Betriebsratsvorsitzender als Datenschutzbeauftragter? — Das Bundesarbeitsgericht

Der Vor­sitz im Betrieb­srat ste­ht ein­er Wahrnehmung der Auf­gaben des Beauf­tragten für den Daten­schutz typ­is­cher­weise ent­ge­gen und berechtigt den Arbeit­ge­ber in aller Regel, die Bestel­lung zum Daten­schutzbeauf­tragten nach Maß­gabe des BDSG in der bis zum 24. Mai 2018 gülti­gen Fas­sung (aF) zu widerrufen.

Der bei der Beklagten angestellte Kläger ist Vor­sitzen­der des Betrieb­srats und in dieser Funk­tion teil­weise von der Arbeit freigestellt. Mit Wirkung zum 1. Juni 2015 wurde er von der Beklagten und weit­eren in Deutsch­land ansäs­si­gen Tochterge­sellschaften zum Daten­schutzbeauf­tragten bestellt. Auf Ver­an­las­sung des Thüringer Lan­des­beauf­tragten für Daten­schutz und Infor­ma­tions­frei­heit wider­riefen die Beklagte und die weit­eren Konz­er­nun­ternehmen die Bestel­lung des Klägers am 1. Dezem­ber 2017 wegen ein­er Inkom­pat­i­bil­ität der Ämter mit sofor­tiger Wirkung. Nach Inkraft­treten der Verord­nung (EU) 2016/679 vom 27. April 2016 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en, zum freien Daten­verkehr und zur Aufhe­bung der Richtlin­ie (RL) 95/46/EG (Daten­schutz-Grund­verord­nung; im Fol­gen­den DSGVO) beriefen sie den Kläger vor­sor­glich mit Schreiben vom 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 DSGVO als Daten­schutzbeauf­tragten ab.

Der Kläger hat gel­tend gemacht, seine Rechtsstel­lung als betrieblich­er Daten­schutzbeauf­tragter der Beklagten beste­he unverän­dert fort. Die Beklagte hat die Auf­fas­sung vertreten, Inter­essenkon­flik­te bei der Wahrnehmung der Auf­gaben als Daten­schutzbeauf­tragter und Betrieb­sratsvor­sitzen­der ließen sich nicht auss­chließen. Die Unvere­in­barkeit bei­der Ämter stell­ten einen wichti­gen Grund zur Abberu­fung des Klägers dar.

Die Vorin­stanzen haben der Klage stattgegeben. Die dage­gen erhobene Revi­sion der Beklagten hat­te vor dem Neun­ten Sen­at des Bun­de­sar­beits­gerichts Erfolg. Der Wider­ruf der Bestel­lung vom 1. Dezem­ber 2017 war aus wichtigem Grund iSv. § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB gerecht­fer­tigt. Ein solch­er liegt vor, wenn der zum Beauf­tragten für den Daten­schutz bestellte Arbeit­nehmer die für die Auf­gaben­er­fül­lung erforder­liche Fachkunde oder Zuver­läs­sigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF nicht (mehr) besitzt. Die Zuver­läs­sigkeit kann in Frage ste­hen, wenn Inter­essenkon­flik­te dro­hen. Ein abberu­fungsrel­e­van­ter Inter­essenkon­flikt ist anzunehmen, wenn der Daten­schutzbeauf­tragte inner­halb ein­er Ein­rich­tung eine Posi­tion bek­lei­det, die die Fes­tle­gung von Zweck­en und Mit­teln der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en zum Gegen­stand hat. Dabei sind alle rel­e­van­ten Umstände des Einzelfalls zu würdi­gen. Diese vom Gericht­shof der Europäis­chen Union (EuGH 9. Feb­ru­ar 2023 – C‑453/21 – [X‑FAB Dres­den]) zu einem Inter­essenkon­flikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorgenommene Wer­tung gilt nicht erst seit Nov­el­lierung des Daten­schutzrechts auf­grund der DSGVO, son­dern entsprach bere­its der Recht­slage im Gel­tungs­bere­ich des BDSG aF.

Die Auf­gaben eines Betrieb­sratsvor­sitzen­den und eines Daten­schutzbeauf­tragten kön­nen danach typ­is­cher­weise nicht durch dieselbe Per­son ohne Inter­essenkon­flikt aus­geübt wer­den. Per­so­n­en­be­zo­gene Dat­en dür­fen dem Betrieb­srat nur zu Zweck­en zur Ver­fü­gung gestellt wer­den, die das Betrieb­sver­fas­sungs­ge­setz aus­drück­lich vor­sieht. Der Betrieb­srat entschei­det durch Gremi­ums­beschluss darüber, unter welchen konkreten Umstän­den er in Ausübung sein­er geset­zlichen Auf­gaben welche per­so­n­en­be­zo­ge­nen Dat­en vom Arbeit­ge­ber fordert und auf welche Weise er diese anschließend ver­ar­beit­et. In diesem Rah­men legt er die Zwecke und Mit­tel der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en fest. Inwieweit jedes an der Entschei­dung mitwirk­ende Mit­glied des Gremi­ums als Daten­schutzbeauf­tragter die Ein­hal­tung der geset­zlichen Pflicht­en des Daten­schutzes hin­re­ichend unab­hängig überwachen kann, bedurfte kein­er abschließen­den Entschei­dung. Jeden­falls die her­vorge­hobene Funk­tion des Betrieb­sratsvor­sitzen­den, der den Betrieb­srat im Rah­men der gefassten Beschlüsse ver­tritt, hebt die zur Erfül­lung der Auf­gaben eines Daten­schutzbeauf­tragten erforder­liche Zuver­läs­sigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF auf.

Bun­de­sar­beits­gericht, Urteil vom 6. Juni 2023 – 9 AZR 383/19 –
Vorin­stanz: Säch­sis­ches Lan­desar­beits­gericht, Urteil vom 19. August 2019 – 9 Sa 268/18 –

Hin­weis: Zur Abberu­fung eines Daten­schutzbeauf­tragten vgl. fern­er das Urteil vom 6. Juni 2023 – 9 AZR 621/19 –