Suche 
Im Jahr 2011 befand das Bundesarbeitsgericht, dass eine Mitgliedschaft im Betriebsrat der zeitgleichen Ausübung des Amtes als Datenschutzbeauftragter grundsätzlich nicht entgegenstehe. Nun hat das Bundesarbeitsgericht – nach vorheriger Befragung des Europäischen Gerichtshofs – eine Kehrtwende eingelegt und entschieden, dass beide Ämter nicht miteinander vereinbar seien.
Arbeitgeber unterliegen nach § 38 Abs. 1 BDSG der Pflicht zur Benennung eines Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Schwelle ist durch den Einsatz von EDV-Systemen, etwa in Personal-, Marketing- oder Sales-Abteilungen, in vielen Unternehmen schnell überschritten. Gerade in kleinen und mittelgroßen Unternehmen ist die Auswahl an fachlich geeigneten Personen, die für das Amt des Datenschutzbeauftragten in Betracht kommen, jedoch nicht sehr groß. Häufig geraten daher Mitglieder des Betriebsrats in den Blick. In einem aktuellen Urteil – derzeit lediglich als Pressemitteilung verfügbar – hat das BAG den Betriebsratsvorsitzenden im Ergebnis allerdings von einer Benennung ausgenommen.
Der Sachverhalt
Der Arbeitgeber bestellte den Vorsitzenden des in seinem Betrieb gewählten Betriebsrats zum 1. Juni 2015 zum Datenschutzbeauftragten. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerrief der Arbeitgeber diese Bestellung am 1. Dezember 2017 mit sofortiger Wirkung. Die Landesdatenschutzbehörde hatte beanstandet, dass beide Ämter wegen eines bestehenden Interessenkonfliktes nicht miteinander kompatibel seien. Nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) berief der Arbeitgeber den Betriebsratsvorsitzenden mit Schreiben vom 25. Mai 2018 vorsorglich erneut als Datenschutzbeauftragten ab. Hiergegen wehrte sich der Betriebsratsvorsitzende mit einer Feststellungsklage und machte geltend, dass seine Bestellung als Datenschutzbeauftragter nicht wirksam beendet worden sei. Sowohl das Arbeitsgericht Dresden als auch das Landesarbeitsgericht Sachsen entschieden in den Vorinstanzen zugunsten des klagenden Betriebsratsvorsitzenden.
Die Entscheidung des Bundesarbeitsgerichts
Am 6. Juni 2023 urteilte das BAG, dass der Widerruf der Bestellung aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG (alte Fassung) in Verbindung mit § 626 Abs. 1 BGB gerechtfertigt gewesen sei. Ein solcher wichtiger Grund liege vor, wenn der zum Datenschutzbeauftragten bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht (mehr) besitze. Die Zuverlässigkeit könne in Frage stehen, wenn Interessenkonflikte drohten. Ein abberufungsrelevanter Interessenkonflikt sei anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleide, welche die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Das Bundesarbeitsgericht verweist diesbezüglich auf das Urteil des EuGH vom 9. Februar 2023 (C-453/21), welches vom BAG in dieser Frage im Wege des Vorabentscheidungsersuchens beteiligt worden war.
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten könnten danach durch dieselbe Person nicht ohne Interessenkonflikt ausgeübt werden. Personenbezogene Daten dürften dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsehe. Der Betriebsrat entscheide durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordere und auf welcher Weise er diese anschließend verarbeite. In diesem Rahmen lege er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Aus diesem Grund könne der Betriebsratsvorsitzende die Einhaltung des Datenschutzes nicht hinreichend unabhängig überwachen.
Weitere Argumente für bestehende Interessenkollision
Der Datenschutzbeauftragte hat die Aufgabe, zu prüfen, ob der Arbeitgeber als datenschutzrechtlich Verantwortlicher (vgl. Art. 4 Ziffer 7 DSGVO) die Vorgaben der DSGVO und des BDSG einhält. Die Kontrollbefugnisse des Datenschutzbeauftragten bestehen auch gegenüber dem Betriebsrat, der nach § 79a BetrVG als Teil des für den Datenschutz verantwortlichen Arbeitgebers gilt. Darüber hinaus berät der Datenschutzbeauftragte Arbeitgeber und Betriebsrat mit Blick auf die Umsetzung der datenschutzrechtlichen Bestimmungen. Eine Interessekollision tritt angesichts dessen offen zu Tage: Der Betriebsratsvorsitzende müsste sich als Datenschutzbeauftragter gleichsam selbst kontrollieren und könnte den Arbeitgeber – angesichts der divergierenden Interessen zwischen Arbeitgeber und Betriebsrat – nicht neutral in datenschutzrechtlichen Angelegenheiten beraten. Vor diesem Hintergrund ist es zu begrüßen, dass der EuGH das BAG zu einer längst überfälligen Rechtsprechungsänderung veranlassen konnte.
Fazit
Das BAG hat ausdrücklich offengelassen, ob dem Amt des Datenschutzbeauftragten auch die bloße Betriebsratsmitgliedschaft (unabhängig von der Stellung des Vorsitzenden) entgegensteht. Die vorgenannten Argumente sprechen indes dafür, eine Interessenkollision auch in diesem Fall anzunehmen. Da der Arbeitgeber nach Art. 38 Abs. 6 DSGVO dazu verpflichtet ist, sicherzustellen, dass die Aufgaben und Pflichten eines Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen, sollte er darauf bedacht sein, jedes Betriebsratsmitglied von der Bestellung zum Datenschutzbeauftragten auszunehmen.
