Das Thema
Mit Urteil vom 06.06.2023 (9 AZR 383/19) hat das BAG entschieden, dass die Bestellung eines Betriebsratsvorsitzenden zum Datenschutzbeauftragten aufgrund eines bestehenden Interessenkonflikts widerrufen werden kann. Der BAG-Entscheidung ging ein Vorabentscheidungsersuchen beim EuGH vorweg, über das dieser mit Urteil vom 09.02.2023 (C-453/21) entschied.
Der Fall
Der Kläger steht seit mehr als 30 Jahren in einem Arbeitsverhältnis bei der Beklagten, einem in Dresden ansässigen Unternehmen. Er ist Vorsitzender des bei der Beklagten gebildeten Betriebsrats. Am 01.06.2015 wurde der Kläger zum Datenschutzbeauftragten der Beklagten bestellt. Um einen konzerneinheitlichen Datenschutzstandard sicherzustellen, erfolgte eine Bestellung des Klägers zum Datenschutzbeauftragten auch bei der Muttergesellschaft mit Sitz in Erfurt sowie bei zwei Schwestergesellschaften der Beklagten.
Im November 2017 stellte der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit nach vorheriger Anhörung der Muttergesellschaft fest, dass der Kläger nicht über die für die Bestellung zum betrieblichen Datenschutzbeauftragten erforderliche Zuverlässigkeit verfüge. Die erfolgte Bestellung sei inkompatibel mit dem Amt des Betriebsratsvorsitzenden bei der Beklagten, die somit seit dem 01.06.2015 nicht über einen wirksam bestellten Datenschutzbeauftragten verfüge.
Zur Vermeidung einer Geldbuße widerrief die Beklagte gegenüber dem Kläger die Bestellung zum Datenschutzbeauftragten mit sofortiger Wirkung – einerseits mit Schreiben im Dezember 2017, andererseits mit gesondertem Schreiben nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018.
Mit Klage zum ArbG Dresden verlangte der Kläger die Feststellung, dass seine Bestellung zum Datenschutzbeauftragten der Beklagten nicht wirksam widerrufen worden sei. Das Arbeitsgericht (Urt. v. 27.06.2018 – 10 Ca 234/18) gab dem Kläger recht, das Sächsische LAG (Urt. v.19.08.2019 – 9 Sa 268/18) wies die Berufung der Beklagten zurück.
Das mit der Sache befasste BAG setzte das Verfahren aus und rief den EuGH zu den Fragen an, ob § 6 Abs. 4 Satz 1 BDSG in Einklang mit Art. 38 Abs. 3 Satz 2 DSGVO stehe und ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO vorliege, wenn der Datenschutzbeauftragte zugleich das Amt des Betriebsratsvorsitzenden bei der datenschutzrechtlich Verantwortlichen inne habe.
Nach der Entscheidung des EuGH hat das BAG der Revision der Beklagten stattgegeben.
Die Entscheidung des EuGH
Sowohl die Datenschutzgrundverordnung als auch das Bundesdatenschutzgesetz sehen einen gewissen Schutz des betrieblichen Datenschutzbeauftragten vor einer ungerechtfertigten Abberufung durch den Arbeitgeber vor. Art. 38 Abs. 3 Satz 2 DSGVO bestimmt in diesem Zusammenhang, dass ein Datenschutzbeauftragter von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. Der § 6 Abs. 4 Satz 1 BDSG geht über diesen Schutz hinaus und verlangt für die Abberufung eines Datenschutzbeauftragten einen wichtigen Grund in entsprechender Anwendung des § 626 BGB.
Bereits mit Urteil vom 22.06.2022 hatte der EuGH (C-534/20) sich zu der Frage der Unionsrechtskonformität des Sonderkündigungsschutzes im Rahmen des Arbeitsverhältnisses nach § 6 Abs. 1 Satz 2 BDSG zu verhalten und diese bejaht. Die vorliegend vom BAG aufgerufene Thematik betraf nun die Frage, ob die strenge Abberufungsregelung des § 6 Abs. 4 Satz 1 BDSG ebenfalls mit der DSGVO vereinbar ist.
Auch dies bejaht der EuGH und nimmt dabei in weiten Teilen Bezug auf seine Entscheidung aus dem Jahr 2022 (C-534/20). So stehe es den Mitgliedstaaten frei, strengere Vorschriften für die Abberufung von Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere und vor allem Art. 38 Abs. 3 Satz 2 DSGVO vereinbar seien. Dies sei dann nicht mehr der Fall, wenn die Regelung so streng ist, dass der Verantwortliche den Datenschutzbeauftragten trotz dessen fehlender Qualifikation oder eines herrschenden Interessenkonflikts nicht mehr abberufen kann, obwohl bei fortbestehender Bestellung eine unabhängige Erfüllung der Aufgaben nicht mehr möglich ist. Soweit eine Regelung, die eine Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaubt, diese Grenzen nicht sprengt, ist sie gemäß EuGH mit der DSGVO vereinbar.
Ein solch wichtiger Grund kann in einem unauflösbaren Interessenkonflikt zwischen den Aufgaben des Datenschutzbeauftragten und seinen sonstigen Aufgaben in einer leitenden Funktion liegen. Art. 38 Abs. 6 Satz 2 DSGVO bestimmt, dass der Verantwortliche sicherzustellen hat, dass der Datenschutzbeauftragte nicht in einem Interessenkonflikt steht, soweit dieser neben seiner Aufgabe als Datenschutzbeauftragter auch andere Aufgaben und Pflichten wahrnimmt. In einer weiteren Frage seines Vorabentscheidungsersuchens wollte das BAG vom EuGH wissen, unter welchen Voraussetzungen ein solcher Interessenkonflikt festgestellt werden kann.
Der EuGH stellt dazu fest, dass dem Datenschutzbeauftragten insbesondere keine Aufgaben und Pflichten übertragen werden dürfen, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten beim Verantwortlichen – hier der Beklagten – festzulegen. Letztlich komme es hier auf eine einzelfallbezogene Würdigung an, im Rahmen derer insbesondere die Organisationsstruktur des Verantwortlichen sowie anwendbare Rechtsvorschriften und etwaige interne Vorschriften beim Verantwortlichen berücksichtigt werden müssen.
Die Entscheidung des BAG
Das BAG hatte bereits im Jahr 2011 (Urt v. 23.03.2011 – 10 AZR 562/09) zu einem ähnlich gelagerten Sachverhalt zu entscheiden, im Rahmen dessen die Kompatibilität zwischen Betriebsratsamt und der Position als Datenschutzbeauftragter in Frage stand. Damals verneinte das BAG eine generelle Unvereinbarkeit, da eine Interessenkollision nicht ersichtlich sei. Ein kleiner aber feiner Unterschied zwischen der Entscheidung von damals und dem vorliegenden Fall ist, dass es damals um ein “einfaches” Betriebsratsmitglied und nicht um den Vorsitzenden ging.
In seinem Beschluss über das vorliegend relevante Vorabentscheidungsersuchen (v. 27.04.2021 – 9 AZR 383/19 [A)]) deutet das BAG durchaus noch Sympathie für die damals vertretene Argumentationslinie an. Das Amt des Vorsitzes des Betriebsrats verfüge über kein erhöhtes Potential für einen Interessenkonflikt, verglichen mit anderen Betriebsratsmitgliedern. Der Betriebsratsvorsitz und die damit verbundenen Aufgaben weise keinen besonderen Bezug zu datenschutzrechtlichen Fragestellungen auf. Vielmehr handele es sich um einen Vertreter in der Erklärung, nicht aber um einen Vertreter im Willen des Betriebsrats. Mit anderen Worten: Der Vorsitzende handele regelmäßig in interner, verwaltungsmäßiger und organisatorischer Funktion. Gleichzeitig weist das BAG in seinem Vorabentscheidungsersuchen auch auf die im Schrifttum vertretene Gegenansicht hin und führt die von dieser vertretenen Argumente ins Feld.
In seiner jetzigen Entscheidung kommt das BAG zu dem Schluss, dass die Pflichten des Datenschutzbeauftragten mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren sind. Der damit verbundene Interessenkonflikt rechtfertige es folglich, die Bestellung eines Betriebsratsvorsitzenden zum Datenschutzbeauftragten aus wichtigem Grund zu widerrufen. Die Entscheidung des BAG erging zu § 4 Abs. 3 Satz 4 BDSG a.F., der in seinem Wortlaut nahezu deckungsgleich mit dem heutigen § 6 Abs. 4 Satz 1 BDSG ist.
Nach Ansicht des BAG sorgen die gesetzlichen Aufgaben, die mit den entsprechenden Funktionen verbunden sind, für einen Interessenkonflikt, der die erforderliche funktionale Zuverlässigkeit des Datenschutzbeauftragten aufhebe. Das BAG beschränkt sich dabei auf eine Betrachtung der Funktion des Vorsitzenden und lässt eine Entscheidung hinsichtlich des bloßen Betriebsratsmandats an dieser Stelle dahinstehen.
Der Betriebsrat lege als Gremium Zwecke und Mittel der Verarbeitung personenbezogener Daten fest und entscheide im Wege des Beschlusses darüber, ob und wie er solche Daten im Rahmen der Ausübung seiner Aufgaben verarbeite. Diese bestehen insbesondere in den Beteiligungs- und Mitwirkungsrechten in sozialen, personellen und wirtschaftlichen Angelegenheiten, im Rahmen derer der Betriebsrat personenbezogene Daten verarbeitet. Zwar sei der Zweck der Datenverarbeitung durch das Gremium gesetzlich vorbestimmt, im Rahmen der Verwendung der Daten habe der Betriebsrat jedoch einen erheblichen Entscheidungsspielraum.
Ein Betriebsratsvorsitzender ist nach Ansicht des BAG zunächst ein Betriebsratsmitglied wie jedes andere. Er handele weder als Bevollmächtigter noch als gesetzlicher Vertreter des Gremiums, sondern vertrete allein dessen Beschlüsse und nehme Erklärungen entgegen, die gegenüber dem Betriebsrat abzugeben sind. Indem der Vorsitzende aber im Rahmen und aufgrund der Betriebsratsbeschlüsse vom Arbeitgeber die Übermittlung personenbezogener Daten verlange, vertrete er äußerlich die Interessen des Betriebsrats. Gleichzeitig habe er als Datenschutzbeauftragter zu prüfen, ob das Auskunftsersuchen (und etwaige Schutzvorkehrungen) des Gremiums den datenschutzrechtlichen Vorgaben genügen. Die Bindung an Beschlüsse einerseits und die Verpflichtung durch den Datenschutz andererseits ließen, strukturell bedingt, die erforderliche Neutralität vermissen. Die funktionelle Unabhängigkeit des Datenschutzbeauftragten sei damit gefährdet. Letztlich sei darin ein wichtiger Grund für einen wirksamen Widerruf der Bestellung zu sehen.
Fazit
Anders als im Fall eines einfachen Mitglieds sieht das BAG in der Position des Betriebsratsvorsitzes ein konfliktauslösendes Merkmal, das die unabhängige Stellung des Datenschutzbeauftragten gefährdet. Doch auch andere Betriebsratsmitglieder nehmen an datenschutzrechtlich relevanten Diskussionen innerhalb des Gremiums teil, bevor dieses einen Beschluss über einen Verarbeitungsvorgang fasst, der vom Betriebsratsvorsitzenden kommuniziert wird. Es bleibt vor dem Hintergrund der neuen Entscheidung somit abzuwarten, ob das BAG seine Auffassung aus dem Jahr 2011 betreffend einfache Betriebsratsmitglieder aufrechterhält. Der Fall zeigt einmal mehr die Schwierigkeiten, die aus der Benennung einer unternehmensinternen Person zur Datenschutzbeauftragten erwachsen können. Dies macht eine sorgfältige Prüfung der Frage, ob ein Unternehmen auf einen internen oder einen externen Datenschutzbeauftragten zurückgreift, umso relevanter.