„Soll ich’s wirklich machen oder lass ich’s lieber (gleich) sein? Ja! Nein! Ich mein´: Jein!“ Wer Betriebsratsvorsitzender und gleichzeitig interner Datenschutzbeauftragter ist, macht seine Stellung angreifbar. Denn es kann zu einem Interessenkonflikt kommen. Muss es aber nicht. Mit einem klaren „es kommt darauf an“ beantwortet der Europäische Gerichtshof (EuGH) die Frage nach möglichen Interessenkonflikten, wenn der Betriebsratsvorsitzende auch zum Datenschutzbeauftragten desselben Unternehmens gekürt wurde. Aber worauf kommt es an? Das erfahren Sie hier.
Der Inhalt im Überblick
Worum ging es bei dem Streit vor dem EuGH?
Kurz gesagt: Ein Betriebsratsvorsitzender war gleichzeitig Datenschutzbeauftragter. Er wurde mit der Begründung, darin liege ein Interessenkonflikt, abberufen. Gemäß Art. 38 Abs. 6 DSGVO darf der Datenschutzbeauftragte zwar auch andere Aufgaben und Pflichten wahrnehmen. Diese dürfen aber nicht zu einem Interessenkonflikt führen. Die Sache landete vor dem Bundesarbeitsgericht. Dieses wiederum legte die Sache dem EuGH vor. Dessen Entscheidung (C‑453/21) wird im Folgenden kurz besprochen.
Der deutsche Gesetzgeber sagt nur aus wichtigem Grund! Darf er das?
Art. 38 DSGVO ist Unionsrecht. Daneben gibt es aber auch noch eine strengere Regel im deutschen Recht. Das Bundesdatenschutzgesetz (BDSG) lässt nämlich eine Abberufung nur aus wichtigem Grund zu (§ 6 Abs. 4 S. 1 BDSG i.V.m. § 626 BGB). Es geht damit weiter als die DSGVO und erschwert damit die Abberufung.
Denn die DSGVO regelt, dass eine Abberufung grundsätzlich nicht möglich ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Dennoch darf kein Interssenskonflikt vorliegen. Einen wichtigen Grund kennt aber die DSGVO nicht, im Gegensatz zur deutschen Regelung. § 6 Abs. 4 DSGVO verweist nämlich auf § 626 BGB (Rechtsgrundverweisung). Das bedeutet, dass nur aus wichtigem Grunde abberufen werden darf.
Wann liegt ein wichtiger Grund vor?
Ein wichtiger Grund liegt vor, wenn Tatsachen oder Umstände gegeben sind, die unter Berücksichtigung der Gegebenheiten des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung der Beschäftigung unzumutbar machen. Klingt also nach einer höheren Hürde als ein Interessenkonflikt. Deshalb ging es zunächst um die Frage, ob der deutsche Gesetzgeber das in dieser Form überhaupt regeln durfte.
Warum darf die nationale Regelung strenger sein, als die europarechtliche?
Nach Auffassung des EuGH wird das Unionsrecht durch die deutsche Regelung nicht beeinträchtigt. Das nationale Recht „beschneidet“ sozusagen nicht die Ziele der DSGVO. Wenn ein strengerer Schutz der nationalen Regelung zur Folge hätte, dass die die Ziele der DSGVO beeinträchtigt würden, wäre dies dagegen nicht zulässig. Er wiederholt dabei vor allem Punkte, die er vor kurzem in der Rechtssache Leistritz (C‑534/20) aufgestellt hatte.
Der EuGH sagt dazu:
„ […] dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.“
Auf die Vorlagefrage hin führt er daher aus:
„ […] Art. 38 Abs. 3 Satz 2 DSGVO ist demnach dahingehend auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.“
Insbesondere die Unabhängigkeit des Datenschutzbeauftragten ist durch die nationale Regelung nicht gefährdet. Das war dem EuGH besonders wichtig. Die Unabhängigkeit des Datenschutzbeauftragten muss gewahrt bleiben. Das spielte sowohl bei der Prüfung eine Rolle, ob die nationale Regelung gegen Unionsrecht verstößt, als auch bei der Frage, ob ein Interessenkonflikt vorliegt. Aber wann liegt ein Interessenskonflikt vor?
Im Kreuzfeuer der Interessenkonflikte
Wie gesagt, es geht um Unabhängigkeit. Der Datenschutzbeauftragte hat gemäß Art. 39 Abs. 1 lit. b DSGVO die Aufgabe der
„Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.“
Daraus folgt insbesondere, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen.
Zwecke und Mittel der Verarbeitung? Das kennen wir doch irgendwoher?!
Die beiden Begriffe „Zwecke und Mittel“, die der EuGH hier gebraucht, kennen wir aus der DSGVO selbst.
Gemäß Art. 4 Nr. 7 DSGVO ist
„Verantwortlicher“ jede […] Stelle, die allgemein oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Setzt der Datenschutzbeauftragte also in seiner Position als Betriebsratsvorsitzender „Zwecke und Mittel der Verarbeitung“, so schwingt er praktisch zum Verantwortlichen auf. Und Verantwortlicher kann schwer Datenschutzbeauftragter sein, ohne in gewisse Interessenkonflikte zu kommen. Eigentlich ganz logisch. Natürlich ist er Formal kein Verantwortlicher. Er bleibt rechtstechnisch der Datenschutzbeauftragte und Betriebsratsvorsitzende. Aber vom Prinzip her besteht ein Interessenkonflikt, wenn er „Zwecke und Mittel der Verarbeitung setzt“, was eben der Verantwortliche auch tut.
Was versteht man unter Zwecke und Mittel?
Was genau versteht man überhaupt unter „Zwecke und Mittel“ der Verarbeitung?
Unter Zweck der Verarbeitung versteht man das beabsichtigte Ergebnis der Verarbeitung. Unter Mittel versteht man die Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll. Oder anders: Die Bestimmung des Zwecks und der Mittel ist gleichbedeutend mit der Bestimmung des „Warum“ und des „Wie“ der Verarbeitung. Hat ein Betriebsratsvorsitzender hierüber Entscheidungsspielraum, so kommt er regelmäßig in einen Konflikt mit seinen Interessen als Datenschutzbeauftragter.
Unabhängigkeitserklärung
Im Ergebnis kommt es auf die Unabhängigkeit des Datenschutzbeauftragten an. Sowohl hinsichtlich der Zulässigkeit nationaler Vorschriften als auch im Hinblick auf die europarechtlichen Regelungen selbst. Tritt der Datenschutzbeauftragte rein tatsächlich auf die gleiche Ebene wie der Verantwortliche, so stellt dies in der Regel einen Interessenkonflikt dar. Deutlich klargestellt hat der EuGH, dass es immer eine genaue Prüfung aller Umstände des Einzelfalles geben muss. Das Bundesarbeitsgericht muss sich also genau ansehen, was der Betriebsratsvorsitzende macht und prüfen, ob unter Heranziehung aller Umstände des Einzelfalls, er als Datenschutzbeauftragter Zwecke und Mittel der Datenverarbeitung bestimmt. Dabei ist es auch gut möglich, dass man sich mit dem weiterhin ungeklärten Streit, ob der Betriebsrat eigener Verantwortlicher ist, beschäftigen muss.
Interessant wird außerdem, wie das Bundesarbeitsgericht, das die Frage vorgelegt hat, die Auslegung des EuGH nun in seiner Rechtsprechung beachten wird. Liegt in jedem Interessenkonflikt ein wichtiger Grund zur Abberufung? Dann würde das nationale Recht im Ergebnis doch nicht strenger sein als das Unionsrecht. Wenn ein Interessenkonflikt aber nicht ausreicht, welche zusätzlichen „unzumutbaren“ Tatsachen müssen dann hinzutreten? Es bleibt spannend.
