlung zu einem Interessenkonflikt und zu einem deshalb erforderlichen Widerruf abzugeben – im vorliegenden Fall kam es erst auf Veranlassung eines Landesdatenschutzbeauftragten zum Widerruf der Bestellung.
26. Juni 2023