
Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 6. Juni 2023 – 9 AZR 383/19 (bislang nur als Pressemitteilung veröffentlicht) entschieden, dass der Betriebsratsvorsitzende nicht zugleich Datenschutzbeauftragter sein kann. Damit ändert das BAG seine bisherige Rechtsprechung. Wir stellen die Entscheidung vor.
Sachverhalt
Der Kläger ist Arbeitnehmer der Beklagten. Er ist zudem Betriebsratsvorsitzender, wofür er teilweise freigestellt ist. Im Jahr 2015 bestellte die Beklagte den Kläger zusätzlich zum betrieblichen Datenschutzbeauftragten. Im Jahr 2017 widerrief die Beklagte die Bestellung zum Datenschutzbeauftragten gemäß § 4f Abs. 3 Satz 4 Bundesdatenschutzgesetz (BDSG) a.F., nachdem der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit Zweifel an der Kompatibilität der Ämter als Betriebsratsvorsitzender einerseits und als Datenschutzbeauftragter andererseits geäußert hatte. Nachdem die VO (EU) 2016/679 (Datenschutz-Grundverordnung - „DS-GVO“) im Jahr 2018 in Kraft trat, hat die Beklagte den Kläger vorsorglich auch gemäß § 38 Abs. 3 Satz 2 DS-GVO als Datenschutzbeauftragten abberufen. Der Kläger wendet sich mit seiner Klage gegen den Widerruf und die vorsorgliche Abberufung als Datenschutzbeauftragter.
Hintergrund und Vorlage an den Europäischen Gerichtshof (EuGH)
Die Entscheidung des BAG ist unter mehreren Blickwinkeln interessant. Zum einen war zu entscheiden, wie sich die Regelungen des BDSG und der DS-GVO zum Widerruf der Bestellung des Datenschutzbeauftragten zueinander verhalten. Zum anderen steht die Frage der Vereinbarkeit der Ämter als Betriebsratsvorsitzender einerseits und als Datenschutzbeauftragter andererseits im Fokus. Zu beiden Fragen hat das BAG den EuGH angerufen (vgl. EuGH, Urteil vom 9. Februar 2023 – C-453/21).
- Die DS-GVO ist unmittelbar anwendbares Recht. Daneben bestehen die Regelungen des BDSG. Die Regelungen des BDSG ergänzen und konkretisieren die Regelungen der DS-GVO, dürfen ihnen aber nicht widersprechen. In § 38 Abs. 3 Satz 2 DS-GVO ist geregelt, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. In § 4f Abs. 3 Satz 4 BDSG a.F. (seit Inkrafttreten der DS-GVO: § 6 Abs. 4 Satz 1 BDSG) ist geregelt, dass die Bestellung des Datenschutzbeauftragten in entsprechender Anwendung des § 626 BGB widerrufen werden kann. Die Voraussetzungen für den Widerruf der Bestellung des Datenschutzbeauftragten nach den Regelungen des BDSG sind danach enger als nach den Regelungen der DS-GVO. Das BDSG fordert für den Widerruf der Bestellung in jedem Fall das Vorliegen eines wichtigen Grundes im Sinne des § 626 BGB, auch wenn der Widerruf nichts mit der Erfüllung der Aufgaben des Datenschutzbeauftragten zu tun hat. Der Datenschutzbeauftragte ist besonders umfassend vor dem Widerruf der Bestellung geschützt. Der EuGH sah darin keinen Widerspruch zu § 38 Abs. 3 Satz 2 DS-GVO.
- Der EuGH hat die weitere Vorlagefrage des BAG nach der Vereinbarkeit des Amts als Betriebsratsvorsitzender mit dem Amt als Datenschutzbeauftragter unter Berücksichtigung der Zielsetzung von § 38 Abs. 6 DS-GVO beantwortet. Der Datenschutzbeauftrage dürfe zwar parallel andere Aufgaben wahrnehmen, dabei aber keinem Interessenkonflikt ausgesetzt sein. Die Unabhängigkeit des Datenschutzbeauftragten dürfe nicht gefährdet werden. Deshalb dürfen ihm keine anderen Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob das der Fall ist, haben die nationalen Gerichte zu beurteilen.
Die Entscheidung
Das BAG hat sich ausgehend von der Entscheidung des EuGH von seiner bisherigen Rechtsprechung abgewandt, nach der das Betriebsratsamt mit der Aufgabe als Datenschutzbeauftragter vereinbar sei (vgl. BAG, Urteil vom 23. März 2011 − 10 AZR 562/09). Jedenfalls die Ämter als Betriebsratsvorsitzender einerseits und Datenschutzbeauftragter andererseits seien miteinander nicht kompatibel.
Ausgehend von der Wertung des EuGH führt das BAG aus, dass ein wichtiger Grund für den Widerruf der Bestellung des Datenschutzbeauftragten im Sinne des § 4f Abs. 3 Satz 4 BDSG a.F. i.Vm. § 626 Abs. 1 BGB vorliege, wenn dem zum Datenschutzbeauftragten bestellten Arbeitnehmer die für die Aufgaben eines Datenschutzbeauftragen nötige Fachkunde und Zuverlässigkeit fehlt. Das kann insbesondere dann der Fall sein, wenn ein Interessenkonflikt bei der Aufgabenerfüllung droht. In diesem Fall ist die Unabhängigkeit des Datenschutzbeauftragten gefährdet. Ein solcher Interessenkonflikt droht, wenn der Datenschutzbeauftragte eine weitere Funktion beim Arbeitgeber wahrnimmt, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat.
Das Amt als Betriebsratsvorsitzender sieht das BAG als hinreichend konfliktträchtig an. Der Betriebsrat hat zwar nur in begrenztem Umfang Zugang zu personenbezogenen Daten. Zu den im Betriebsverfassungsgesetz (BetrVG) vorgesehenen Zwecken, muss der Arbeitgeber dem Betriebsrat personenbezogene Daten aber zugänglich machen. Der Betriebsrat entscheidet durch Beschluss darüber, welche personenbezogenen Daten er im konkreten Fall zur Erfüllung seiner Aufgaben vom Arbeitgeber anfordert. Dadurch legt der Betriebsrat nach Auffassung des BAG im Sinne der vom EuGH vorgegebenen Auslegung die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Jedenfalls der Betriebsratsvorsitzende, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, sei mit einem Interessenkonflikt belastet, der die erforderliche Zuverlässigkeit des Datenschutzbeauftragten aufhebe.
Praxishinweis
Die Entscheidung liegt bislang nur als Pressemitteilung vor. Interessant bleibt, wo das BAG die Grenze zieht, ab der die Unabhängigkeit des Datenschutzbeauftragten bei der Überwachung und Beratung des Arbeitgebers bei der Einhaltung von Datenschutzvorschriften nicht mehr gewährleistet ist. Ob auch ein ordentliches Betriebsratsmitglied bereits einem abberufungsrelevanten Interessenkonflikt ausgesetzt ist, hat das BAG, soweit aus der Pressemitteilung ersichtlich, ausdrücklich offengelassen.
Es gibt Anhaltspunkte dafür, dass das BAG auch insofern zukünftig strengere Maßstäbe anlegen könnte. Soweit der Betriebsrat zur Erfüllung seiner gesetzlich zugewiesenen Aufgaben personenbezogene Daten verarbeitet, ist gemäß § 79a Satz 2 BetrVG nicht er selbst Verarbeiter personenbezogener Daten im Sinne der DS-GVO, sondern wird dem Arbeitgeber als Verarbeiter zugeordnet. Ein Betriebsratsmitglied, das zugleich Datenschutzbeauftragter ist, hätte sich in der Folge selbst als Mitglied einer datenschutzrechtlich dem Arbeitgeber zugeordneten Einheit zu überwachen und zu beraten. Zudem hat der Datenschutzbeauftragte zur Erfüllung seiner Aufgaben eine weitere Zugriffsbefugnis auf personenbezogene Daten als der Betriebsrat. Während der Betriebsrat personenbezogene Daten nur zur Erfüllung der ihm im BetrVG zugewiesenen Aufgaben vom Arbeitgeber anfordern darf, hat der Datenschutzbeauftragte grundsätzlich unbeschränkten Zugang zu personenbezogenen Daten.
Die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen, betrifft bereits kleinere und mittelgroße Arbeitgeber. Sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist zwingend ein Datenschutzbeauftragter zu bestellen. Nicht selten wird die Aufgabe in der betrieblichen Praxis Mitgliedern des Betriebsrats übertragen. Arbeitgeber sollten die Entscheidung des BAG zum Anlass nehmen, kritisch zu prüfen, ob die Unabhängigkeit des Datenschutzbeauftragten unter Berücksichtigung weiterer von ihm übernommener Aufgaben gewährleistet ist.
