Personalunion aus betrieblichem Datenschutzbeauftragten und Betriebsrats- oder Personalratsvorsitzenden?

Ein aktuelles Urteil des Sächsischen Landesarbeitsgerichts wirft neues Licht auf die Frage der Unabhängigkeit des Datenschutzbeauftragten

Kann ein Mitglied des Betriebsrats auch gleichzeitig betrieblicher Datenschutzbeauftragter sein? Das Bundesarbeitsgericht hat schon im Jahr 2011 im Geltungsbereich des alten Bundesdatenschutzgesetzes erkannt, dass eine Personalunion aus Mitglied des Betriebsrates und betrieblichen Datenschutzbeauftragten möglich ist (BAG, Urteil vom 23. März 2011, Az.: 10 AZR 562/09):

„Aus der Mitgliedschaft im Betriebsrat folgt keine – generelle – Unzuverlässigkeit des Arbeitnehmers für die Ausübung des Amtes eines Beauftragten für den Datenschutz“.

Das Sächsische Landesarbeitsgericht hat aktuell entschieden, dass diese Erwägung auch im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) weiterhin gilt und sich auch auf den Vorsitzenden des Betriebsrates erstreckt (Sächsisches LAG, Urteil vom 19. August 2019, Az.: 9 Sa 268/18). Entsprechendes wird für den Personalrat gelten.

Die Entscheidung, dass eine Personalunion aus Mitglied des Betriebsrates und betrieblichen Datenschutzbeauftragen möglich ist, hat das BAG bereits getroffen. (Copyright: anyaberkut/stock.adobe.com)

Zuverlässigkeit oder Interessenkonflikt eines Datenschutzbeauftragten

Nach § 4f Abs. 2 S. 1 BDSG (alt) war die Zuverlässigkeit noch Voraussetzung für die Bestellung zum Datenschutzbeauftragten. Darin hieß es:

„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“

Damit wurde auf die innerbetriebliche Position des Datenschutzbeauftragten abgestellt. Diese unterschied sich von der Position anderer Beschäftigter dahingehend, als er ggf. auch gegen die Interessen bzw. Auffassungen der Leitung der verantwortlichen Stelle zu handeln verpflichtet war. Jedenfalls durfte er sich mit den Geschäftszwecken und Zielen seines Arbeitgebers nicht so weitgehend identifizieren, dass dadurch die Erfüllung seiner Kontrollfunktion beeinträchtigt gewesen wäre. Im Kern sollte diese Zuverlässigkeit also in eine Unabhängigkeit münden.

Die Datenschutz-Grundverordnung fordert in Art. 36 Abs. 6 S. 2 DSGVO heute, dass ein Interessenkonflikt des Datenschutzbeauftragten ausgeschlossen wird. Auch der Interessenkonflikt wird aus Sicht der Datenschutz-Grundverordnung ErwG 97 im Ergebnis mit einer Unabhängigkeit der Stellung des Datenschutzbeauftragten definiert:

„Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“

Insoweit sind die Ziele des alten Bundesdatenschutzgesetzes und der aktuellen Datenschutz-Grundverordnung in Bezug auf die Stellung des Datenschutzbeauftragten durchaus kongruent. Das neue Bundesdatenschutzgesetz greift diese Frage nicht weitergehend auf, sondern konkretisiert nur die Anforderungen an die Fachkompetenz des Datenschutzbeauftragten.

Wie unabhängig kann ein Vorsitzender des Betriebs- oder Personalrats als Datenschutzbeauftragter sein?

Nach Auffassung des Sächsischen Landesarbeitsgerichts (Sächsisches LAG, Urteil vom 19. August 2019, Az.: 9 Sa 268/18) unterscheidet sich die Bewertung der Frage Unabhängigkeit eines Vorsitzenden des Gremiums nicht von derjenigen eines einfachen Mitgliedes.

Dennoch gibt es gute Argumente für einen inneren Konflikt zwischen den jeweiligen Aufgaben, hierzu folgende Bespiele:

1. Der Betriebs- oder Personalrat gestaltet gemeinsam mit dem Arbeitgeber die Betriebs- oder Dienstvereinbarungen. Während das Mitglied des Betriebs- oder Personalrats (auch) die Arbeitnehmerinteressen vertritt, achtet der Datenschutzbeauftragte strikt auf die Einhaltung der Vorgaben des Datenschutzes. Diese Aufgaben müssen sich nicht widersprechen, können aber einen unterschiedlichen Schwerpunkt haben.

2. Der Betriebs- oder Personalrat wird z.B. im Bewerbungsverfahrens oder bei der sog. „Sozialauswahl“ im Rahmen einer Kündigung mit Blick auf die ihm zugewiesen Aufgaben möglichst umfangreiche Informationen über Stellenbewerber oder Beschäftigte verlangen. Dem steht grundsätzlich die Perspektive des Datenschutzbeauftragten entgegen, der eine Datenminimierung anstrebt (Art. 5 Abs. 1 lit c) DSGVO). Auch hier müssen sich diese Aufgaben nicht widersprechen, aber auch hier können sie einen unterschiedlichen Schwerpunkt haben.

3. Die vorstehenden möglichen inneren Konflikte betreffen das „einfache“ Mitglied des Betriebs- oder Personalrats. Schwieriger wird es in Bezug auf den Vorsitzenden dieses Gremiums. Denn dieser vertritt die Beschlüsse des Gremiums auch nach außen. Dadurch konzentrieren sich die vorbeschriebenen Spannungsverhältnisse in seiner Person.

Es bestehen also starke Argumente gegen die Unabhängigkeit eines Datenschutzbeauftragten in Personalunion mit dem Vorsitz des Betriebs- oder Personalrats. Dennoch ist diese Unabhängigkeit nach der Auffassung des Sächsischen Landesarbeitsgerichts (Sächsisches LAG, Urteil vom 19. August 2019, Az.: 9 Sa 268/18) regelmäßig gegeben. Anders sieht es der Bayerische Landesbeauftragte für den Datenschutz (BayLfD). In einem Kurzpapier (Aktuelle Kurz-Information 14: Personalratsmitglied als behördlicher Datenschutzbeauftragter?) geht dieser von einer Unvereinbarkeit der Ämter aus.

Rechtsprechung versus Aufsicht

Der Rechtsanwender als Verantwortlicher im Sinne des Datenschutzes steht vor einem Dilemma: Folgt er der Empfehlung einer Aufsichtsbehörde oder dem Urteil eines Landesarbeitsgerichts? Diese Frage gilt verstärkt für Verantwortliche außerhalb Sachsens und Bayerns.

Es scheint wie die sprichwörtliche Wahl zwischen Pest und Cholera: Im Falle der Personalunion wird die Position des Betriebs- oder Personalratsvorsitzenden hervorgehoben und zugleich die Gefahr geschaffen, dass die Funktion des Datenschutzbeauftragten als nicht wirksam bestellt gilt. Der Katalog an möglichen Sanktionen ist bekannt und spricht für sich. Zugleich wird der arbeitsrechtliche Schutz vor Abberufung und Kündigung aber aus betriebswirtschaftlicher Sicht in einem Mitarbeiter konzentriert. Im Falle der Trennung der Aufgaben bestehen die Wirkungen der Aufgabenkonzentration nicht, jedoch sind zwei Mitarbeiter arbeitsrechtlich privilegiert.

Ausblick

Noch nicht geklärt ist die Frage, wie sich diese Rechtsprechung auf das Verhältnis des Betriebs- oder Personalrats zu seinem Träger, also dem Unternehmen oder der Behörde, aus Sicht der Datenschutz-Grundverordnung auswirkt. Die Datenschutz-Grundverordnung adressiert sämtliche Pflichten an denjenigen, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, den sog. „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO). Ist das Gremium aus Sicht der Datenschutz-Grundverordnung Teil des Trägers als Verantwortlicher, eigener Verantwortlicher oder sind beide gemeinsame Verantwortliche? Diese Überlegungen haben Konsequenzen, da z.B. im Falle getrennter Verantwortlichkeiten der Betriebsratsvorsitzende zugleich interner Datenschutzbeauftragter des Betriebs- oder Personalrats und externer Datenschutzbeauftragter des Trägers, also des Unternehmens oder der Behörde, würde.

Wir beraten Sie zu dieser und anderen kreativen Fragen rund um das Datenschutzrecht.

zurück
Meyer-KöringRechtsanwälte | SteuerberaterPartnerschaftsgesellschaft mbB

Büro Bonn

Oxfordstraße 21

53111 Bonn

Telefon +49 228 72636-0

Telefax +49 228 72636-77

Büro Berlin

Schumannstraße 18

10117 Berlin

Telefon +49 30 206298-6

Telefax +49 30 206298-89