Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.

Ein Blick in die Urteilsbegründung lohnt sich eben doch!

Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“

Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.

Und wie geht es nun weiter?

Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.

Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“

Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“

Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.  

Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.

Fazit

War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesarbeitsgericht durfte sich jüngst (BAG, Urt. v. 6. Juni 2023 – 9 AZR 383/19) mit der Frage befassen, ob die Tätigkeit als Betriebsratsvorsitzender der gleichzeitigen Tätigkeit als Datenschutzbeauftragter entgegensteht. Nachdem das Gericht im Jahr 2011 zunächst befand, dass eine Mitgliedschaft im Betriebsrat einer Ausübung der Tätigkeit als Datenschutzbeauftragter nicht entgegenstehe, entschied das Bundesarbeitsgericht im vorliegenden Fall nach Vorlage beim Europäischen Gerichtshof nun grundverschieden: Ein Betriebsratsvorsitzender könne nicht gleichzeitig Datenschutzbeauftragter sein.

Zum Sachverhalt

Der bei der Beklagten angestellte Kläger ist als Betriebsratsvorsitzender tätig und in dieser Funktion teilweise von der Arbeit freigestellt. Zu Beginn des Jahres 2015 wurde der Kläger darüber hinaus bei der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten benannt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen Ende 2017 sowohl die Beklagte als auch die weiteren Tochtergesellschaften die Benennung des Klägers aufgrund der Inkompatibilität der beiden Ämter. Eine erneute Abberufung erfolgte seitens der Beklagten vorsorglich mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018. Hiergegen wehrte sich der Betriebsratsvorsitzende und machte geltend, seine Benennung als Datenschutzbeauftragter der Beklagten bestehe weiterhin fort.

Die Beklagte vertrat hingegen die Auffassung, bei der Wahrnehmung der beiden Ämter ließe sich grundsätzlich ein Interessenskonflikt nicht ausschließen, sodass dies einen wichtigen Grund zur Abberufung darstelle. Sowohl das Arbeitsgericht Dresden als auch das Landesarbeitsgericht Sachsen entschieden in den Vorinstanzen zunächst zugunsten des Betriebsratsvorsitzenden.

Zum Urteil des Bundesarbeitsgerichts

Das Bundesarbeitsgericht kommt im Rahmen seiner Entscheidung zu dem Ergebnis, dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Zur Wahrnehmung seiner Aufgaben nach dem Betriebsverfassungsgesetz, sind dem Betriebsrat ausschließlich zu diesem Zweck personenbezogene Daten zur Verfügung zu stellen. Mittels Gremienbeschlüsse entscheidet der Betriebsrat darüber, unter welchen konkreten Umständen dieser in Ausübung seiner jeweiligen Aufgaben personenbezogene Daten vom Arbeitgeber anfordert und verarbeitet. Insofern legt der Betriebsrat auch Zwecke und Mittel der Datenverarbeitung fest.

Der Widerruf der Benennung aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG (alte Fassung) in Verbindung mit § 626 Abs. 1 BGB sei somit gerechtfertigt. Ein wichtiger Grund liege vor, sofern die zum Datenschutzbeauftragten benannte Person die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht mehr besitze. Eine fehlende Zuverlässigkeit kann insbesondere im Falle von Interessenskonflikten bestehen. Ein solcher Interessenskonflikt ist unter anderem dann anzunehmen, wenn die Person des Datenschutzbeauftragten innerhalb des Verantwortlichen eine Aufgabe wahrnehme, welche die Festlegung von Zwecken und Mitteln einer Datenverarbeitung umfasse. Diesbezüglich ist auch auf das Urteil des Europäischen Gerichtshofs vom 9. Februar 2023 (C-453/21) zu verweisen. Insofern fehle es dem Datenschutzbeauftragten an der Möglichkeit zur hinreichend unabhängigen Überwachung der Datenverarbeitungen der verantwortlichen (Teil-)Stelle.

Auch wenn sich die Ausführungen des Bundesarbeitsgerichts auf die Normen des Bundesdatenschutzgesetzes mit Stand vor dem 25. Mai 2018 beziehen, kann die Argumentation ebenfalls auf die aktuell geltenden Normen der Datenschutz-Grundverordnung übertragen werden. Inwiefern die Argumentation ebenfalls für allgemeine Mitglieder des Betriebsrates gelten könne, ließ das Bundesarbeitsgericht offen. Es ist jedoch grundsätzlich anzunehmen, dass ein Interessenskonflikt auch hierbei vorliegen kann. Schließlich darf auch in diesem Verhältnis und unter Würdigung der besonderen Stellung des Betriebsrates eine unabhängige Überwachung der Einhaltung datenschutzrechtlicher Normen in Frage gestellt werden.

Weitere Mögliche Interessenskonflikte

Auch hinsichtlich anderer Personenkreise können Interessenskonflikte bezüglich der Tätigkeit als Datenschutzbeauftragter angenommen werden. Die Berliner Beauftragte für Datenschutz und Informationssicherheit verhängte im September 2022 ein Bußgeld in Höhe von 525.000 Euro. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.

Auch leitende oder entscheidungsbefugte Personen in der IT-Abteilung können nicht zugleich die Aufgaben des Datenschutzbeauftragten wahrnehmen. Selbiges wird in der Literatur hinsichtlich der Revisionsabteilung sowie der internen Meldestelle im Sinne des Hinweisgeberschutzgesetzes diskutiert.  Weiterhin kann ebenfalls die Tätigkeit als IT-Sicherheitsbeauftragter die Übernahme der Tätigkeiten als Datenschutzbeauftragter widersprechen. Ein Interessenkonflikt ist beispielsweise dann anzunehmen, sofern der IT-Sicherheitsbeauftragte ebenfalls die Umsetzungs- bzw. Budgetverantwortung trägt.

In jedem Falle sind Verantwortliche dazu angehalten, bereits vor der Benennung eines Datenschutzbeauftragten etwaige Interessenkonflikte zu erörtern und aufzulösen. Andernfalls droht ein sanktionsfähiger Verstoß gegen Art. 38 Abs. 6 DS-GVO.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.