Zum Inhalt springen Zur Navigation springen
BAG: Betriebsratsvorsitzender kann kein Datenschutzbeauftragter sein

BAG: Betriebsratsvorsitzender kann kein Datenschutzbeauftragter sein

Datenschutz und Arbeitsrecht haben seit jeher eine ganz besondere Verbindung. Der Schutz und die Verarbeitung von personenbezogenen Daten der Beschäftigten sind in jedem Unternehmen allgegenwärtig. Videoüberwachung, Leistungs- und Verhaltenskontrolle oder generell die Frage, welche Daten im Beschäftigungsverhältnis wie und von wem genutzt werden dürfen, sind nur eine kleine Auswahl von Themen, welche im Arbeitnehmerdatenschutz immer wieder auftauchen. Noch spannender wird es dann, wenn ein Betriebsrat ins Spiel kommt.

Möglicher Interessenkonflikt

Der Betriebsrat hat die Funktion, die Beschäftigten in einem Unternehmen oder in einem Konzern zu vertreten, und nimmt daher als Gegengewicht zum Arbeitgeber selbst naturgemäß eine elementare Rolle ein. Im Wege des Mitbestimmungsrechts kann der Betriebsrat auch zu datenschutzrechtlichen Fragen Stellung nehmen. Im Optimalfall sollte natürlich auch der Datenschutzbeauftragte – egal ob intern oder extern – einbezogen werden. Aber wie ist es, wenn der Datenschutzbeauftragte gleichzeitig der Betriebsratsvorsitzende ist? Geht das überhaupt?

Diese Frage wurde in den vergangenen Jahren immer wieder heiß diskutiert. Das Kernproblem ist ein drohender Interessenkonflikt, wenn beide Tätigkeiten von derselben Person ausgeübt werden. Schließlich muss der oder die Betriebsratsvorsitzende die Interessen der Belegschaft vertreten, während man als Datenschutzbeauftragte eher aus neutraler Sicht die datenschutzrechtlichen Interessen insgesamt im Blick haben sollte. Die DSGVO regelt dazu in Art. 38 Abs. 6, dass der Datenschutzbeauftragte zwar auch andere Aufgaben und Pflichten wahrnehmen darf. Dabei hat der Verantwortliche allerdings sicherzustellen, dass diese eben nicht zu einem Interessenkonflikt führen.

Abberufung des Datenschutzbeauftragten

Das Bundesarbeitsgericht hat dazu nun einen lange schwelenden Rechtsstreit final entschieden. Was war passiert? Der Kläger bei seiner ehemaligen Arbeitgeberin, einem Konzernunternehmen, Betriebsratsvorsitzender und gleichzeitig interner Datenschutzbeauftragter. Zudem war er als externer Datenschutzbeauftragter der anderen Konzerngesellschaften bestellt und hatte ebenfalls das Amt des stellvertretenden Gesamtbetriebsratsvorsitzenden inne.

Nachdem der Thüringische Datenschutzbeauftragte, welcher für die Muttergesellschaft des Konzerns zuständig war, zu dem Ergebnis kam, dass der spätere Kläger auf Grund einer Interessenkollision nicht die erforderliche Zuverlässigkeit besitzt, haben die Konzernunternehmen daraufhin die Bestellungen des Klägers als Datenschutzbeauftragter mit sofortiger Wirkung widerrufen. Dagegen wehrte sich der Kläger. Das Sächsische Landesarbeitsgericht gab der Klage statt (Urteil vom 19.08.2019, Az. 9 Sa 268/18). Ein Betriebsratsmitglied sei nicht automatisch unzuverlässig für das Amt des Datenschutzbeauftragten. Zwischen den beiden Ämtern bestehe insoweit grundsätzlich keine Inkompatibilität. Dies hatte bereits im Jahr 2011 auch das Bundesarbeitsgericht so entschieden. Damit gab sich der Konzern aber nicht zufrieden, so dass der Rechtsstreit vor dem Bundesarbeitsgericht landete.

Vorlage an den EuGH

In Deutschland gilt ja nicht nur die DSGVO, sondern auch noch das Bundesdatenschutzgesetz. Hier regelt § 6 Abs. 4 BDSG (mit Verweis auf § 626 BGB), dass eine Abberufung des Datenschutzbeauftragten nur aus wichtigem Grund möglich ist. Dem Bundesarbeitsgericht haben sich einige grundsätzliche Fragen zur Auslegung der DSGVO gestellt, so dass es die Sache dem EuGH vorlegt hat. Die Frage, ob die etwas strengeren Vorgaben zur Abberufung des Datenschutzbeauftragten aus dem BDSG mit der DSGVO vereinbar sind, hat der EuGH bejaht. Inhaltlich blieb dann noch zu klären, was ein wichtiger Grund zur Abberufung ist. Oder anders ausgedrückt: Kann ein Interessenkonflikt ausgeschlossen werden, weil die Unabhängigkeit des Datenschutzbeauftragten weiterhin vollumfänglich gewährleistet ist?

Hierzu hatte der EuGH in seiner Entscheidung vom 09.02.2023 geäußert,

„dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen.“

Nach den geltenden Datenschutzvorschriften müsse der Datenschutzbeauftragte die Überwachung dieser Zwecke und Mittel nämlich unabhängig durchführen können. Genauere Angaben dazu, wie diese Vorgaben umzusetzen sind, hat der EuGH nicht gemacht. Dies war allerdings zu erwarten, da der EuGH nicht die Aufgabe hat, den konkreten Rechtsstreit zu entscheiden, sondern den Auslegungsrahmen für einzelne Fragestellungen zu setzen.

Unabhängigkeit des Datenschutzbeauftragten

Die Umsetzung der EuGH-Vorgaben im konkreten Fall war dementsprechend die Aufgabe des Bundesarbeitsgerichts. Das BAG hatte also alle relevanten Umstände des Einzelfalls zu berücksichtigen. Ein abberufungsrelevanter Interessenkonflikt sei bereits dann anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Der EuGH hatte dies wie folgt formuliert:

„Ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 DSGVO vorliegt, ist im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, festzustellen.“

Das Bundesarbeitsgericht wies darauf hin, dass personenbezogene Daten dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden dürfen, die das Betriebsverfassungsgesetz ausdrücklich vorsieht.

Allerdings entscheidet der Betriebsrat in der Regel durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise der Betriebsrat diese anschließend verarbeitet. In diesem Rahmen legt er auch die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest.

Unvereinbarkeit beider Tätigkeiten

Genau an dieser Stelle hat das BAG letztendlich die Unvereinbarkeit beider Tätigkeiten miteinander im vorliegenden Fall festgestellt. Denn wenn jemand über Mittel und Zwecke der Datenverarbeitung (mit-)entscheiden kann, ist es nur schwer vorstellbar, dass dieselbe Person die geplante Datenverarbeitung objektiv und ohne eigene Interessen bewerten kann. Dies gilt aus Sicht des BAG hier umso mehr, da der Kläger als Betriebsratsvorsitzender besonders großen Einfluss auf die Mittel und Zwecke der Datenverarbeitung nehmen konnte.

Inwieweit jedes an der Entscheidung mitwirkende Mitglied des Gremiums als Datenschutzbeauftragter die Einhaltung der gesetzlichen Pflichten des Datenschutzes hinreichend unabhängig überwachen kann, sei daher nicht mehr entscheidungserheblich gewesen. Da es laut BAG auch keine anderslautenden, internen Vorgaben im Konzern gab, kam das Gericht zur Entscheidung, das vorinstanzliche Urteil aufzuheben und die Klage insgesamt abzuweisen.

Im Sinne des Datenschutzes

Aus dem Blickwinkel des Datenschutzes kommt diese Entscheidung nicht überraschend. Sowohl die Tätigkeit als Mitglied des Betriebsrats als auch die Stellung als Datenschutzbeauftragter sind komplex und bedürfen im Regelfall einer besonderen Fachkenntnis. Aus datenschutzrechtlicher Sicht ist die Entscheidung des BAG zu begrüßen. Die DSGVO hat sich bekanntlich auf die Fahne geschrieben, vor allem die Recht betroffener Personen zu stärken. Hier kommt der Datenschutzbeauftragte ins Spiel, da er die Verantwortlichen unterstützen muss, damit diese die geltenden Vorgaben – zu Gunsten der Betroffenen – einhalten. Wenn die Zuverlässigkeit und Integrität des Amtes als Datenschutzbeauftragter im konkreten Fall fraglich sind, besteht die Gefahr, dass die Ziele aus der DSGVO nicht umfassend erreicht werden können.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Schon spannend, wenn man sich in diesem Zusammenhang § 79a S. 2 BetrVG anschaut:

    „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

    „Für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften“ heißt ja gerade über Mittel und Zwecke zu entscheiden. Ja wer denn nun?

    Gewagte These: Der Streit, ob ein BR selbst Verantwortlicher nach Art. 4 Nr. 7 DSGVO ist, ist trotz Anpassung des BetrVG noch nicht final entschieden.

  • Leider war es der TLfDI (also Thüringen), der die Abberufung verlangte. Und somit gar nicht für Sachsen zuständig. Und die Stellung als stellv. Gesamtbetriebsratsvorsitzender ist gar nicht Bestandteil der Entscheidung, sondern nur die Stellung als Betriebsratsvorsitzender. Leider nicht ganz sauber recherchiert.

  • Die Frage, ob der BR eine verarbeitende Stelle ist finde ich schon kurios. Er kann ja nur verarbeiten weil er Teil der Firma ist. Die Firma kann auch ohne BR leben, der BR nicht ohne die Firma.
    Die Vereinbarkeit zwischen BR-Tätigkeit und der Funktion als DSB verbietet der gesunde Menschenverstand und ein gewisser Anstand. Da könnte man in Personalunion Verfahren durchwinken oder blockieren – dass es dazu Gerichtsurteile braucht …

    • Genau das ist ja der Kern der Diskussion. Ist der Arbeitgeber Verantwortlicher, muss er die Einhaltung kontrollieren können. „Heute schaut sich der Geschäftsführer mal die Datenverarbeitungen beim Betriebsrat an“ Ähm. Umgekehrt: Heute begeht der Betriebsrat mal wieder einen Datenschutzverstoß, der für’s Unternehmen teuer wird, um etwas Druck in einer Verhandlung aufzubauen. Erinnerung: Der Betriebsrat ist nicht budgetierfähig, zahlt also nicht aus eigener Kasse. Einen hätte ich noch (auch auf die Gefahr, dass der gelehrte Leser mir nun endgültig den digitalen Vogel zeigt). Wie wäre es hiermit: Jede Behörde handelt (jedenfalls überwiegend) aufgrund gesetzlicher Verpflichtung, entscheidet also mithin gar nicht über Mittel und Zwecke der Verarbeitung (es sei angemerkt, dass „Mittel“ vom EDPB recht weit ausgelegt wird, die Entscheidung zB über den Einsatz einer bestimmten Software zählt eher nicht darunter). So gesehen wäre am Ende immer der Gesetzgeber Verantwortlicher i.S.d. DSGVO. :)
      Noch Fragen?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.