BAG, Urteil vom 06.06.2023 – 9 AZR 383/19
Betriebsräten kommt beim Schutz der Datenschutzrechte der Belegschaft eine besondere Rolle zu. Zum einen sind sie nach § 79 a S. 2 BetrVG bei der Verarbeitung personenbezogener Daten selbst zur Einhaltung des Datenschutzes verpflichtet. Denn Betriebsräte verarbeiten im Rahmen ihrer Tätigkeit eine Vielzahl personenbezogener Daten. Nicht selten handelt es sich dabei um besonders sensible Daten, z.B. über Krankheiten, Schwangerschaften oder Schwerbehinderungen. Zum anderen fungieren Betriebsräte als Hüter des Beschäftigtendatenschutzes und treten hierbei als Kontrollinstanz neben die betrieblichen Datenschutzbeauftragten. Auf den ersten Blick erscheint es daher naheliegend, Betriebsratsmitglieder zu betrieblichen Datenschutzbeauftragten zu bestellen. Das Bundesarbeitsgericht hat jedoch am 06.06.2023 entschieden, dass jedenfalls das Amt des Betriebsratsvorsitzenden regelmäßig nicht mit dem Amt des Datenschutzbeauftragten vereinbar ist.
Sachverhalt
Der bei der Beklagten angestellte Kläger ist Vorsitzender des Betriebsrats und in dieser Funktion teilweise von der Arbeit freigestellt. Im Jahr 2015 wurde er von der Beklagten auf Grundlage des alten BDSG (BDSG a.F.) zum Datenschutzbeauftragten bestellt. Auf Veranlassung des Landesbeauftragten für Datenschutz und Informationsfreiheit widerrief die Beklagte die Bestellung des Klägers im Dezember 2017 mit sofortiger Wirkung wegen einer Unvereinbarkeit der Ämter. Infolge des Inkrafttretens der DSGVO berief sie den Kläger im Mai 2018 vorsorglich auch gemäß Art. 38 Abs. 3 Satz 2 DSGVO als Datenschutzbeauftragten ab. Der Kläger ging gerichtlich gegen den Widerruf vor und machte geltend, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter der Beklagten bestehe unverändert fort.
Entscheidung
Das Bundesarbeitsgericht befand, dass der Widerruf der Bestellung aus wichtigem Grund i.S.v. § 4 f Abs. 3 S. 4 BDSF a.F. i.V.m. § 626 Abs.1 BGB gerechtfertigt sei. Ein solcher liege vor, wenn der zum Datenschutzbeauftragten bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit im Sinne von § 4 f Abs. 2 Satz 1 BDSG a. F. nicht (mehr) besitze. So könne die Zuverlässigkeit in Frage stehen, wenn Interessenkonflikte drohen. Dabei sei ein abberufungsrelevanter Interessenkonflikt anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleide, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand habe.
Das Bundesarbeitsgericht hat festgestellt, dass die Aufgaben des Betriebsratsvorsitzenden und des Datenschutzbeauftragten typischerweise nicht ohne Interessenkonflikt von derselben Person wahrgenommen werden können. Dieser Interessenkonflikt ergebe sich daraus, dass der Betriebsrat durch Beschluss des Gremiums darüber entscheide, unter welchen konkreten Umständen er in Wahrnehmung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber anfordert und wie er diese verarbeitet. In diesem Rahmen lege er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest.
Ob andere Betriebsratsmitglieder als Datenschutzbeauftragte die Einhaltung der datenschutzrechtlichen Pflichten hinreichend unabhängig überwachen können, hat das Bundesarbeitsgericht offen gelassen. Jedenfalls die herausgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebt nach Ansicht des Bundesarbeitsgerichts die für die Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit auf.
Fazit und Ausblick
Auch wenn der Widerruf vorliegend anhand § 4 f Abs. 3 Satz 4 BDSG a.F. i.v.m. § 626 Abs. 1 BGB geprüft wurde, ist die Wertung des Bundesarbeitsgerichts auch auf die aktuelle Rechtslage und eine Bestellung des Datenschutzbeauftragten gemäß § 37 DSGVO übertragbar. Denn das Bundesarbeitsgericht stützt seine Entscheidung insbesondere auf eine Wertung, die der EuGH in seinem Urteil vom 09.02.2023 (C-453/21) zur DSGVO – d.h. bereits zur aktuellen Rechtslage – vorgenommen hat. In diesem Urteil hat der EuGH zu Art. 38 Abs. 6 DSGVO Stellung genommen, der vorsieht, dass ein Datenschutzbeauftragter zwar auch andere Aufgaben und Pflichten wahrnehmen kann, jedoch sichergestellt sein muss, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt in diesem Sinne liegt nach Auffassung des EuGH vor, wenn der Datenschutzbeauftragte innerhalb der Einrichtung eine Position innehat, die die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten zum Gegenstand hat. Ein dem Amt des Datenschutzbeauftragten entgegenstehender Interessenkonflikt besteht daher unabhängig davon, ob es sich um eine Bestellung zum Datenschutzbeauftragten nach § 4 f BDSG a.F. oder um eine Benennung zum Datenschutzbeauftragten nach Art. 37 DSGVO handelt. Die Rechtsprechung des BAG dürfte darüber hinaus auf sämtliche Betriebsratsmitglieder übertragbar sein, da sich neben dem Betriebsratsvorsitzenden regelmäßig auch die übrigen Betriebsratsmitglieder in einem Interessenkonflikt befinden dürften. Auch sie haben im Betrieb eine Position inne, in deren Rahmen sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Denn – wie das Bundesarbeitsgericht zutreffend festgestellt hat – entscheidet nicht der Betriebsratsvorsitzende allein, sondern der Betriebsrat durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen der Betriebsrat welche personenbezogenen Daten vom Arbeitgeber anfordert und in welcher Weise er diese sodann verarbeitet. Daher sollte kein Mitglied des Betriebsrats zugleich das Amt des Datenschutzbeauftragten innehaben.