Ist ein Betriebsratsmitglied als Datenschutzbeauftragter oder interner Bearbeiter der internen Meldestelle geeignet?
Im Jahr 2011 entschied das Bundesarbeitsgericht, dass eine Mitgliedschaft im Betriebsrat der zeitgleichen Ausübung des Amtes als Datenschutzbeauftragter grundsätzlich nicht entgegenstehe. Nun hat das Bundesarbeitsgericht – nach Vorlage vor den Europäischen Gerichtshofs – eine Kehrtwende eingelegt und entschieden, dass beide Ämter nicht miteinander vereinbar seien.
Kehrtwende des BAG
Arbeitgeber unterliegen nach § 38 Abs. 1 BDSG der Pflicht zur Ernennung eines Datenschutzbeauftragten, soweit Arbeitgeber in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Schwelle ist durch den Einsatz von EDV-Systemen, etwa in Personal-, Marketing- oder Vertriebs-Abteilungen, in vielen Unternehmen schnell überschritten. Folge für den Arbeitgeber ist die Ernennung eines Datenschutzbeauftragten.
Doch gerade in kleinen und mittelständischen Unternehmen ist die Auswahl an fachlich geeigneten Personen, die für das Amt des Datenschutzbeauftragten in Betracht kommen, nicht sehr groß. Häufig geraten daher Mitglieder des Betriebsrats in den Blick. In einem aktuellen Urteil hat das BAG den Betriebsratsvorsitzenden allerdings von einer Ernennung zum Datenschutzbeauftragten ausgeschlossen.
Urteil des BAG infolge der Entscheidung des EuGH
Am 6. Juni 2023 (9 AZR 383/19) entschied das BAG in seinem Urteil, dass der Widerruf der Bestellung aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG (alte Fassung) in Verbindung mit § 626 Abs. 1 BGB gerechtfertigt gewesen sei. Das BAG verweist in seinem Urteil auf das Urteil des EuGH vom 9. Februar 2023 (C-453/21). Der EuGH wurde vom BAG in dieser Frage im Wege des Vorabentscheidungsverfahren hinzugezogen. Nach Ansicht des EuGH liegt ein solcher wichtiger Grund vor, wenn der zum Datenschutzbeauftragten bestellte Arbeitnehmer die für die Tätigkeit als Datenschutzbeauftragter erforderliche Fachkunde, Neutralität, Weisungsunabhängigkeit oder Zuverlässigkeit nicht (mehr) besitzt.
Drohende Interessenkonflikte
Die Neutralität kann in Frage gestellt werden, wenn Interessenkonflikte drohen. Ein abberufungsrelevanter Interessenkonflikt ist dann anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Funktion innehat, welche die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Der Betriebsrat ist an einer solchen Festlegung beteiligt.
Interessenkonflikt: Betriebsratsvorsitzender als Datenschutzbeauftragter
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten könnten danach durch dieselbe Person nicht ohne Interessenkonflikt ausgeübt werden. Personenbezogene Daten dürften dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Der Betriebsrat entscheidet durch Beschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber einfordern darf und auf welcher Weise er diese anschließend verarbeitet. In diesem Rahmen lege der Betriebsrat die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Aus diesem Grund könnte der Betriebsratsvorsitzende die Einhaltung des Datenschutzes als Datenschutzbeauftragter nicht unabhängig genug überwachen.
Datenschutzbeauftragter beaufsichtigt Arbeitgeber und Betriebsrat
Der Datenschutzbeauftragte hat die Aufgabe, zu prüfen, ob der Arbeitgeber als datenschutzrechtlich Verantwortlicher (vgl. Art. 4 Ziffer 7 DSGVO) die Vorgaben der DSGVO und des BDSG einhält. Die Kontrollbefugnisse des Datenschutzbeauftragten bestehen auch gegenüber dem Betriebsrat, der nach § 79a BetrVG als Teil des für den Datenschutz verantwortlichen Arbeitgebers gilt. Darüber hinaus berät der Datenschutzbeauftragte Arbeitgeber und Betriebsrat mit Blick auf die Umsetzung der datenschutzrechtlichen Bestimmungen. Eine Interessekollision wäre hier somit zu bejahen.
Fehlende Neutralität bei Beaufsichtigung des Betriebsrats
Wäre der Betriebsratsvorsitzende Datenschutzbeauftragter müsste er sich selbst kontrollieren und könnte den Arbeitgeber – angesichts der divergierenden Interessen zwischen Arbeitgeber und Betriebsrat – nicht neutral in datenschutzrechtlichen Angelegenheiten beraten.
Übertragbarkeit der BAG-Entscheidung auf alle Betriebsratsmitglieder?
Das BAG hat ausdrücklich offengelassen, ob dem Amt des Datenschutzbeauftragten auch die bloße Betriebsratsmitgliedschaft (unabhängig von der Stellung des Vorsitzenden) entgegensteht. Die vorgenannten Argumente sprechen nach unserer Ansicht jedoch dafür, auch hier eine Interessenkollision anzunehmen. Da der Arbeitgeber nach Art. 38 Abs. 6 DSGVO dazu verpflichtet ist, sicherzustellen, dass die Aufgaben und Pflichten eines Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen, sollte er darauf bedacht sein, jedes Betriebsratsmitglied von der Bestellung zum Datenschutzbeauftragten auszunehmen.
Übertragbarkeit der BAG-Entscheidung auf interne Bearbeiter einer internen Meldestelle von Hinweisgeberschutzsystemen?
Entsprechendes soll nach unserer Ansicht für die Besetzung der internen Meldestelle im Rahmen des Hinweisgeberschutzgesetzes gelten. Denn nach den vorgenannten Ausführungen erscheint auch die Unvereinbarkeit von Betriebsratsmitgliedschaft bzw. Datenschutzbeauftragter mit der Position eines internen Bearbeiters der internen Meldestelle gegeben. Sowohl interne Bearbeiter von Meldungen als auch Datenschutzbeauftragte sind vergleichbar. Zwar ist die besondere Position des Datenschutzbeauftragten, wie auch der besondere Kündigungsschutz des Datenschutzbeauftragten, für interne Bearbeiter der internen Meldestelle nach dem Hinweisgeberschutzgesetz nicht gesetzlich geregelt. Allerdings sind die gesetzlichen Anforderungen an die Kenntnisse und Fähigkeiten von Datenschutzbeauftragten und internen Bearbeitern der internen Meldestelle sehr ähnlich. Beide müssen über die notwendige Fachkunde verfügen; diese lassen sich auch über parallele Weiter- und Fortbildungen erlangen. Zudem müssen beide Funktionen unabhängig sein, Neutralität wahren können und weisungsunabhängig sein.
Worauf sollten Unternehmen vor diesem Hintergrund achten?
Unternehmen sollten die Wahl des Datenschutzbeauftragten und des internen Bearbeiters der internen Meldestelle nach dem Hinweisgeberschutzgesetz unter Berücksichtigung der vorgenannten Rechtsprechung ausreichend überdenken. Im Ergebnis wird das Betriebsratsmitglied weder als Datenschutzbeauftragter noch aus unserer Sicht als interner Bearbeiter der internen Meldestelle die beste Wahl sein. Zu berücksichtigen sind zudem etwaige Änderungen nach den jeweiligen Betriebsratswahlen, da sich hieraus Änderungen bei der Geeignetheit bestimmter Beschäftigter ergeben könnten.
10.01.2024