BAG, Urt. 6.6.2023 - 9 AZR 383/19
Betriebsratsvorsitzender kann nicht gleichzeitig Datenschutzbeauftragter sein
Autor: RAin FAinArbR Daniela Range-Ditz, Rastatt
Aus: Arbeits-Rechtsberater, Heft 11/2023
Aus: Arbeits-Rechtsberater, Heft 11/2023
Die Bestellung eines Betriebsratsvorsitzenden als Datenschutzbeauftragter für mehrere Unternehmen eines Konzerns kann aufgrund eines Interessenkonflikts aus wichtigem Grund nach § 4f Abs. 3 Satz 4 BDSG a.F. bzw. nach § 38 Abs. 2, § 6 Abs. 4 Satz 1 BDSG i.V.m. § 626 BGB widerrufen werden.
BDSG a.F. § 4f Abs. 3 Satz 4; BDSG § 38 Abs. 2, § 6 Abs. 4 Satz 1; BGB § 626
Am 1.12.2017 widerrief die Arbeitgeberin nach Intervention des Landesbeauftragten für Datenschutz und Informationsfreiheit die Bestellung. Aufgrund der Inkompatibilität mit dem Betriebsratsvorsitz sei schon die Bestellung zum betrieblichen Datenschutzbeauftragten unwirksam gewesen. Zumindest sei die Bestellung aber zu widerrufen.
Zu Recht?
Es fehle dem zum Datenschutzbeauftragten bestellten Arbeitnehmer zum einen die für die Aufgabenerfüllung notwendige Zuverlässigkeit wegen Überschneidung von Interessensphären, § 4f Abs. 2 Satz 1 BDSG a.F. Zudem bestehe ein unauflösbarer Interessenkonflikt, wenn der Datenschutzbeauftragte gleichzeitig Betriebsratsvorsitzender der verantwortlichen Stelle sei.
Der EuGH habe im Wege des Vorabentscheidungsersuchens festgestellt, dass die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewährleistet sein müsse, denn der Datenschutzbeauftragte habe nicht nur Überwachungs-, sondern auch Beratungsfunktionen. So habe der Betriebsrat im Rahmen seiner gesetzlichen Aufgaben durch Gremiumsbeschluss darüber zu entscheiden, unter welchen konkreten Umständen er welche personenbezogenen Daten mit welchen Mitteln und zu welchem Zweck verarbeite. Demgegenüber habe der Datenschutzbeauftragte bei der Übermittlung sensitiver Daten zu überwachen, ob das Schutzkonzept des Betriebsrats datenschutzrechtlichen Anforderungen entspreche und der Arbeitgeber die Daten an den Betriebsrat übermitteln dürfe.
Sei aber der Datenschutzbeauftragte gleichzeitig Betriebsratsvorsitzender, besitze er nicht die für eine Gewährleistung des gesetzlichen Datenschutzes erforderliche Unabhängigkeit. Bei gleichzeitiger Wahrnehmung der Funktion als Datenschutzbeauftragter müsse der Betriebsratsvorsitzende in identischer Angelegenheit überprüfen – neutral und allein dem Datenschutz verpflichtet –, ob Auskunftsersuchen und beschlossene Schutzvorkehrungen datenschutzrechtlichen Vorgaben genügen. Die dazu erforderliche Gewähr für Neutralität und Distanz zu einem Auskunftsverlangen des Betriebsrats sei strukturell bedingt nicht gegeben, weil der betroffene Arbeitnehmer einerseits durch den Beschluss des Betriebsrates gebunden und andererseits dem zwingenden Datenschutz verpflichtet sei.
BDSG a.F. § 4f Abs. 3 Satz 4; BDSG § 38 Abs. 2, § 6 Abs. 4 Satz 1; BGB § 626
Das Problem
Der Kläger ist Betriebsratsvorsitzender im Konzern der Beklagten und seit 2015 außerdem Datenschutzbeauftragter für mehrere Konzernunternehmen.Am 1.12.2017 widerrief die Arbeitgeberin nach Intervention des Landesbeauftragten für Datenschutz und Informationsfreiheit die Bestellung. Aufgrund der Inkompatibilität mit dem Betriebsratsvorsitz sei schon die Bestellung zum betrieblichen Datenschutzbeauftragten unwirksam gewesen. Zumindest sei die Bestellung aber zu widerrufen.
Zu Recht?
Die Entscheidung des Gerichts
Anders als die Vorinstanzen hat das BAG – nach Vorabentscheidung durch den EuGH (EuGH, Urt. v. 9.2.2023 – C-453/21, ArbRB 2023, 98 [Zhou/Wybitul]) – geurteilt, der Widerruf der Bestellung zum Datenschutzbeauftragten aus wichtigem Grund nach § 4f Abs. 3 Satz 4 BDSG a.F. i.V.m. § 626 BGB sei rechtswirksam.Es fehle dem zum Datenschutzbeauftragten bestellten Arbeitnehmer zum einen die für die Aufgabenerfüllung notwendige Zuverlässigkeit wegen Überschneidung von Interessensphären, § 4f Abs. 2 Satz 1 BDSG a.F. Zudem bestehe ein unauflösbarer Interessenkonflikt, wenn der Datenschutzbeauftragte gleichzeitig Betriebsratsvorsitzender der verantwortlichen Stelle sei.
Der EuGH habe im Wege des Vorabentscheidungsersuchens festgestellt, dass die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewährleistet sein müsse, denn der Datenschutzbeauftragte habe nicht nur Überwachungs-, sondern auch Beratungsfunktionen. So habe der Betriebsrat im Rahmen seiner gesetzlichen Aufgaben durch Gremiumsbeschluss darüber zu entscheiden, unter welchen konkreten Umständen er welche personenbezogenen Daten mit welchen Mitteln und zu welchem Zweck verarbeite. Demgegenüber habe der Datenschutzbeauftragte bei der Übermittlung sensitiver Daten zu überwachen, ob das Schutzkonzept des Betriebsrats datenschutzrechtlichen Anforderungen entspreche und der Arbeitgeber die Daten an den Betriebsrat übermitteln dürfe.
Sei aber der Datenschutzbeauftragte gleichzeitig Betriebsratsvorsitzender, besitze er nicht die für eine Gewährleistung des gesetzlichen Datenschutzes erforderliche Unabhängigkeit. Bei gleichzeitiger Wahrnehmung der Funktion als Datenschutzbeauftragter müsse der Betriebsratsvorsitzende in identischer Angelegenheit überprüfen – neutral und allein dem Datenschutz verpflichtet –, ob Auskunftsersuchen und beschlossene Schutzvorkehrungen datenschutzrechtlichen Vorgaben genügen. Die dazu erforderliche Gewähr für Neutralität und Distanz zu einem Auskunftsverlangen des Betriebsrats sei strukturell bedingt nicht gegeben, weil der betroffene Arbeitnehmer einerseits durch den Beschluss des Betriebsrates gebunden und andererseits dem zwingenden Datenschutz verpflichtet sei.