Der Sachverhalt
Der Kläger war Betriebsratsvorsitzender und wurde im Juni 2015 von der Beklagten zum Datenschutzbeauftragten bestellt.
Der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit stellte mit Schreiben vom 24. November 2017 fest, dass der Kläger nicht über die für die Bestellung zum betrieblichen Datenschutzbeauftragten erforderliche Zuverlässigkeit verfüge. Aufgrund der Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden sei der Kläger bereits nicht wirksam zum betrieblichen Datenschutzbeauftragten bestellt worden.
Als Reaktion darauf teilte die Beklagte dem Kläger mit, dass seine Bestellung zum Datenschutzbeauftragten nicht wirksam erfolgt sei. Es wurde ein neuer Datenschutzbeauftragter bestellt und der Kläger wurde hilfsweise mit sofortiger Wirkung abberufen. Der Betriebsratsvorsitzende wehrte sich gerichtlich gegen diese Entscheidung.
Wirksamkeit der Bestellung zum Datenschutzbeauftragten
Das BAG entschied mit seinem Urteil vom 06. Juni 2023, dass die Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragen wirksam war.
Die Annahme der Arbeitgeberin, dass der Betriebsratsvorsitzende als Datenschutzbeauftragter nicht die erforderliche Zuverlässigkeit aufweise, führt keinesfalls zu einer nichtigen Bestellung. Wäre dies der Fall, liefe der vorgesehene Widerruf der Bestellung aufgrund des Widerrufsrechts nach § 4f Abs. 3 Satz 4 BDSG aF sowie das Recht der Aufsichtsbehörde zur Abberufung nach § 38 Abs. 5 Satz 3 BDSG aF ins Leere.
Dies dürfte auch für die heutige Rechtslage gelten, bei welcher eine Abberufung nach § 6 Abs. 4 Satz 1 BDSG unter entsprechender Anwendung des § 626 BGB möglich ist, wobei hier ein wichtiger Grund vonnöten ist. Ein solcher liegt nämlich wohl jedenfalls vor, wenn eine Zuverlässigkeit im Rahmen des Datenschutzrechtes nach dem BDSG aF fehlen würde.
Abberufung eines Betriebsratsvorsitzenden als Datenschutzbeauftragter
Ein Grund für den Widerruf durch die Arbeitgeberin lag im November 2017 aufgrund fehlender Zuverlässigkeit des Betriebsratsvorsitzenden als Datenschutzbeauftragter vor.
Das Fehlen der Zuverlässigkeit wurde wegen dem Interessenkonflikt eines Datenschutzbeauftragten, welcher zugleich Betriebsratsvorsitzender ist, bejaht.
Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu Art. 38 Abs. 6 Satz 2 DSGVO darf ein als Datenschutzbeauftragter bestellter Arbeitnehmer keine Position bekleiden, in der er über die Festlegung von Zwecken und Mitteln zur Verarbeitung personenbezogener Daten entscheidet. Das Recht des Arbeitgebers, die Bestellung des Datenschutzbeauftragten zu widerrufen, wenn dieser einen gestaltenden Einfluss auf die Datenverarbeitung ausübt, sichert die funktionelle Unabhängigkeit des Datenschutzbeauftragten und gewährleistet somit die Wirksamkeit der datenschutzrechtlichen Bestimmungen.
Das BAG entschied nicht, ob die einfache Mitgliedschaft im Betriebsrat zu einem Interessenkonflikt nach Art. 38 Abs. 6 Satz. 2 DSGVO führt. Es entschied jedoch, dass dies für einen Betriebsratsvorsitzenden, der den Betriebsrat nach außen vertritt, der Fall ist.
Warum, das sollen die folgenden Ausführungen verdeutlichen.
Informationsanspruch und Mitbestimmung des Betriebsrates als Gremium
Der Betriebsrat ist dafür verantwortlich, Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen. Mittels Beschlüssen entscheidet er, unter welchen Umständen er welche personenbezogenen Daten im Rahmen seiner durch das BetrVG zugewiesenen Aufgaben erhebt und verarbeitet. Das BetrVG gewährt dem Betriebsrat in sozialen, personellen und wirtschaftlichen Angelegenheiten Beteiligungs- und Mitwirkungsrechte, die von Anhörung, Unterrichtung, Beratung bis hin zum Mitbestimmungsrecht reichen. Bei der Wahrnehmung dieser Aufgaben verarbeitet der Betriebsrat personenbezogene Daten, die er vom Arbeitgeber oder von den Beschäftigten direkt erhält. Darüber hinaus kann der Betriebsrat mit dem Arbeitgeber Betriebsvereinbarungen abschließen, die unmittelbar und verbindlich für die betriebsangehörigen Arbeitnehmer gelten. Solche Vereinbarungen können auch Regelungen zur Verarbeitung personenbezogener Daten enthalten.
Aufgaben des Datenschutzbeauftragen
Der Datenschutzbeauftragte ist dafür verantwortlich, die Datenschutzkonformität bei der Übermittlung personenbezogener Mitarbeiterdaten zu überprüfen, die der Betriebsrat beim Arbeitgeber anfordert. Insbesondere bei der Übermittlung sensibler Daten muss der Datenschutzbeauftragte sicherstellen, dass das Schutzkonzept des Betriebsrates den datenschutzrechtlichen Anforderungen entspricht und der Arbeitgeber die Daten rechtmäßig an den Betriebsrat übermitteln kann. Darüber hinaus erstreckt sich die Überwachungs- und Kontrollbefugnis des Datenschutzbeauftragten auf die Einhaltung datenschutzrechtlicher Bestimmungen bei der Umsetzung von Betriebsvereinbarungen, an deren Abschluss er selbst beteiligt war.
Interessenkonflikt wegen der Vertretungsfunktion des Betriebsratsvorsitzenden
Die Vertretung des Betriebsrates durch den Betriebsratsvorsitzenden stellt die funktionelle Unabhängigkeit als Datenschutzbeauftragter in Frage. Wenn der Betriebsratsvorsitzende im Rahmen der Beschlüsse des Betriebsrates vom Arbeitgeber die Übermittlung personenbezogener Arbeitnehmerdaten verlangt und dabei die vom Betriebsrat beschlossenen Schutzvorkehrungen darlegt, repräsentiert er nach außen die Interessen des Betriebsrates. Ist er zugleich als Datenschutzbeauftragten tätig, müsste er neutral und ausschließlich dem Datenschutz verpflichtet überprüfen, ob Auskunftsersuche und beschlossene Schutzvorkehrungen datenschutzrechtlichen Vorgaben entsprechen und den Arbeitgeber diesbezüglich gegebenenfalls beraten.
Auswirkung auf die heutige Rechtslage
Nach dem Urteil des BAG steht fest, dass eine Bestellung eines Betriebsratsvorsitzenden als Datenschutzbeauftragter vor Inkrafttreten des neuen Bundesdatenschutzgesetzes am 25. Mai 2018 nicht wegen einer Nichtigkeit aufgrund eines Interessenskonfliktes unwirksam ist. Die Rechtslage nach Inkrafttreten des Urteils dürfte diesbezüglich keine andere sein.
Weiterhin ist rechtssicher festgestellt, dass nach § 6 Abs. 4 Satz. 1 BDSG die Bestellung eines Betriebsratsvorsitzenden zum Datenschutzbeauftragten ein Abberufungsgrund sein kann. Es wird wohl im Rahmen des Effektivitätsgrundsatzes unter Berücksichtigung der vorherigen Ausführungen zu den Aufgaben sowie Beteiligungs- und Mitbestimmungsrechten des Betriebsrates davon auszugehen sein, dass dies auch für einfache Betriebsratsmitglieder gilt.
Daniel Alexander Blotevogel