Das Bundesarbeitsgericht durfte sich jüngst (BAG, Urt. v. 6. Juni 2023 – 9 AZR 383/19) mit der Frage befassen, ob die Tätigkeit als Betriebsratsvorsitzender der gleichzeitigen Tätigkeit als Datenschutzbeauftragter entgegensteht. Nachdem das Gericht im Jahr 2011 zunächst befand, dass eine Mitgliedschaft im Betriebsrat einer Ausübung der Tätigkeit als Datenschutzbeauftragter nicht entgegenstehe, entschied das Bundesarbeitsgericht im vorliegenden Fall nach Vorlage beim Europäischen Gerichtshof nun grundverschieden: Ein Betriebsratsvorsitzender könne nicht gleichzeitig Datenschutzbeauftragter sein.
Zum Sachverhalt
Der bei der Beklagten angestellte Kläger ist als Betriebsratsvorsitzender tätig und in dieser Funktion teilweise von der Arbeit freigestellt. Zu Beginn des Jahres 2015 wurde der Kläger darüber hinaus bei der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten benannt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen Ende 2017 sowohl die Beklagte als auch die weiteren Tochtergesellschaften die Benennung des Klägers aufgrund der Inkompatibilität der beiden Ämter. Eine erneute Abberufung erfolgte seitens der Beklagten vorsorglich mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018. Hiergegen wehrte sich der Betriebsratsvorsitzende und machte geltend, seine Benennung als Datenschutzbeauftragter der Beklagten bestehe weiterhin fort.
Die Beklagte vertrat hingegen die Auffassung, bei der Wahrnehmung der beiden Ämter ließe sich grundsätzlich ein Interessenskonflikt nicht ausschließen, sodass dies einen wichtigen Grund zur Abberufung darstelle. Sowohl das Arbeitsgericht Dresden als auch das Landesarbeitsgericht Sachsen entschieden in den Vorinstanzen zunächst zugunsten des Betriebsratsvorsitzenden.
Zum Urteil des Bundesarbeitsgerichts
Das Bundesarbeitsgericht kommt im Rahmen seiner Entscheidung zu dem Ergebnis, dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Zur Wahrnehmung seiner Aufgaben nach dem Betriebsverfassungsgesetz, sind dem Betriebsrat ausschließlich zu diesem Zweck personenbezogene Daten zur Verfügung zu stellen. Mittels Gremienbeschlüsse entscheidet der Betriebsrat darüber, unter welchen konkreten Umständen dieser in Ausübung seiner jeweiligen Aufgaben personenbezogene Daten vom Arbeitgeber anfordert und verarbeitet. Insofern legt der Betriebsrat auch Zwecke und Mittel der Datenverarbeitung fest.
Der Widerruf der Benennung aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG (alte Fassung) in Verbindung mit § 626 Abs. 1 BGB sei somit gerechtfertigt. Ein wichtiger Grund liege vor, sofern die zum Datenschutzbeauftragten benannte Person die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht mehr besitze. Eine fehlende Zuverlässigkeit kann insbesondere im Falle von Interessenskonflikten bestehen. Ein solcher Interessenskonflikt ist unter anderem dann anzunehmen, wenn die Person des Datenschutzbeauftragten innerhalb des Verantwortlichen eine Aufgabe wahrnehme, welche die Festlegung von Zwecken und Mitteln einer Datenverarbeitung umfasse. Diesbezüglich ist auch auf das Urteil des Europäischen Gerichtshofs vom 9. Februar 2023 (C-453/21) zu verweisen. Insofern fehle es dem Datenschutzbeauftragten an der Möglichkeit zur hinreichend unabhängigen Überwachung der Datenverarbeitungen der verantwortlichen (Teil-)Stelle.
Auch wenn sich die Ausführungen des Bundesarbeitsgerichts auf die Normen des Bundesdatenschutzgesetzes mit Stand vor dem 25. Mai 2018 beziehen, kann die Argumentation ebenfalls auf die aktuell geltenden Normen der Datenschutz-Grundverordnung übertragen werden. Inwiefern die Argumentation ebenfalls für allgemeine Mitglieder des Betriebsrates gelten könne, ließ das Bundesarbeitsgericht offen. Es ist jedoch grundsätzlich anzunehmen, dass ein Interessenskonflikt auch hierbei vorliegen kann. Schließlich darf auch in diesem Verhältnis und unter Würdigung der besonderen Stellung des Betriebsrates eine unabhängige Überwachung der Einhaltung datenschutzrechtlicher Normen in Frage gestellt werden.
Weitere Mögliche Interessenskonflikte
Auch hinsichtlich anderer Personenkreise können Interessenskonflikte bezüglich der Tätigkeit als Datenschutzbeauftragter angenommen werden. Die Berliner Beauftragte für Datenschutz und Informationssicherheit verhängte im September 2022 ein Bußgeld in Höhe von 525.000 Euro. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.
Auch leitende oder entscheidungsbefugte Personen in der IT-Abteilung können nicht zugleich die Aufgaben des Datenschutzbeauftragten wahrnehmen. Selbiges wird in der Literatur hinsichtlich der Revisionsabteilung sowie der internen Meldestelle im Sinne des Hinweisgeberschutzgesetzes diskutiert. Weiterhin kann ebenfalls die Tätigkeit als IT-Sicherheitsbeauftragter die Übernahme der Tätigkeiten als Datenschutzbeauftragter widersprechen. Ein Interessenkonflikt ist beispielsweise dann anzunehmen, sofern der IT-Sicherheitsbeauftragte ebenfalls die Umsetzungs- bzw. Budgetverantwortung trägt.
In jedem Falle sind Verantwortliche dazu angehalten, bereits vor der Benennung eines Datenschutzbeauftragten etwaige Interessenkonflikte zu erörtern und aufzulösen. Andernfalls droht ein sanktionsfähiger Verstoß gegen Art. 38 Abs. 6 DS-GVO.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
