Das Thema
Das LAG Sachsen hat jüngst entschieden, dass ein Betriebsratsvorsitzender zugleich Datenschutzbeauftragter eines Unternehmens sein kann (Urteil vom 19.08.2019 – 9 Sa 268/18). Die Revision zum BAG ist zugelassen.
Es ist zu hoffen, dass das BAG dies anders sieht, da die Verantwortlichkeiten von Datenschutzbeauftragtem und Betriebsrat vielfach in einem Spannungsverhältnis stehen. Und es käme – im Moment kommt es – zu weitreichenden Folgen in der Praxis: denn zum einen können die Einsichtsrechte des Datenschutzbeauftragten weitreichender sein als die des Betriebsratsvorsitzenden und zum anderen kann keine unabhängige Kontrolle der Datenverarbeitungstätigkeiten des Betriebsrates mehr gewährt werden.
Der Fall: Freigestellter Betriebsratsvorsitzender wird Datenschutzbeauftragter
Der Kläger ist freigestellter Betriebsratsvorsitzender und stellvertretender Gesamtbetriebsratsvorsitzender der Unternehmensgruppe. Mit Wirkung zum 1. Juni 2015 wurde er zum Datenschutzbeauftragten seines Unternehmens sowie den drei weiteren in Deutschland ansässigen Unternehmen des Konzerns bestellt mit dem Ziel, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
Im Jahr 2017 rügte der Landesbeauftragte für Datenschutz (!), dass der Kläger aufgrund der bestehenden Interessenkollisionen mit seiner hauptberuflichen Tätigkeit als Betriebsratsvorsitzender nicht über die für das Amt des Datenschutzbeauftragten erforderliche Zuverlässigkeit verfüge. Wenn ein Betriebsratsvorsitzender, der nach § 80 Abs. 1 BetrVG den betrieblichen Datenschutz zu überwachen habe, gleichzeitig als Datenschutzbeauftragter konzernweiten Datenschutz entwickeln müsse, verstoße dies gegen den Grundsatz, dass niemand „Richter in eigener Sache“ sein dürfe. Der Landesbeauftragte für Datenschutz stellte daraufhin fest, der Kläger sei nicht wirksam als betrieblicher Datenschutzbeauftragter bestellt worden. Damit sei die Beklagte ihrer Pflicht nach § 4f BDSG a.F. zur Bestellung eines geeigneten betrieblichen Datenschutzbeauftragten nicht nachgekommen und habe eine Ordnungswidrigkeit begangen, die mit einer Geldbuße in Höhe von bis zu EUR 50.000 geahndet werden könne. Zur Vermeidung der Geldbuße sei unverzüglich ein geeigneter Datenschutzbeauftragter zu bestellen.
Daraufhin wurde die Bestellung des Klägers zum Datenschutzbeauftragten für alle vier Unternehmen mit sofortiger Wirkung widerrufen und eine neue Datenschutzbeauftragte bestellt. Nach Inkrafttreten der DSGVO wurde der Kläger mit einem weiteren Schreiben vorsorglich aus betriebsbedingten Gründen gemäß Art. 38 Abs. 3 Satz 2 DSGVO abberufen.
Mit seiner Klage beantragt der Kläger die Feststellung, dass er nicht wirksam als Datenschutzbeauftragter abberufen wurde.
LAG: Amt des Betriebsratsvorsitzenden ist mit Amt des Datenschutzbeauftragten vereinbar
Das LAG Sachsen gab ihm Recht. Nach Auffassung des LAG Sachsen ist das Amt des Betriebsratsvorsitzenden mit dem Amt des Datenschutzbeauftragten nicht unvereinbar. Es bezog sich dabei auf ein Urteil des Bundesarbeitsgerichts, in dem entschieden wurde, dass die Mitgliedschaft im Betriebsrat diese Person für das Amt des Beauftragten für den Datenschutz nicht unzuverlässig mache und insoweit grundsätzlich keine Inkompatibilität zwischen diesem beiden Ämtern bestehe (Urteil vom 23. März 2011, Az: 10 AZR 562/09).
Es erschließe sich dem Gericht nicht, warum für den Betriebsratsvorsitzenden anderes gelten solle als für ein „einfaches“ Betriebsratsmitglied.
Datenschutz im Unternehmen bei Personalunion gewährleistet?
Grundsätzlich sind drei Stellen vorgesehen, die den Datenschutz im Unternehmen überwachen: die Datenschutzbehörden, der betriebliche Datenschutzbeauftragte sowie der Betriebsrat. Verschmelzen Betriebsrat und Datenschutzbeauftragter zur Personalunion, so wird aus einem Sechs-Augen-Prinzip lediglich ein Vier-Augen-Prinzip.
Der Wegfall der dritten Kontrollinstanz führt letztlich zu einer Schwächung des Arbeitnehmerdatenschutzes. Schon vor diesem Hintergrund ist die Personalunion von Betriebsrat und Datenschutzbeauftragtem kritisch zu betrachten.
Verhältnis von betrieblicher Mitbestimmung und Datenschutz
Die Rolle des Betriebsrats beim Arbeitnehmerdatenschutz ist immer wieder Gegenstand kontroverser Diskussionen. Dies liegt insbesondere daran, dass Datenschutz- und Betriebsverfassungsrecht teils parallel verlaufen, teils jedoch auch in einem Spannungsverhältnis stehen.
Eine Parallelität besteht insbesondere darin, dass sowohl der Datenschutzbeauftragte (nach Art. 39 Abs. 1 DSGVO) als auch der Betriebsrat (nach § 80 Abs. 1 Nr. 1 BetrVG) verpflichtet sind, die Einhaltung der Datenschutzvorschriften im Unternehmen sicherzustellen.
Spannungen entstehen regelmäßig bei Fragen der Datenverarbeitung durch den Betriebsrat. Denn auch der Betriebsrat ist zur Einhaltung des Datenschutzrechts verpflichtet und genießt keinerlei Privilegierung, wenn es um die Verarbeitung personenbezogener Daten geht.
Problematisch ist, dass ein Betriebsrat, der zugleich Datenschutzbeauftragter ist, sich nicht selbst überwachen kann. Der Einwand des Landesbeauftragten für Datenschutz, dass der Datenschutzbeauftragte in diesem Fall „Richter in eigener Sache“ sei, erscheint vor diesem Hintergrund durchaus berechtigt. Dies gilt umso mehr seit die DSGVO die Kontrollbefugnisse des Datenschutzbeauftragten gegenüber dem alten Datenschutzrecht gestärkt hat.
Einsichtsrecht des Datenschutzbeauftragten geht weiter als das des Betriebsratsmitgliedes
Sowohl das Urteil des LAG Sachsen als auch das Urteil des BAG, dessen Meinung sich das LAG anschließt, befassten sich mit Fällen aus der Zeit VOR Geltung der DSGVO. Es ist fraglich, ob auch unter der DSGVO noch eine Vereinbarkeit beider Ämter angenommen werden kann. Die DSGVO hat die Stellung des Datenschutzbeauftragten weiter gestärkt und in Art. 38 DSGVO ein umfassendes Informationsrecht normiert.
Nach Art. 39 Abs. 1 lit. b DSGVO gehört es zu den wesentlichen Aufgaben des Datenschutzbeauftragten, die Einhaltung der Datenschutzvorschriften zu überwachen. Zu diesem Zweck ist dem Datenschutzbeauftragen zwingend Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu gewähren (Art. 38 Abs. 2 DSGVO). Dies umfasst weitreichende Einsichts- und Zugriffsrechte sowie Zutrittsrechte zu allen Bereichen des Unternehmens, in denen Verarbeitungen personenbezogener Daten durchgeführt werden können.
Auf diese Weise könnte ein Betriebsratsmitglied oder -vorsitzender, der zugleich Datenschutzbeauftragter ist, an Informationen gelangen, die weit über die Informationsrechte des Betriebsrates hinausgingen.
Ausreichende Aufgabenerfüllung?
Fraglich ist darüber hinaus, ob beiden Ämtern ausreichend Rechnung getragen werden kann, wenn sie in Personalunion bekleidet werden. Die Freistellung von Betriebsratsmitgliedern nach § 38 Abs. 1 BetrVG dient schließlich gerade dem Zweck, die sachgerechte Wahrnehmung der dem Betriebsrat obliegenden Aufgaben sicherzustellen.
Eine unzureichende Aufgabenwahrnehmung als Datenschutzbeauftragter ist jedenfalls von der Rechtsprechung des BAG als Grund für einen Widerruf anerkannt.
BAG sollte, nein “muss” das LAG korrigieren
Entgegen der Auffassung des Gerichts sind die Ämter des Datenschutzbeauftragten und Betriebsratsvorsitzenden nicht miteinander vereinbar. Der Wegfall einer Kontrollinstanz durch die Verschmelzung der Ämter in einer Person ist dem Arbeitnehmerdatenschutz nicht zuträglich. Zudem kann angezweifelt werden, ob ein wegen seiner Betriebsratstätigkeit freigestellter Mitarbeiter zusätzlich in ordnungsgemäßer Weise den Aufgaben als Datenschutzbeauftragter nachkommen kann.
Problematisch ist jedoch vor allem, dass zum einen die Einsichtsrechte des Datenschutzbeauftragten weitreichender sein können als die des Betriebsratsvorsitzenden und zum anderen keine unabhängige Kontrolle der Datenverarbeitungstätigkeiten des Betriebsrates gewährt werden kann. Dies gilt umso mehr, seit die Kontrollbefugnisse des Datenschutzbeauftragten durch die DSGVO gestärkt wurden. Damit besteht eine Unvereinbarkeit der beiden Ämter jedenfalls seit Geltung der DSGVO.
Da vor diesem Hintergrund höchst fraglich ist, ob das BAG seine Meinung zur Vereinbarkeit der Ämter beibehält, sollte vermieden werden, Betriebsräte zum Datenschutzbeauftragten zu bestellen. Anderenfalls besteht das Risiko, dass die Bestellung zum Datenschutzbeauftragten nicht wirksam war und diese Ordnungswidrigkeit mit hohen Geldbußen belegt wird.