Im Jahr 2011 befand das Bundesarbeitsgericht (BAG), dass es grundsätzlich keine Einwände gäbe, sowohl Mitglied im Betriebsrat zu sein als auch das Amt des Datenschutzbeauftragten auszuüben.
Aktuell hat das BAG jedoch nach Konsultation mit dem Europäischen Gerichtshof (EuGH) in seinem Urteil vom 6. Juni 2023 (9 AZR 383/19) entschieden, dass ein Datenschutzbeauftragter nicht gleichzeitig die Stellung als Betriebsratsvorsitzender innehaben kann.
Der Sachverhalt
Der Rechtsstreit behandelt die Thematik über die Abberufung eines Datenschutzbeauftragten, der gleichzeitig Vorsitzender des Betriebsrates ist.
Der Kläger wurde zuvor von der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten ernannt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerruft die Beklagte die Bestellung des Klägers als Datenschutzbeauftragten aufgrund möglicher Interessenkonflikte zwischen beiden Ämtern. Als Rechtsgrundlage beruft sich die Beklagte auf Art. 38 Abs. 3 Satz 2 DSGVO.
Die Entscheidung
Die Revision vor dem BAG gibt der Beklagten recht. Das Gericht beruft sich auf § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB als rechtliche Grundlage für den Widerruf aus wichtigem Grund. Vorliegend wird mit einem Interessenkonflikt argumentiert.
Die gleichzeitige Ausübung der Funktion des Betriebsratsvorsitzenden und des Datenschutzbeauftragten führt typischerweise zu Interessenkonflikten.
Ein solcher Konflikt tritt auf, wenn der Datenschutzbeauftragte die für die Aufgabenerfüllung notwendige Fachkunde oder Zuverlässigkeit iSd. § 4 Abs. 2 Satz 1 BDSG aF nicht (mehr) besitzt. Insbesondere wird die fehlende Zuverlässigkeit betont, da die Rolle des Betriebsratsvorsitzenden die erforderliche Unabhängigkeit eines Datenschutzbeauftragten beeinträchtigen kann. Mithin kann ein Interessenkonflikt drohen; der Datenschutzbeauftragte hat qua Amt einen umfangreicheren Einblick in Abläufe, Datenverarbeitungen und Prozesse, als ein Betriebsrat.
Daher ist der Widerruf der Bestellung aus wichtigem Grund gerechtfertigt. Die notwendige Zuverlässigkeit für die Aufgabe ist nicht mehr gegeben. Personenbezogene Daten dürfen dem Betriebsrat nur für die Zwecke zur Verfügung stehen, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Der Betriebsrat entscheidet mittels Gremiumsbeschlusses darüber, unter welchen spezifischen Bedingungen personenbezogene Daten vom Arbeitgeber angefordert werden und auf welche Weise er diese anschließend verarbeitet. Innerhalb dieses Rahmens legt er Zwecke und Mittel für die Verarbeitung der Daten fest.
Die Rolle des Betriebsrats beim Beschäftigtendatenschutz
Der Betriebsrat vertritt die Interessen der Beschäftigten gemäß § 5 BetrVG und übernimmt auch Aufgaben im Beschäftigtendatenschutz. Gemäß Art. 6 DSGVO gilt das Verbotsprinzip mit Erlaubnisvorbehalt, wodurch die Erhebung, Verarbeitung und Nutzung von Daten nur unter bestimmten Bedingungen zulässig ist, bspw. durch die Einwilligung des Betroffenen oder die Erfüllung eines Vertrags.
Das Mitbestimmungsrecht des Betriebsrats schützt die Beschäftigten u.a. vor Leistungs- und Kontrolleinrichtungen, die in ihre Persönlichkeitsrechte eingreifen. Zwar dürfen personenbezogene Daten nach § 26 BDSG im Beschäftigungsverhältnis erhoben werden, jedoch bedarf es hierbei des Zweckbindungs- und Erforderlichkeitsgrundsatzes.
Die Erforderlichkeit basiert auf einer Interessenabwägung und fordert, dass die Maßnahme zumindest geeignet ist, den angestrebten Zweck zu fördern. Zudem muss sie angemessen sein, was bedeutet, dass es kein milderes Mittel gibt, das in geringerem Maße in die Persönlichkeitsrechte des Beschäftigten eingreift und gleichzeitig effektiv wirkt. Zuletzt muss der Nachteil des Beschäftigten und der angestrebte Erfolg durch den Eingriff im Verhältnis stehen.
Bewertung und Ausblick
Die jüngste Entscheidung des BAG, dass ein Datenschutzbeauftragter nicht gleichzeitig den Vorsitz im Betriebsrat innehaben kann, könnte zu einem verstärkten Bewusstsein und rechtlichen Klärungen in Bezug auf Interessenkonflikte in solchen Doppelfunktionen führen. Die Begründung für den Widerruf erscheint fundiert und stützt sich auf die mangelnde Zuverlässigkeit des Betriebsratsvorsitzenden. Eine Argumentation zur Notwendigkeit von Unabhängigkeit und Zuverlässigkeit in der Datenschutzrolle ist nachvollziehbar.
Mit der ständigen Weiterentwicklung des Datenschutzrechts, insbesondere im Kontext der Datenschutzgrundverordnung, könnten sich weitere Anpassungen oder Präzisierungen ergeben, die Auswirkungen auf solche Doppelfunktionen haben. Es ist vorstellbar, dass andere Gerichte ebenfalls der Rechtsprechung des BAG folgen.
Jedoch könnte auch die Frage aufgeworfen werden, ob nicht andere Positionen mit der eines Datenschutzbeauftragten in Einklang möglich sind. Der abberufungsrelevante Interessenkonflikt ist anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung bereits eine Position bekleidet, die die Festlegung von Zwecken und Mitteln bei der Verarbeitung personenbezogener Daten zum Gegenstand hat, wie oben benannt der Betriebsrat.
Unternehmen können in jedem Fall ihre internen Richtlinien und Strukturen anpassen, um potenziellen Interessenkonflikten entgegenzuwirken und die Einhaltung der Datenschutzbestimmungen sicherzustellen. Insgesamt hängt die Zukunftsaussicht stark von der Entwicklung der Rechtsprechung, Gesetzgebung und unternehmensinternen Praktiken ab.