BAG, Urteil vom 06.06.2023 – 9 AZR 383/19
Vor Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) lag es mitunter am Betriebsrat, den Arbeitgeber unter Ausübung seiner Mitbestimmungsrechte zur Beachtung des Datenschutzes anzuhalten. Typischerweise nimmt diese Funktion nunmehr der betriebliche Datenschutzbeauftragte wahr. In welchem Verhältnis die Betriebsratsmitgliedschaft zur Stellung des Datenschutzbeauftragten steht, hatte das Bundesarbeitsgericht (BAG) in einem aktuellen Verfahren zu klären, in dem ein Arbeitnehmer beide Ämter in Personalunion bekleidete.
Sachverhalt
Die Parteien stritten um die Wirksamkeit des Widerrufs der Bestellung des Klägers zum Datenschutzbeauftragten.
Der bei der Beklagten beschäftigte Kläger ist Vorsitzender des Betriebsrats und ist in dieser Funktion teilweise von der Arbeit freigestellt. Mit Wirkung zum 01.06.2015 bestellte die Beklagte den Kläger zum Datenschutzbeauftragten. Allerdings widerrief die Beklagte die Ernennung auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit am 01.12.2017 mit sofortiger Wirkung. Sie begründete dies mit der Unvereinbarkeit dieses Amtes mit dem Betriebsratsvorsitz. Nachdem die Datenschutz-Grundverordnung (DS-GVO) Anfang 2018 in Kraft getreten war, berief sie den Kläger mit Schreiben vom 25.05.2018 vorsorglich auch unter Berufung auf Art. 38 Abs. 3 Satz 2 DS-GVO ab.
Der Kläger machte daraufhin klageweise geltend, dass seine Stellung als betrieblicher Datenschutzbeauftragter unverändert fortbestehe. Dagegen war die Beklagte der Ansicht, dass Interessenkonflikte bei der Ausübung beider Tätigkeiten nicht ausgeschlossen werden könnten, was einen wichtigen Grund zur Abberufung darstelle.
Die Vorinstanzen haben der Klage stattgegeben.
Entscheidung des BAG
Nachdem das BAG dem Europäischen Gerichtshof die Sache zur Vorabentscheidung vorgelegt hatte, gab es der Beklagten schlussendlich Recht, deren Revision damit Erfolg hatte.
Das Gericht stellte unter Beachtung der Vorgaben des EuGH, der keine Unvereinbarkeit des deutschen Rechts mit der DS-GVO angenommen hatte, fest, dass für die Abberufung des Datenschutzbeauftragten ein wichtiger Grund nach § 4f Abs. 3 Satz 4 BDSG in der damals geltenden Fassung i.V.m. § 626 Abs. 1 BGB vorlag. Ein solcher liege – so die Erfurter Richter – vor, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit im Sinne des damals geltenden § 4f Abs. 3 Satz 4 BDSG nicht besitze.
Das Gericht zweifelte aufgrund der gegenläufigen Interessen von Betriebsrat und Datenschutzbeauftragtem an der Zuverlässigkeit des Klägers. Zwar sei – wie auch der EuGH konstatierte – die Wahrnehmung anderer Aufgaben und Pflichten durch den Datenschutzbeauftragten grundsätzlich erlaubt. Ausnahmsweise könne die Abberufung dennoch gerechtfertigt sein, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleide, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand habe. Diese vom EuGH zu einem Interessenkonflikt nach Art. 38 Abs. 6 Satz 2 DSGVO vorgenommene Wertung gelte dabei nach Ansicht der BAG-Richter erst seit Novellierung des Datenschutzrechts aufgrund der DS-GVO, sondern entsprach bereits der Rechtslage im Geltungsbereich des alten BDSG.
Der 9. Senat sah in der Tätigkeit als Betriebsratsvorsitzender eine ebensolche, typischerweise abberufungsrelevante Position. So lege der Betriebsrat fest, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordere und auf welche Weise er diese verarbeite. Zwar entscheide der Betriebsrat dabei als Gremium durch Beschluss. Der Betriebsratsvorsitzende nehme aber insofern eine hervorgehobene Funktion wahr, als er den Betriebsrat im Rahmen der gefassten Beschlüsse vertrete.
Praxisfolgen und Fazit
Die Entscheidung des BAG betont die Rolle des betrieblichen Datenschutzbeauftragten als unabhängigen und neutralen Wächter über die Einhaltung datenschutzrechtlicher Vorschriften. Darüber hinaus wird durch die Trennung des Amtes des Datenschutzbeauftragen vom Betriebsratsvorsitz gewährleistet, dass gegen etwaiges datenschutzwidriges Vorgehen auch des Betriebsrats selbst effektiv eingeschritten werden kann. Insofern stärkt das Urteil auch die Effektivität des Compliance-Managements innerhalb des Unternehmens.
Zu beachten ist, dass die für die alte Rechtslage geltenden gerichtlichen Wertungen auf den Widerruf des Datenschutzbeauftragten nach den aktuellen Vorgaben der DS-GVO übertragbar sind. Arbeitgeber sollten sich daher veranlasst sehen, mögliche Überschneidungen zwischen Betriebsratsmitgliedschaft und Tätigwerden als Datenschutzbeauftragter zu überprüfen und auch bei der Bestellung künftiger Datenschutzbeauftragter entsprechend zu berücksichtigen.
