Urteil des BAG: Betriebsratsvorsitzender darf nicht gleichzeitig Datenschutzbeauftragter sein
Wer den Vorsitz im Betriebsrat innehat, kann nicht gleichzeitig die Aufgaben des Datenschutzbeauftragten wahrnehmen. Ein Arbeitgeber kann und muss aus diesem Grund die Bestellung des betreffenden Arbeitnehmers zum Datenschutzbeauftragten wegen drohender Interessenkonflikte widerrufen. Das geht aus einem Urteil des Bundesarbeitsgerichts hervor.
Datenschutzbeauftragter
Ein Angestellter wurde als Betriebsratsvorsitzender mit teilweiser Freistellung von der Arbeit zum Datenschutzbeauftragten bestellt. Die Bestellung erfolgte durch seinen Arbeitgeber.
Der Thüringer Landesbeauftragte für Datenschutz veranlasste allerdings die Abberufung als Datenschutzbeauftragter wegen Inkompatibilität und wahrscheinlichen Interessenkonflikten. Der Betriebsratsvorsitzende ging gegen diese Abberufung über mehrere Instanzen gerichtlich vor.
Das BAG folgte allerdings der Auffassung des Landesbeauftragten für Datenschutz, der sich letztlich auch der Arbeitgeber angeschlossen hatte. Es urteilte, dass die Abberufung als Datenschutzbeauftragter „aus wichtigem Grund“ zu recht erfolgt ist (BAG, Urteil vom 06.06.2023, Az.: 9 AZR 383/19).
Betriebsratsvorsitzender kann nicht zugleich Datenschutzbeauftragter sein
Das Bundesarbeitsgericht begründete sein Urteil mit den Vorschriften des § 4 Abs. 3 S. 4 BDSG (Bundesdatenschutzgesetz), des § 4f Abs. 2 S. 1 BDSG und des § 626 Abs. 1 BGB.
Der Fall wurde in der ersten Instanz schon 2017 verhandelt, damals galt noch das alte BDSG. Im Urteil heißt es, dass der Arbeitnehmer unter Umständen die erforderliche Zuverlässigkeit und/oder Fachkunde möglicherweise nicht (mehr) besitze, was vor allem bei Interessenkonflikten die Arbeit als Datenschutzbeauftragter nicht zulasse. Es entstünde ein abberufungsrelevanter Interessenkonflikt, weil er als Betriebsratsvorsitzender eine Position innehabe, die ihm Zugang zu personenbezogenen Daten verschaffe.
Dieser Interessenkonflikt sei im Einzelfall abzuwägen. Der EuGH habe jedenfalls nach dem Inkrafttreten der DSGVO im Jahr 2018 festgestellt, dass so eine Konstellation zur Interessenkollision nach Artikel 38 Abs. 6 S. 2 DSGVO führen dürfte. Dies entspricht auch der Rechtslage des alten BDSG. Ein Betriebsratsvorsitzender dürfe nur personenbezogene Daten einsehen, die im Betriebsverfassungsgesetz ausdrücklich benannt werden. Welche Daten er im konkreten Fall unter definierten Umständen verarbeiten dürfe, gehe aus individuellen Gremiumsbeschlüssen des Betriebsrats hervor. Die Mitglieder des Gremiums wiederum seien nicht in der Lage, bei solchen Beschlüssen die Einhaltung des Datenschutzes ausreichend zu beurteilen. Daher könne der Betriebsratsvorsitzende nicht gleichzeitig mit ausreichender Zuverlässigkeit über den Datenschutz wachen, so das Gericht.
Dateneinsicht des Betriebsratsvorsitzenden vs. Artikel 38 DSGVO
Im Gegensatz zur begrenzten, durch Gremiumsbeschluss im Einzelfall definierten Dateneinsicht des Betriebsratsvorsitzenden hat der Datenschutzbeauftragte laut Artikel 38 DSGVO umfassendere Rechte der Dateneinsicht. Er ist demnach frühzeitig und ordnungsgemäß über alle Fragen zu informieren, die dem Schutz der personenbezogenen Daten dienen. Das schließt die Einsicht in die Daten selbst ein. Hierbei ist er durch seinen Arbeitgeber oder sonstige Auftragsverarbeiter zu unterstützen (Artikel 39 DSGVO). Insbesondere muss er Zugang zu allen erforderlichen Ressourcen und personenbezogenen Daten sowie den Verarbeitungsvorgängen erhalten. Auch sein Fachwissen muss für die Beurteilung der Daten und Vorgänge genügen.