Neues zum Datenschutzrecht
16.6.2023
BAG: Funktion von Datenschutzbeauftragten unvereinbar mit Betriebsratsvorsitz
Das Bundesarbeitsgericht (BAG) hat entschieden, dass der Vorsitz im Betriebsrat einer Wahrnehmung der Aufgaben von Datenschutzbeauftragten typischerweise entgegensteht und den Arbeitgeber in aller Regel berechtigt, die Bestellung zum Datenschutzbeauftragten zu widerrufen (Pressemitteilung des BAG v. 6.6.2023).
Der BAG-Entscheidung vorausgegangen war ein Vorabentscheidungsersuchen des Gerichts an den EuGH (BAG, 27.4.2021 – 9 AZR 383/19 (A)). Der EuGH urteilte, dass ein abberufungsrelevanter Interessenkonflikt anzunehmen ist, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (EuGH, 9.2.2023, Rs. C-453/21, X-FAB Dresden). Auf dieser Grundlage kommt das BAG zu dem Ergebnis, dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können.
Sachverhalt
Das Urteil betrifft die Abberufung eines betrieblichen Datenschutzbeauftragten, der zugleich das Amt des Betriebsratsvorsitzenden ausgeübt hat. Der Datenschutzbeauftragte war zudem – separat bestellter – Datenschutzbeauftragter der Muttergesellschaft des Unternehmens und weiterer Tochtergesellschaften, die ihn alle separat abberufen haben. Die Abberufungen erfolgten im Jahr 2017 gemäß den seinerzeit geltenden BDSG-Vorschriften a.F. unter Verweis auf den für die Muttergesellschaft und die anderen Tochtergesellschaften zuständigen Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit, der im Rahmen seiner Zuständigkeit ausschließlich in Bezug auf die anderen Gesellschaften tätig war. Vorsorglich erfolgte eine (weitere) Abberufung am 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 DSGVO. Der Verantwortliche und Arbeitgeber begründete die Abberufung wie zuvor den Widerruf nach § 4f Abs. 3 Satz 4 BDSG a.F. i.Vm. § 626 Abs. 1 BGB mit der fehlenden Zuverlässigkeit aufgrund der Gefahr eines Interessenkonflikts. Die Ämter des Datenschutzbeauftragten und des Betriebsratsvorsitzenden seien nicht miteinander vereinbar. Damit liege ein wichtiger Grund i.S.v. § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 1 BDSG vor, der eine Abberufung des Datenschutzbeauftragten rechtfertige. Dagegen klagte der abberufende Datenschutzbeauftragte. Das Arbeitsgericht und das Landesarbeitsgericht haben der Klage stattgegeben, worauf die Beklagte in Revision ging.
EuGH-Urteil im Vorabentscheidungsverfahren
Das BAG sah sich nicht in der Lage, die mit der Abberufung aufgefworfene Frage zu beantworten, ob ein Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DSGVO vorliegt, wenn Datenschutzbeauftragte zugleich den Betriebsratsvorsitz innehaben. Auf diese Frage kam es hier an, da das BAG zumindest für die Rechtslage unter BDSG a.F. und die seinerzeit erfolgten Abberufungen davon ausging, dass sowohl für ein einfaches Betriebsratsmitglied als auch für einen Betriebsratsvorsitz keine Gefahr einer Interessenkollision bestehe (BAG, 27.4.2021 – 9 AZR 383/19 (A), Rn. 44).
Neben Fragen zur europarechtlichen Zulässigkeit nationaler Vorschriften - hier konkret § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 Satz 1 BDSG – mit strengeren Voraussetzungen für die Abberufung von Datenschutzbeauftragten als sie die unionsrechtliche Regelung in Art. 38 Abs. 3 Satz 2 DSGVO enthält, bat das BAG (9 AZR 383/19 (A)) um Auskunft dazu, ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO vorliegt, wenn der Datenschutzbeauftragte zugleich Betriebsratsvorsitzender ist und ob es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats bedarf.
Der EuGH hat im Rahmen des Vorabentscheidungsverfahren am 9.2.2023 (Rs. C-453/21, X-FAB Dresden) zwar entschieden, dass es EU-Mitgliedstaaten freisteht, in Ausübung ihrer Zuständigkeit strengere Vorschriften für die Abberufung von Datenschutzbeauftragten vorzusehen. Entsprechende nationale Regelungen verstoßen nicht gegen die DSGVO (dazu s. Datenschutz-News v. 10.2.2023). Die vorgelegte Frage zum Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DSGVO im Fall des Datenschutzbeauftragten, der zugleich Betriebsratsvorsitzender ist, wurde vom EuGH jedoch nicht (wirklich) beantwortet. Vielmehr verallgemeinerte das Gericht die Vorlagefrage des BAG dahingehend, unter welchen Voraussetzungen das Vorliegen eines Interessenkonflikts festgestellt werden kann. Und auch hier wurde der EuGH wenig konkret. Ob ein Interessenkonflikt vorliegt, kann und muss vielmehr das nationale Gericht im Einzelfall unter Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen bzw. Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften feststellen. Dabei ist zu beachten, dass zur Wahrung der funktionellen Unabhängigkeit des Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Das stünde im Widerspruch zur gesetzlichen Vorgabe, dass der Datenschutzbeauftragte die Überwachung dieser Zwecke und Mittel unabhängig durchführen muss.
BAG-Entscheidung
Im Anschluss und auf Grundlage dieses EuGH-Urteils hat das BAG entschieden, dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Personenbezogene Daten dürfen dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Unter welchen konkreten Umständen der Betriebsrat in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet, entscheidet der Betriebsrat durch Gremiumsbeschluss. In diesem Rahmen legt er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Die hervorgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, begründet die Gefahr einer Interessenkollision. Die damit fehlende Zuverlässigkeit hat den Verantwortlichen im zugrundeliegenden Fall zur Abberufung des Datenschutzbeauftragten berechtigt (Pressemitteilung des BAG v. 6.6.2023).
Fazit
Das BAG hat eine durchaus bemerkenswerte Kehrtwende vorgenommen. Das Gericht hat zwar keine Aussage dazu getroffen, ob die Unvereinbarkeit der Funktion eines Datenschutzbeauftragten für jede Form einer Betriebsratsmitgliedschaft gilt. Das musste im konkreten Fall nicht abschließend entschieden werden. Allerdings nahm das BAG Abstand von seiner im Vorlagebeschluss geäußerten Ansicht, dass es nach seiner bisherigen Rechtsprechung sowohl bei einer einfachen Mitgliedschaft im Betriebsrat als auch beim Betriebsratsvorsitz grundsätzlich keinen Interessenkonflikt für einen Datenschutzbeauftragten sieht – und zwar bereits unter der Geltung des BDSG a.F. Das Gericht hat nicht den Versuch unternommen, etwaige höhere Anforderungen aufgrund der DSGVO zu konstruieren, sondern deutlich festgestellt, dass die vom EuGH zum Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DSGVO vorgenommene Wertung nicht erst seit Novellierung des Datenschutzrechts aufgrund der DSGVO gilt, sondern bereits der Rechtslage nach dem BDSG in der bis zum 24. Mai 2018 gültigen Fassung (a.F.) entsprach. Für eine weitere Beurteilung bleibt die Urteilsbegründung abzuwarten, die bislang noch nicht veröffentlicht wurde.
Die praxisrelevante Frage, ob bei einem Datenschutzbeauftragten, der zugleich Betriebsratsvorsitzender ist, ein Interessenkonflikt besteht, wurde vom BAG bejaht. Das Urteil schafft Rechtssicherheit und sollte sowohl bei der Berufung von Datenschutzbeauftragten als auch bei deren Abberufung aufgrund einer Gefahr von Interessenkonflikten berücksichtigt werden. Offen bleibt, wie die Frage der Interessenkollision bei „einfachen“ Betriebsratsmitgliedern zu beurteilen ist. Die vom EuGH geforderte Fokussierung darauf, dass Art. 38 Abs. 6 DSGVO die funktionelle Unabhängigkeit des Datenschutzbeauftragten wahren und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleisten soll, spricht jedenfalls für einen strengen Prüfungsmaßstab und eine stärkere Zurückhaltung, wenn ein Datenschutzbeauftragter weitere Ämter bekleiden bzw. Funktionen wahrnehmen soll.
Sollten Sie Fragen zur Bestellung, Abberufung oder Kündigung von Datenschutzbeauftragten haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht