Weinmann Götz Strahl

Rechtsanwaltskanzlei







Mo. - Do. 8:00 - 18:00


Fr. 8:00 – 15:00

Öffnungszeiten / Montag – Donnerstag 08:00 – 18:00 / Freitag 8:00 – 15:00

Telefon: 0941 / 461 893 – 0

cyber security, information security, data privacy
Arbeitsrecht, Datenschutz

Betriebsratsvorsitzender und Datenschutzbeauftragter – Geht das?

Mit der Frage hatte sich jüngst das Bundesarbeitsgericht auseinanderzusetzen, wobei der Fall noch in die Zeit vor Inkrafttreten der DSGVO fiel.

Wie war der Sachverhalt?

Der teilweise von der Arbeit freigestellte Betriebsratsvorsitzende bekleidete bei seinem nicht-öffentlichen Arbeitgeber zusätzlich das Amt des Datenschutzbeauftragten. Auf Hinweis des zuständigen Landesbeauftragten für Datenschutz hinsichtlich der Inkompatibilität der Ämter widerrief der Arbeitgeber die Bestellung als Datenschutzbeauftragter. Dagegen setzte sich der Betriebsratsvorsitzende zur Wehr und klagte.

Rechtslage

– Vor Inkrafttreten der DSGVO:

Nach § 4 f Abs. 1 BDSG a.F. hatten öffentliche und nicht-öffentliche Stellen schriftlich einen Beauftragten für Datenschutz zu bestellen, wenn sie personenbezogene Daten automatisiert erheben, wobei bezüglich nicht-öffentlicher Stellen die Einschränkung galt, dass die Bestellung erst dann zwingend war, wenn mehr als neun Personen ständig bei der automatisierten Verarbeitung von personenbezogenen Daten eingebunden waren. Bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten auf andere Weise war ein Beauftragter für Datenschutz zu bestellen, wenn in der Regel bei den Stellen mindestens 20 Personen tätig sind. Die Bestellung setzte voraus, dass die Person die erforderliche Sachkunde und Zuverlässigkeit besaß (§ 4 f Abs. 2 S. 1 BDSG a.F.). Ein Widerruf der Bestellung war in entsprechender Anwendung nach § 626 BGB zulässig, wobei bei nicht-öffentlichen Stellen der Widerruf auch auf Begehren der zuständigen Aufsichtsbehörde erfolgen konnte (§ 4 f Abs. 3 S. 4 BDSG a.F.). Der Beauftragte für Datenschutz genoss Sonderkündigungsschutz, sodass das Arbeitsverhältnis nur aus wichtigem Grund beendet werden konnte (§ 4 f Abs. 3 S. 5 BDSG a.F.) mit einem Jahr nachwirkenden Sonderkündigungsschutz nach Abberufung (§ 4 f Abs. 3 S. 6 BDSG a.F.).

 
– Nach Inkrafttreten der DSGVO:

Nach § 5 Abs. 1 BDSG n.F. benennen nun öffentliche Stellen immer einen Datenschutzbeauftragten, wobei §§ 6, 7 BDSG n.F. die Stellung und die Aufgaben des Datenschutzbeauftragten festlegen. Die Benennung soll anhand der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis erfolgen sowie der Fähigkeit zur Erfüllung der Aufgaben als Datenschutzbeauftragter (§ 5 Abs. 3 BDSG n.F.). Die Abberufung des Datenschutzbeauftragten ist in entsprechender Anwendung des § 626 BGB zulässig (§ 6 Abs. 4 S. 1 BDSG n.F.). Der Sonderkündigungsschutz ist vergleichbar so ausgestaltet wie vor Inkrafttreten der DSGVO (§ 6 Abs. 4 S. 2 und S. 3 BDSG n.F.).

Bei nichtöffentlichen Stellen sieht § 38 Abs. 1 BDSG n.F. die Benennung eines Datenschutzbeauftragten vor, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Unabhängig von der Anzahl der Beschäftigten ist ein Datenschutzbeauftragter zu bestellen bei der Verarbeitung von personenbezogenen Daten mit dem Erfordernis einer Datenschutz-Folgeabschätzung und bei geschäftsmäßiger Datenverarbeitung, die auf den Zweck (anonymisierte) Übermittlung oder Markt- oder Meinungsforschung gerichtet ist. Daneben ist eine Benennung auch in den Fällen des Art. 37 Abs. 1 b und c DSGVO verpflichtend.

Über § 38 Abs. 2 BDSG n.F. findet § 6 Abs. 4 BDSG n.F. Anwendung, allerdings mit der Einschränkung, dass die Benennung verpflichtend sein muss.

Entscheidung des BAG:

Das Arbeits- und Landesarbeitsgericht hatten noch dem Betriebsratsvorsitzendem Recht gegeben und keine Inkompatibilität der beiden Ämter gesehen. Das Bundesarbeitsgericht sah dies nun anders und knüpfte an die Zuverlässigkeit des Datenschutzbeauftragten als zwingende Voraussetzung nach § 4 f Abs. 2 S. 1 BDSG a.F. an, die bei Interessenskonflikten nicht mehr gegeben sein kann.

Das Bundesarbeitsgericht verwies an dieser Stelle auf die Rechtsprechung des EuGHs (EuGH vom 09.02.2023, Az.: C-453/21 (X-FAB Dresden)), wonach ein Interessenskonflikt, der eine Abberufung rechtfertigten kann, anzunehmen ist, wenn der Datenschutzbeauftragte eine Position innehat, die mit der „Festlegung von Zwecken und Mitteln der Verarbeitung von personenbezogenen Daten“ befasst ist.

Zumindest beim Betriebsratsvorsitzenden nimmt das Bundesarbeitsgericht dies an und sieht den Widerruf als berechtigt an, da er den Betriebsrat, wenn dieser einen Beschluss gefasst hat, vertritt und Gegenstand eines Betriebsratsbeschlusses auch personenbezogene Daten sein können. Der Betriebsrat legt durch Beschluss fest, zu welchen Zweck er personenbezogener Daten bedarf und wie er diese im Anschluss verarbeitet.

Einordnung der Entscheidung:

Die Entscheidung bezieht sich nur auf den Betriebsratsvorsitzenden. Ausdrücklich offengelassen hat das Bundearbeitsgericht, ob eine Inkompatibilität auch anzunehmen ist, wenn sozusagen ein einfaches Betriebsratsmitglied zum Datenschutzbeauftragten ernannt wird. Außerdem bleibt natürlich abzuwarten, ob die Entscheidung auch nach Inkrafttreten der DSGVO Bestand hat. Davon ist jedoch auszugehen, da die rechtlichen Parameter zwischen früherem Widerruf und jetziger Abberufung nicht groß anders sind. Auf beides findet § 626 BGB in entsprechender Weise Anwendung, wo die Wertungen des EuGH zum Interessenkonflikt nach Art. 38 Abs. 6 S. 2 DSGVO zu berücksichtigen sind, auch wenn die BDSG n.F. zwar nicht mehr mit der Begrifflichkeit der Zuverlässigkeit des Datenschutzbeauftragten arbeitet, allerdings jetzt der Datenschutzbeauftragte die Fähigkeit zur Aufgabenerfüllung haben muss, was in eine ähnliche Richtung wie die frühere Zuverlässigkeit geht.

 

Quelle: Pressemitteilung Bundesarbeitsgericht Nr. 27/23 vom 06.06.2023

 

Beitragsbild von TheDigitalArtist on Pixabay

0
,

Verwandte Beiträge