Darf ein Betriebsrat auch Datenschutzbeauftragter sein?

Betriebsratsmitglied als Datenschutzbeauftragter – geht das?

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 stehen unzählige Datenschutzexperten vor derselben Frage: Ist eine Personalunion zwischen Betriebsratsmitglied und Datenschutzbeauftragten möglich?
Es herrscht seither Uneinigkeit, doch nun soll endlich Klarheit geschaffen werden. Denn das Bundesarbeitsgericht (BAG) befragt den Europäischen Gerichtshof (EuGH) zur Abberufung des Datenschutzbeauftragten im Rahmen des Vorabentscheidungsverfahren gem. Art. 267 AEUV. Der EuGH soll klären, unter welchen Voraussetzungen ein betrieblicher Datenschutzbeauftragter abberufen werden kann.

Worum geht es?

Bei dem Kläger handelt es sich um den Vorsitzenden des Betriebsrats einer Unternehmensgruppe. Zusätzlich wurde dieser zum Datenschutzbeauftragten des Unternehmens, sowie drei weiterer Konzernunternehmen bestellt mit dem Hintergrund, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

Im Jahr 2017 rügte der Landesbeauftragte für Datenschutz, dass die Aufgabe als Betriebsratsmitglied mit der Stellung als Datenschutzbeauftragten nicht vereinbar sei. Daraufhin wurde der Kläger von dessen Arbeitgeber als Datenschutzbeauftragter abberufen. Als Argument dafür, wurde eine Interessenkollision beider – sich teilweise entgegenstehender –  Aufgaben von Betriebsratsmitglied und Datenschutzbeauftragten angeführt. Der Arbeitnehmer erhob Klage und will feststellen lassen, dass seine Rechtsstellung als Datenschutzbeauftragter unverändert fortbesteht.

Mit seiner Klage wollte der Kläger bewirken, dass eine Abberufung als Datenschutzbeauftragter als unwirksam festgestellt werde.

Besteht ein Interessenskonflikt zwischen den Aufgaben eines Betriebsmitglieds und des Datenschutzbeauftragten? 

Denn sowohl der Datenschutzbeauftragte (nach Art. 39 Abs.1 DSGVO), also auch das Betriebsratsmitglied (nach § 80 Abs.1 Nr.1 BetrVG) sind zur Einhaltung und Sicherstellung der Datenschutzvorschriften zuständig. Problematisch ist aber, dass der Datenschutzbeauftragte auch in der Pflicht steht, den Betriebsrat zu überprüfen – logischerweise kann ein Datenschutzbeauftragter, der zugleich Betriebsratsmitglied ist, sich selbst nicht effektiv überwachen.

Mit Inkrafttreten der DSGVO im Mai 2018 wurden die Kontrollbefugnisse des Datenschutzbeauftragten gegenüber dem alten Datenschutzrecht gestärkt. Im Zuge dessen erhielt dieser weitergehende Befugnisse als ein Betriebsratsmitglied. Denn zur Überwachung der Einhaltung des Datenschutzrechts wird dem Datenschutzbeauftragten gem. § 38 Abs.2 DSGVO ein unbeschränkter Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt. Solch ein unbeschränktes Zugangsrecht kann der Betriebsrat wiederum nicht aufweisen. Wenn das Betriebsratsmitglied also auch zugleich Datenschutzbeauftragter ist, käme es somit an Informationen, die weit über dessen originäres Informationsrecht hinausgehen. Hierin kann also ein Informationskonflikt ohne Weiteres gesehen werden.

Diese Ansicht wurde auch vom Beklagten vertreten. Das deutsche Datenschutzrecht regelt in § 38 Abs.2 i.V.m. § 6 Abs.4 S.1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund im Sinne von § 626 BGB vorliegen muss. Im Interessenskonflikt wurde ein solcher wichtiger Grund gesehen, woraufhin die Abberufung folgte.

Das Sächsische Landesarbeitsgericht (Beschluss vom 19.08.2019 – 9 Sa 268/18) sah dies aber anders und verneinte das Vorliegen eines wichtigen Grundes unter Berufung auf ein vor Inkrafttreten der DSGVO ergangenes Urteil, wonach allein aus der Mitgliedschaft im Betriebsrat für den Arbeitnehmer noch keine Unzulässigkeit für die Ausübung des Amtes eines Datenschutzbeauftragten folge und insoweit grundsätzlich keine Inkompatibilität zwischen diesem beiden Ämtern bestehe. Ein Betriebsratsmitglied kann danach also gleichzeitig Datenschutzbeauftragter sein. (BAG 23.03.2011, 10 AZR 562/09).

Dabei verkennt das Gericht jedoch, dass das herangezogene Urteil aus einer Zeit vor Geltung der DSGVO stammt und berücksichtigt somit die neue Rechtslage – allen voran die gestärkte Rechtsposition des Datenschutzbeauftragten – nicht in ausreichendem Maße. Dabei betont das Gericht ausdrücklich, dass es keinen Unterschied mache, ob es sich hierbei um einen Betriebsratsvorsitzenden oder um ein bloßes Betriebsratsmitglied ohne Vorsitz handele. Gründe für eine Unterscheidung und deshalb für eine andere rechtliche Bewertung seien nicht ersichtlich.

Das Urteil geht in die Revision, somit hat das BAG das letzte Wort. Dieses ist aber ebenfalls unter Zugrundelegung der bisherigen Rechtsprechung der Meinung, dass kein wichtiger Grund zur Abberufung des Klägers als Datenschutzbeauftragten vorlag. Es erkennt aber die Existenz von entgegenstehendem Unionsrecht und sieht europarechtlichen Klärungsbedarf.

Abberufung nach Unionsrecht oder strengerem deutschen Recht?

Von besonders großer Bedeutung ist an dieser Stelle jedoch, dass die DSGVO weniger strenge Anforderungen an eine Abberufung stellt als das deutsche Recht. Hier ist die Abberufung lediglich dann nicht gestattet, wenn der Datenschutzbeauftragte wegen seiner Aufgabenerfüllung abberufen wird (Art. 38 Abs.3 S.2 DSGVO). Einen wichtigen Grund zur Abberufung, so das BAG, verlange das europäische Recht nicht.

Da auch die DSGVO unmittelbare Geltungswirkung in Deutschland entfaltet, muss geklärt werden, welche dieser Rechtsnormen im Endeffekt einschlägig ist. Die Auslegung von Unionsrecht ist dem EuGH vorbehalten.

Deshalb fragt das BAG (mit Beschluss vom 27.04.2021 – 9 AZR 383/19) beim EuGH an:

  • ob neben Art. 38 Abs.3 S.2 DSGVO auch mitgliedstaatliche Normen anwendbar sind, die – wie § 38 Abs.2 i.V.m. § 6 Abs.4 S.1 BDSG – die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.
  • Falls der EuGH die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform hält, ist zudem zu klären, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt i.S.v. Art. 38 VI 2 DSGVO führt.

Es bleibt also die Auslegung des Unionsrechts durch den europäischen Gerichtshof abzuwarten. Erst dann herrscht Rechtsklarheit für Unternehmen und Juristen.