Die Abbe­ru­fung eines betrieb­li­chen Datenschutzbeauftragten

Das Bun­des­ar­beits­ge­richt hat in einem Rechts­streit über die Abbe­ru­fung eines betrieb­li­chen Daten­schutz­be­auf­trab­ten ein Vor­ab­ent­schei­dungs­er­su­chen an den Gerichts­hof der Euro­päi­schen Uni­on gemäß Art. 267 AEUV gerichtet.

Die Abbe­ru­fung eines betrieb­li­chen Datenschutzbeauftragten

Dabei hat das Bun­des­ar­beits­ge­richt den Uni­ons­ge­richts­hof um die Beant­wor­tung fol­gen­der Fra­gen ersucht:

  1. Ist Art. 38 Abs. 3 Satz 2 der Ver­ord­nung (EU) 2016/​679 (Daten­schutz-Grund­ver­ord­nung – DSGVO) dahin aus­zu­le­gen, dass er einer Bestim­mung des natio­na­len Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bun­des­da­ten­schutz­ge­set­zes (BDSG), ent­ge­gen­steht, die die Abbe­ru­fung des Daten­schutz­be­auf­trag­ten durch den Ver­ant­wort­li­chen, der sein Arbeit­ge­ber ist, an die dort genann­ten Vor­aus­set­zun­gen knüpft, unab­hän­gig davon, ob sie im Wege der Erfül­lung sei­ner Auf­ga­ben erfolgt?

    Falls die ers­te Fra­ge bejaht wird:

  2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer sol­chen Bestim­mung des natio­na­len Rechts auch dann ent­ge­gen, wenn die Benen­nung des Daten­schutz­be­auf­trag­ten nicht nach Art. 37 Abs. 1 DSGVO ver­pflich­tend ist, son­dern nur nach dem Recht des Mit­glied­staats?

    Falls die ers­te Fra­ge bejaht wird:

  3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer aus­rei­chen­den Ermäch­ti­gungs­grund­la­ge, ins­be­son­de­re soweit er Daten­schutz­be­auf­trag­te erfasst, die in einem Arbeits­ver­hält­nis zum Ver­ant­wort­li­chen ste­hen?

    Falls die ers­te Fra­ge ver­neint wird:

  4. Liegt ein Inter­es­sen­kon­flikt im Sin­ne von Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Daten­schutz­be­auf­trag­te zugleich das Amt des Vor­sit­zen­den des in der ver­ant­wort­li­chen Stel­le gebil­de­ten Betriebs­rats inne­hat? Bedarf es für die Annah­me eines sol­chen Inter­es­sen­kon­flikts einer beson­de­ren Auf­ga­ben­zu­wei­sung inner­halb des Betriebsrats?

Aus­gangs­sach­ver­halt

In dem zugrun­de lie­gen­den Ver­fa­hen strei­ten die Par­tei­en über die Abbe­ru­fung des Arbeit­neh­mers als Beauf­trag­ter für den Daten­schutz. Der Arbeit­neh­mer steht unter Anrech­nung von Zei­ten vor­ma­li­ger Betriebs­zu­ge­hö­rig­keit seit dem 1.11.1993 in einem Arbeits­ver­hält­nis zu der Arbeit­ge­be­rin. Er ist zur Wahr­neh­mung sei­ner Auf­ga­ben als Vor­sit­zen­der des bei der Arbeit­ge­be­rin gebil­de­ten Betriebs­rats teil­wei­se von der Arbeit frei­ge­stellt. Zudem übt er das Amt des stell­ver­tre­ten­den Vor­sit­zen­den des „Gesamt­be­triebs­rats“, der für drei in Deutsch­land ansäs­si­ge Kon­zern­un­ter­neh­men gebil­det wur­de. Mit Wir­kung zum 1.06.2015 wur­de der Arbeit­neh­mer von der Arbeit­ge­be­rin und ihrer Mut­ter­ge­sell­schaft sowie von deren wei­te­ren in Deutsch­land ansäs­si­gen Toch­ter­ge­sell­schaf­ten jeweils geson­dert zum Daten­schutz­be­auf­trag­ten bestellt. Mit der par­al­le­len Bestel­lung des Arbeit­neh­mers zum Daten­schutz­be­auf­trag­ten aller in Deutsch­land ansäs­si­gen Kon­zern­un­ter­neh­men wur­de das Ziel ver­folgt, einen kon­zern­ein­heit­li­chen Daten­schutz­stan­dard zu errei­chen. Auf Ver­an­las­sung des für die Mut­ter­ge­sell­schaft der Arbeit­ge­be­rin zustän­di­gen Thü­rin­ger Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit wider­rie­fen die Arbeit­ge­be­rin und die drei wei­te­ren in Deutsch­land ansäs­si­gen Kon­zern­un­ter­neh­men jeweils mit getrenn­ten Schrei­ben vom 01.12.2017 die Bestel­lung des Arbeit­neh­mers zum Daten­schutz­be­auf­trag­ten mit sofor­ti­ger Wir­kung. Nach Inkraft­tre­ten der Ver­ord­nung (EU) 2016/​679 vom 27.04.2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie (RL) 95/​46/​EG (Daten­schutz-Grund­ver­ord­nung – DSGVO)1 berie­fen die Arbeit­ge­be­rin und die drei wei­te­ren Kon­zern­un­ter­neh­men mit getrenn­ten Schrei­ben vom 25.05.2018 den Arbeit­neh­mer vor­sorg­lich auch gemäß Art. 38 Abs. 3 Satz 2 DSGVO unter Hin­weis auf betriebs­be­ding­te Grün­de als Daten­schutz­be­auf­trag­ten ab.

Mit sei­ner Kla­ge hat der Arbeit­neh­mer gel­tend gemacht, sei­ne Rechts­stel­lung als betrieb­li­cher Daten­schutz­be­auf­trag­ter bestehe unver­än­dert fort. Die Arbeit­ge­be­rin hat die Auf­fas­sung ver­tre­ten, es droh­ten Inter­es­sen­kon­flik­te, wenn der Arbeit­neh­mer zugleich Daten­schutz­be­auf­trag­ter und Betriebs­rats­vor­sit­zen­der sei. Dies füh­re zu einer Unver­ein­bar­keit bei­der Ämter, so dass ein wich­ti­ger Grund zur Abbe­ru­fung des Arbeit­neh­mers gege­ben sei. Die Vor­in­stan­zen haben der Kla­ge statt­ge­ge­ben. Mit ihrer Revi­si­on begehrt die Arbeit­ge­be­rin die Klageabweisung.

Weiterlesen:
PNR-Abkommen

Der Erfolg der von der Arbeit­ge­be­rin ein­ge­leg­ten Revi­si­on hängt von der Aus­le­gung des Uni­ons­rechts ab. Nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG ist die Abbe­ru­fung des Daten­schutz­be­auf­trag­ten nur in ent­spre­chen­der Anwen­dung des § 626 BGB und damit aus wich­ti­gem Grund zuläs­sig. Die Bestim­mun­gen des BDSG knüp­fen damit die Abbe­ru­fung des Daten­schutz­be­auf­trag­ten an stren­ge­re Vor­aus­set­zun­gen als das Uni­ons­recht, das in Art. 38 Abs. 3 Satz 2 DSGVO vor­sieht, dass der Daten­schutz­be­auf­trag­te von den Ver­ant­wort­li­chen wegen der Erfül­lung sei­ner Auf­ga­ben nicht abbe­ru­fen oder benach­tei­ligt wer­den darf.

Nach natio­na­lem Recht wäre die Abbe­ru­fung des Arbeit­neh­mers vom 01.12.2017 gemäß § 4f BDSG in der bis zum 24.05.2018 gül­ti­gen Fas­sung unzu­läs­sig, weil für sie kein wich­ti­ger Grund vor­ge­le­gen hat. Ob die Abbe­ru­fung vom 25.05.2018 wegen Ver­sto­ßes gegen § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG unwirk­sam ist, hängt zunächst davon ab, ob nach Uni­ons­recht, und ins­be­son­de­re nach Art. 38 Abs. 3 Satz 2 DSGVO, eine mit­glied­staat­li­che Rege­lung zuläs­sig ist, durch die eine Abbe­ru­fung des Daten­schutz­be­auf­trag­ten an stren­ge­re Vor­aus­set­zun­gen als nach dem Uni­ons­recht geknüpft ist. Hier­über kann das Bun­des­ar­beits­ge­richt nicht ohne Anru­fung des Gerichts­hofs der Euro­päi­schen Uni­on nach Art. 267 AEUV befin­den. Müss­ten § 38 Abs. 2 iVm. § 6 Abs. 4 BDSG wegen des Anwen­dungs­vor­rangs von Uni­ons­recht unan­ge­wen­det blei­ben, wäre die Revi­si­on der Arbeit­ge­be­rin erfolg­reich. Auf einen wei­te­ren die Unzu­läs­sig­keit sei­ner Abbe­ru­fung bedin­gen­den Grund hat sich der Arbeit­neh­mer nicht beru­fen. Soll­te der Gerichts­hof der Euro­päi­schen Uni­on die Anfor­de­run­gen des BDSG an eine Abbe­ru­fung für uni­ons­rechts­kon­form erach­ten, hält es das Bun­des­ar­beits­ge­richt zudem für klä­rungs­be­dürf­tig, ob die Ämter des Betriebs­rats­vor­sit­zen­den und des Daten­schutz­be­auf­trag­ten in einem Betrieb in Per­so­nal­uni­on aus­ge­übt wer­den dür­fen oder ob dies zu einem Inter­es­sen­kon­flikt im Sin­ne von Art. 38 Abs. 6 Satz 2 DSGVO führt. Bestän­de nach dem Uni­ons­recht ein Inter­es­sen­kon­flikt, wirk­te sich dies auf die Beur­tei­lung aus, ob ein wich­ti­ger Grund für die Abbe­ru­fung des Arbeit­neh­mers vor­ge­le­gen hat.

Erläu­te­rung der ers­ten Vorlagefrage

Das Bun­des­ar­beits­ge­richt kann nicht dar­über befin­den, ob neben der Rege­lung in Art. 38 Abs. 3 Satz 2 DSGVO mit­glied­staat­li­che Nor­men wie § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG anwend­bar sind, die die Mög­lich­keit der Abbe­ru­fung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten gegen­über den uni­ons­recht­li­chen Rege­lun­gen einschränken.

Das natio­na­le Recht sieht im Ver­gleich zum Uni­ons­recht einen stär­ke­ren Schutz vor einer Abbe­ru­fung vor. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Daten­schutz­be­auf­trag­te von dem Ver­ant­wort­li­chen wegen der Erfül­lung sei­ner Auf­ga­ben nicht abbe­ru­fen oder benach­tei­ligt wer­den. Dem­ge­gen­über bestimmt § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG, dass ein ver­pflich­tend benann­ter Daten­schutz­be­auf­trag­ter nur aus wich­ti­gem Grund (vgl. § 626 BGB) abbe­ru­fen wer­den kann, auch wenn die Abbe­ru­fung – wie vor­lie­gend – nicht mit der Erfül­lung sei­ner Auf­ga­ben in einem Zusam­men­hang stehen.

Die DSGVO ist in allen ihren Tei­len ver­bind­lich und gilt unmit­tel­bar in jedem Mit­glied­staat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on bewir­ken gemäß dem Grund­satz des Vor­rangs des Uni­ons­rechts die Bestim­mun­gen des AEU-Ver­trags und die unmit­tel­bar gel­ten­den Rechts­ak­te der Orga­ne in ihrem Ver­hält­nis zum inner­staat­li­chen Recht der Mit­glied­staa­ten, dass allein durch ihr Inkraft­tre­ten jede ent­ge­gen­ste­hen­de Bestim­mung des natio­na­len Rechts ohne Wei­te­res unan­wend­bar wird2. Die DSGVO will – wie schon die durch sie auf­ge­ho­be­ne Richt­li­nie 95/​46/​EG vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr3 – durch Har­mo­ni­sie­rung der natio­na­len Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten den frei­en Ver­kehr die­ser Daten zwi­schen Mit­glied­staa­ten sicher­stel­len4. Wegen der von der Richt­li­nie 95/​46/​EG bewirk­ten Voll­har­mo­ni­sie­rung könn­ten nach der Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on auch ver­schär­fen­de natio­na­le Rege­lun­gen unzu­läs­sig sein5.

Weiterlesen:
Dashcam-Aufnahmen - und ihre Verwertbarkeit im Unfallhaftpflichtprozess

Im natio­na­len Schrift­tum wird unter­schied­lich beur­teilt, ob die DSGVO es den Mit­glied­staa­ten gestat­tet, die Abbe­ru­fung des Daten­schutz­be­auf­trag­ten an zusätz­li­che Vor­aus­set­zun­gen zu knüpfen.

Zum Teil wird die Auf­fas­sung ver­tre­ten, bei dem Abbe­ru­fungs­schutz in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG han­de­le es sich um mate­ri­ell-arbeits­recht­li­che Rege­lun­gen, weil bei inter­nen Daten­schutz­be­auf­trag­ten mit der Abbe­ru­fung regel­mä­ßig eine Ände­rung des Arbeits­ver­trags der­ge­stalt ein­her­ge­he, dass die Auf­ga­ben des Daten­schutz­be­auf­trag­ten nicht mehr zur geschul­de­ten Tätig­keit gehör­ten6. Für mate­ri­ell-arbeits­recht­li­che Rege­lun­gen bestehe gemäß Art. 153 AEUV kei­ne Gesetz­ge­bungs­kom­pe­tenz der Uni­on, wes­halb eine Kol­li­si­on mit Art. 38 Abs. 3 Satz 2 DSGVO aus­schei­de. Außer­dem kön­ne sich der natio­na­le Gesetz­ge­ber bei einer Lücken­fül­lung auf die arbeits­recht­li­che Öff­nungs­klau­sel des Art. 88 DSGVO stüt­zen7. Nach den Mate­ria­li­en zur Neu­fas­sung des BDSG ist auch der deut­sche Gesetz­ge­ber davon aus­ge­gan­gen, bei § 6 Abs. 4 BDSG han­de­le es sich um eine arbeits­recht­li­che Rege­lung, die ergän­zend zu den Vor­ga­ben der DSGVO ent­spre­chend der bis zum 24.05.2018 gel­ten­den natio­na­len Rechts­la­ge bei­be­hal­ten wer­den kön­ne8.

Die Gegen­an­sicht nimmt an, der nach natio­na­lem Recht erhöh­te Abbe­ru­fungs­schutz sei im Bereich der nicht-öffent­li­chen Stel­len uni­ons­rechts­wid­rig, jeden­falls soweit nach Art. 37 Abs. 1 DSGVO ver­pflich­tend zu benen­nen­de Daten­schutz­be­auf­trag­te betrof­fen sei­en9. Der Abbe­ru­fungs­schutz sei nicht arbeits­recht­li­cher Natur, son­dern daten­schutz­recht­lich moti­viert10.

Erläu­te­rung der zwei­ten Vorlagefrage

Für den Fall, dass die ers­te Vor­la­ge­fra­ge bejaht wird, möch­te das Bun­des­ar­beits­ge­richt wis­sen, ob das Uni­ons­recht, ins­be­son­de­re Art. 38 Abs. 3 Satz 2 DSGVO, dem wei­ter­ge­hen­den natio­na­len Abbe­ru­fungs­schutz auch dann ent­ge­gen­steht, wenn die Benen­nung des Daten­schutz­be­auf­trag­ten nicht nach Art. 37 Abs. 1 DSGVO ver­pflich­tend ist, son­dern nur nach dem Recht des Mitgliedstaats.

Das Uni­ons­recht könn­te dahin­ge­hend aus­zu­le­gen sein, dass ein etwai­ger Anwen­dungs­vor­rang des Art. 38 Abs. 3 Satz 2 DSGVO ledig­lich für nach Uni­ons­recht ver­pflich­tend benann­te Daten­schutz­be­auf­trag­te besteht, weil die Rege­lung nur inso­weit als abschlie­ßend zu betrach­ten sein könn­te. Da die Vor­aus­set­zun­gen, unter denen ein Daten­schutz­be­auf­trag­ter ver­pflich­tend zu benen­nen ist, in Art. 37 Abs. 1 DSGVO und in § 38 Abs. 1 BDSG unter­schied­lich gere­gelt sind, könn­te Abbe­ru­fungs­schutz des § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG für aus­schließ­lich nach dem natio­na­len Recht ver­pflich­tend benann­te Daten­schutz­be­auf­trag­te neben der Vor­schrift des Art. 38 Abs. 3 Satz 2 DSGVO anwend­bar blei­ben. Im Aus­gangs­ver­fah­ren hat die Vor­in­stanz bis­lang kei­ne Fest­stel­lun­gen dazu getrof­fen, ob der Arbeit­neh­mer nach § 38 Abs. 1 BDSG ver­pflich­tend als Daten­schutz­be­auf­trag­ter benannt wur­de oder ob eine sol­che Ver­pflich­tung auch nach Art. 37 Abs. 1 DSGVO bestand. Dies bedürf­te gege­be­nen­falls wei­te­rer Feststellungen.

Weiterlesen:
Werbegeschenke bedrucken - wie und warum?

Außer­dem bedarf es einer Klä­rung, wie in die­sem Zusam­men­hang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu ver­ste­hen ist. Der Wort­laut der Norm lie­ße die Aus­le­gung zu, dass ein nach dem Recht eines Mit­glied­staats ver­pflich­tend benann­ter Daten­schutz­be­auf­trag­ter auch iSd. DSGVO ver­pflich­tend benannt ist. Nach der uni­ons­recht­li­chen Rege­lung „müs­sen“ (eng­li­sche Sprach­fas­sung: „shall“) die Ver­ant­wort­li­chen einen Daten­schutz­be­auf­trag­ten benen­nen, falls ihnen dies nach dem Recht des Mit­glied­staats vor­ge­schrie­ben ist. Soll­te Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO so aus­zu­le­gen sein, wäre – sofern die ers­te Vor­la­ge­fra­ge bejaht wird – ein nach natio­na­lem Recht bestehen­der Abbe­ru­fungs­schutz unzu­läs­sig, selbst wenn die Benen­nung des Daten­schutz­be­auf­trag­ten nicht nach Art. 37 Abs. 1 DSGVO ver­pflich­tend ist, son­dern nur nach natio­na­lem Recht11.

Erläu­te­rung der drit­ten Vorlagefrage

Für den Fall der Beja­hung der ers­ten Vor­la­ge­fra­ge möch­te das Bun­des­ar­beits­ge­richt wis­sen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer aus­rei­chen­den Ermäch­ti­gungs­grund­la­ge beruht, ins­be­son­de­re soweit er Daten­schutz­be­auf­trag­te erfasst, die in einem Arbeits­ver­hält­nis zum Ver­ant­wort­li­chen ste­hen, oder ob sei­ner Wirk­sam­keit man­gels einer sol­chen Ermäch­ti­gungs­grund­la­ge Hin­de­rungs­grün­de entgegenstehen.

Für die Euro­päi­sche Uni­on gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grund­satz der begrenz­ten Ein­zel­er­mäch­ti­gung. Er wird kon­kre­ti­siert durch Art. 2 ff. AEUV. Die Uni­on wird danach nur inner­halb der Gren­zen der Zustän­dig­kei­ten tätig, die die Mit­glied­staa­ten ihr in den Ver­trä­gen zur Ver­wirk­li­chung der dar­in nie­der­ge­leg­ten Zie­le über­tra­gen haben.

Der Erlass der DSGVO wird ins­be­son­de­re auf Art. 16 AEUV gestützt12. Uni­ons­recht­li­che Rege­lun­gen über die Daten­ver­ar­bei­tung durch Pri­vat­per­so­nen könn­ten nach dem Ver­ständ­nis des Bun­des­ar­beits­ge­richts ledig­lich auf der Basis des Ter­mi­nus „frei­er Daten­ver­kehr“ in Art. 16 Abs. 2 Satz 1 letz­ter Halb­satz AEUV erge­hen. Aller­dings wird der Wort­laut von Art. 16 Abs. 2 Satz 1 AEUV im natio­na­len Schrift­tum teil­wei­se so ver­stan­den, dass sich die ver­trag­lich ein­ge­räum­te Rechts­set­zungs­be­fug­nis der Uni­on ledig­lich auf den Daten­schutz bei der Daten­ver­ar­bei­tung der Uni­ons­or­ga­ne, die Daten­ver­ar­bei­tung der öffent­li­chen Stel­len bei der Umset­zung des Uni­ons­rechts und auf die grenz­über­schrei­ten­de Daten­ver­ar­bei­tung beschränkt13. Die bis­he­ri­ge Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on zur Richt­li­nie 95/​46/​EG und Art. 100a EGV ist nicht von einem so engen Ver­ständ­nis aus­ge­gan­gen14.

Ande­rer­seits könn­te die Ermäch­ti­gungs­grund­la­ge zur Rechts­an­glei­chung im Bin­nen­markt gemäß Art. 114 Abs. 1 AEUV maß­geb­lich sein15. Einem Rück­griff auf Art. 114 Abs. 1 AEUV als Kom­pe­tenz­grund­la­ge könn­te aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO die Rege­lung in Art. 114 Abs. 2 AEUV ent­ge­gen­ste­hen, wonach Absatz 1 ua. nicht für Bestim­mun­gen über die Rech­te und Inter­es­sen der Arbeit­neh­mer gilt. Dies wäre dann kein Hin­der­nis, wenn die DSGVO kei­ne spe­zi­fi­sche Ziel­rich­tung in Bezug auf Arbeit­neh­mer­rech­te ent­hiel­te, son­dern nur die Rege­lung einer Quer­schnitts­ma­te­rie mit blo­ßen Refle­xen auch auf die Rechts­stel­lung von Beschäf­tig­ten16.

Wenn­gleich das Bun­des­ar­beits­ge­richt die im natio­na­len Schrift­tum geäu­ßer­ten und nach­fol­gend dar­ge­stell­ten Beden­ken in Bezug auf die Gül­tig­keit der DSGVO nicht teilt, bit­tet er den Gerichts­hof der Euro­päi­schen Uni­on, zur Klä­rung der uni­ons­recht­li­chen Rechts­la­ge und aus Grün­den der Rechts­klar­heit auf die­se einzugehen.

Weiterlesen:
Mehrabführungen im Organschaftskonzern

Teil­wei­se wird vom Schrift­tum ein Ver­stoß gegen das uni­ons­recht­li­che Sub­si­dia­ri­täts­prin­zip (Art. 5 Abs. 3 Unter­abs. 1 EUV) ange­nom­men17. In Über­ein­stim­mung mit die­ser Sicht­wei­se hat der Deut­sche Bun­des­rat mit Beschluss vom 30.03.201218 eine Sub­si­dia­ri­täts­rü­ge nach Art. 12 Buchst. b EUV iVm. Art. 6 des Pro­to­kolls über die Anwen­dung der Grund­sät­ze der Sub­si­dia­ri­tät und der Ver­hält­nis­mä­ßig­keit vom 13.12.200719 gegen den ursprüng­li­chen Vor­schlag der DSGVO erhoben.

Schließ­lich wird die DSGVO ver­ein­zelt im natio­na­len Schrift­tum wegen eines Ver­sto­ßes gegen das Ver­hält­nis­mä­ßig­keits­prin­zip des Art. 5 Abs. 4 Unter­abs. 1 EUV für unwirk­sam gehal­ten20.

Erläu­te­rung der vier­ten Vorlagefrage

Für den Fall der Ver­nei­nung der ers­ten Fra­ge möch­te das Bun­des­ar­beits­ge­richt wis­sen, ob ein Inter­es­sen­kon­flikt im Sin­ne von Art. 38 Abs. 6 Satz 2 DSGVO vor­liegt, wenn der Daten­schutz­be­auf­trag­te zugleich das Amt des Vor­sit­zen­den des in der ver­ant­wort­li­chen Stel­le gebil­de­ten Betriebs­rats inne­hat. Bestän­de nach dem Uni­ons­recht eine Inkom­pa­ti­bi­li­tät zwi­schen der Funk­ti­on des Daten­schutz­be­auf­trag­ten und dem Amt des Betriebs­rats­vor­sit­zen­den, läge zugleich ein zur Abbe­ru­fung des Daten­schutz­be­auf­trag­ten berech­ti­gen­der wich­ti­ger Grund im Sin­ne von § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG vor.

Nach Art. 37 Abs. 5 DSGVO wird der Daten­schutz­be­auf­trag­te auf­grund sei­ner beruf­li­chen Qua­li­fi­ka­ti­on und ins­be­son­de­re sei­nes Fach­wis­sens auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­pra­xis sowie sei­ner Fähig­keit, die Auf­ga­ben des Daten­schutz­be­auf­trag­ten zu erfül­len, benannt. Nach Art. 38 Abs. 6 DSGVO ist es grund­sätz­lich mög­lich, dass der Daten­schutz­be­auf­trag­te auch ande­re Auf­ga­ben über­neh­men kann. Dabei muss aller­dings zwin­gend sicher­ge­stellt wer­den, dass es nicht zu Inter­es­sen­kon­flik­ten kommt. Inter­es­sen­kon­flik­te sind ins­be­son­de­re dann anzu­neh­men, wenn der Daten­schutz­be­auf­trag­te sich selbst (im Rah­men sei­ner ander­wei­ti­gen Tätig­keit) kon­trol­lie­ren müss­te oder die Unab­hän­gig­keit des Daten­schutz­be­auf­trag­ten gefähr­det wäre21.

Die Fra­ge, ob das Amt des Daten­schutz­be­auf­tra­gen mit dem eines Betriebs­rats­mit­glieds bzw. ‑vor­sit­zen­den ver­ein­bar ist, ist im natio­na­len Recht umstritten.

Nach der Recht­spre­chung des Bun­des­ar­beits­ge­richts zum BDSG aF steht die blo­ße Mit­glied­schaft im Betriebs­rat einer (zusätz­li­chen) Bestel­lung zum Beauf­trag­ten für den Daten­schutz nicht entgegen.

Das Bun­des­ar­beits­ge­richt hat bis­her ange­nom­men, zwi­schen bei­den Ämtern bestehe kei­ne grund­sätz­li­che Inkom­pa­ti­bi­li­tät. Dass der betrieb­li­che Daten­schutz­be­auf­trag­te Kon­troll- und Über­wa­chungs­be­fug­nis­se gegen­über dem Arbeit­ge­ber habe, mache ein Betriebs­rats­mit­glied nicht gene­rell für die­sen Auf­ga­ben­be­reich unge­eig­net. Die Rechts­stel­lung des Arbeit­ge­bers wer­de nicht dadurch unzu­läs­sig beein­träch­tigt, dass er einem Daten­schutz­be­auf­trag­ten gegen­über­ste­he, der zugleich die Rech­te des Betriebs­rats aus dem BetrVG wahr­neh­me. Auch als Mit­glied des Betriebs­rats kön­ne ein Daten­schutz­be­auf­trag­ter die­se Rech­te ord­nungs­ge­mäß wahr­neh­men, eben­so wie er sie als Arbeit­neh­mer gegen­über sei­nem Arbeit­ge­ber wahr­zu­neh­men habe. Eine Inter­es­sen­kol­li­si­on zwi­schen bei­den Ämtern sei nicht ersicht­lich22.

Hiel­te das Bun­des­ar­beits­ge­richt an die­ser Auf­fas­sung fest, dürf­te sich die Beur­tei­lung nicht dadurch ändern, dass der Daten­schutz­be­auf­trag­te nicht nur ein „ein­fa­ches“ Betriebs­rats­mit­glied, son­dern Betriebs­rats­vor­sit­zen­der ist. Der Betriebs­rats­vor­sit­zen­de ist in ers­ter Linie – wie die ande­ren Gre­mi­ums­mit­glie­der – Betriebs­rats­mit­glied. In die­ser Funk­ti­on übt er weder als Bevoll­mäch­tig­ter noch als gesetz­li­cher Ver­tre­ter die gesetz­lich zuge­wie­se­nen Befug­nis­se, Pflich­ten und Zustän­dig­kei­ten des Betriebs­rats an des­sen Stel­le aus23. Die ihm durch § 26 Abs. 2 Satz 1 BetrVG ein­ge­räum­te Ver­tre­tungs­be­fug­nis besteht nur im Rah­men der vom Betriebs­rat gefass­ten Beschlüs­se. Der Betriebs­rats­vor­sit­zen­de ist somit nicht Ver­tre­ter im Wil­len, son­dern Ver­tre­ter in der Erklä­rung24. Auch die ihm – neben der Berech­ti­gung zur Ent­ge­gen­nah­me von dem Betriebs­rat gegen­über abzu­ge­ben­den Erklä­run­gen (§ 26 Abs. 2 Satz 2 BetrVG), zuge­wie­se­nen wei­te­ren Auf­ga­ben wei­sen kei­nen beson­de­ren Bezug zu daten­schutz­recht­li­chen Fra­ge­stel­lun­gen auf. Dies gilt auch, wenn in einem Betriebs­rat mit weni­ger als neun Mit­glie­dern nach § 27 Abs. 3 BetrVG die lau­fen­den Geschäf­te auf den Vor­sit­zen­den über­tra­gen wor­den sind. Hier­bei han­delt es sich regel­mä­ßig um inter­ne, ver­wal­tungs­mä­ßi­ge, orga­ni­sa­to­ri­sche und ggf. wie­der­keh­ren­de Auf­ga­ben des Betriebs­rats wie etwa die Erle­di­gung des Schrift­ver­kehrs, Ent­ge­gen­nah­me von Anträ­gen von Arbeit­neh­mern, die Ein­ho­lung von Aus­künf­ten, die Vor­be­rei­tung von Betriebs­rats­sit­zun­gen sowie von Betriebs, Teil- und Abtei­lungs­ver­samm­lun­gen25. Das Amt des Betriebs­rats­vor­sit­zen­den dürf­te danach über kein gegen­über „ein­fa­chen“ Betriebs­rats­mit­glie­dern erhöh­tes Poten­ti­al für einen Inter­es­sen­kon­flikt verfügen.

Weiterlesen:
GmbH & atypisch Still - und die Mitunternehmerinitiative des stillen Gesellschafters

Nach einer im Schrift­tum ver­tre­te­nen Gegen­mei­nung führt die Wahr­neh­mung bei­der Ämter in Per­so­nal­uni­on zu Interessenkonflikten.

Es bestehe die abs­trak­te Gefahr, dass das Betriebs­rats­mit­glied infol­ge sei­ner Dop­pel­stel­lung zu Kom­pro­mis­sen im Daten­schutz bereit sei, um ande­re Zie­le durch­zu­set­zen26, oder es sich zu sehr auf den Aspekt des Arbeit­neh­mer­da­ten­schut­zes kon­zen­trie­re und des­halb ande­re Tätig­kei­ten eines Daten­schutz­be­auf­trag­ten ver­nach­läs­si­ge27.

Zudem wird ange­führt, ein Inter­es­sen­kon­flikt kön­ne dar­aus resul­tie­ren, dass der Daten­schutz­be­auf­trag­te sei­ne Beauf­sich­ti­gungs- und Kon­troll­be­fug­nis­se auch gegen­über dem Betriebs­rat aus­zu­üben habe und damit zum „Rich­ter in eige­ner Sache“ wer­de28. Die­se Annah­me setzt jedoch vor­aus, dass der Betriebs­rat nicht selbst Ver­ant­wort­li­cher im Sin­ne von Art. 4 Nr. 7 DSGVO29, son­dern ledig­lich Teil der ver­ant­wort­li­chen Stel­le ist30 und dass dem dort bestell­ten Daten­schutz­be­auf­trag­ten Beauf­sich­ti­gungs- und Kon­troll­be­fug­nis­se gegen­über dem Betriebs­rat zukom­men31.

Stän­den dem Daten­schutz­be­auf­trag­ten Beauf­sich­ti­gungs- und Kon­troll­be­fug­nis­se gegen­über dem Betriebs­rat grund­sätz­lich zu, wäre unge­klärt, ob die­ser Umstand bereits per se zu einem der Dop­pel­funk­ti­on ent­ge­gen­ste­hen­den Inter­es­sen­kon­flikt führt. Das Bun­des­ar­beits­ge­richt geht davon aus, dass nicht jed­we­der Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men der sons­ti­gen Tätig­keit der Aus­übung des Amts als Daten­schutz­be­auf­trag­ter ent­ge­gen­steht, son­dern dass ein Inter­es­sen­kon­flikt eine gestei­ger­te Ver­ant­wort­lich­keit für Daten­ver­ar­bei­tungs­vor­gän­ge vor­aus­setzt32. Der Daten­schutz­be­auf­trag­te darf inner­halb einer Ein­rich­tung kei­ne Posi­ti­on inne­ha­ben, die die Fest­le­gung von Zwe­cken und Mit­teln der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Gegen­stand hat (Art.-29-Datenschutzgruppe WP 243 rev. 01 S.19). Das Bun­des­ar­beits­ge­richt bit­tet den Gerichts­hof der Euro­päi­schen Uni­on um Klä­rung, ob die­se Wer­tung auf die Betriebs­rats­tä­tig­keit über­trag­bar ist und danach nicht bereits das blo­ße Betriebs­rats­man­dat und die damit ver­bun­de­ne Befas­sung mit per­so­nen­be­zo­ge­nen Daten, deren Zweck das BetrVG bestimmt, aus­reicht, um einen der Bestel­lung als Daten­schutz­be­auf­trag­ter ent­ge­gen­ste­hen­den Inter­es­sen­kon­flikt anneh­men zu kön­nen, son­dern der betref­fen­den Per­son inner­halb des Betriebs­rats eine bestimm­te Funk­ti­on über­tra­gen wor­den sein muss. So könn­te es bspw. mit der Stel­lung und Funk­ti­on des Daten­schutz­be­auf­trag­ten erst dann nicht zu ver­ein­ba­ren sein, wenn der Daten­schutz­be­auf­trag­te als Betriebs­rats­mit­glied für die EDV des Betriebs­rats zustän­dig wäre und sich inso­weit selbst kon­trol­lie­ren müss­te33.

Bun­des­ar­beits­ge­richt, Beschluss vom 27. April 2021 – 1 ABR 21/​20

  1. ABl. L 119 vom 04.05.2016 S. 1[]
  2. EuGH 4.02.2016 – C‑336/​14, Rn. 52; 14.06.2012, – C‑606/​10, Rn. 73[]
  3. ABl. L 281 vom 23.11.1995 S. 31[]
  4. vgl. Erwä­gungs­grün­de 9 ff. DSGVO; EuGH 20.05.2003 – C‑465/​00 ua., Rn. 39[]
  5. EuGH 24.11.2011 – C‑468/​10 und – C‑469/​10, Rn. 29 ff.[]
  6. Jaspers/​Reif in Schwartemann/​Jaspers/​Thüsing/​Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn.19; Beck­OK DatenschutzR/​Moos Stand 1.11.2019 DS-GVO Art. 38 Rn. 18; vgl. BAG 23.03.2011 – 10 AZR 562/​09, Rn. 30; Greiner/​Senk NZA 2020, 201, 206[]
  7. vgl. Däub­ler in Däubler/​Wedde/​Weichert/​Sommer EU-DSGVO und BDSG 2. Aufl. § 6 BDSG Rn. 6; EuArbRK/​Franzen 3. Aufl. VO 2016/​679/​EU Art. 38 Rn. 1; Jaspers/​Reif RDV 2016, 61, 63[]
  8. vgl. BT-Drs. 18/​11325 S. 82[]
  9. vgl. Bergt/​Schnebbe in Kühling/​Buchner DS-GVO/BDSG 3. Aufl. § 6 BDSG Rn. 11; von dem Bus­sche in Plath DSGVO/​BDSG 3. Aufl. § 6 BDSG Rn. 2, 20[]
  10. Dre­wes in Simitis/​Hornung/​Spiecker Daten­schutz­recht Art. 37 DSGVO Rn. 58[]
  11. vgl. BAG 30.07.2020 – 2 AZR 225/​20 (A), Rn. 26[]
  12. vgl. Ein­gangs­for­mel und Erwä­gungs­grund 12 DSGVO[]
  13. vgl. Gie­sen CR 2012, 550, 554[]
  14. vgl. EuGH 20.05.2003 – C‑465/​00 ua., Rn. 39 ff.[]
  15. zu Richt­li­nie 95/​46/​EG und Art. 100a EGV EuGH 20.05.2003 – C‑465/​00 ua., Rn. 39 ff.[]
  16. vgl. EuArbRK/​Franzen 3. Aufl. AEUV Art. 16 Rn. 3[]
  17. aus­führ­li­che Dar­stel­lung bei Morasch Daten­ver­ar­bei­tung im Beschäf­ti­gungs­kon­text S. 38 ff.[]
  18. BR-Drs. 52/​12 [Beschluss][]
  19. ABl. C 306 vom 17.12.2007 S. 150[]
  20. vgl. Gie­sen NVwZ 2019, 1711, 1712[]
  21. vgl. BAG 5.12.2019 – 2 AZR 223/​19, Rn. 25, BAGE 169, 59; 23.03.2011 – 10 AZR 562/​09, Rn. 24; 22.03.1994 – 1 ABR 51/​93, zu B IV der Grün­de, BAGE 76, 184[]
  22. BAG 23.03.2011 – 10 AZR 562/​09, Rn. 25[]
  23. Fit­ting BetrVG 30. Aufl. § 26 Rn. 21 f.[]
  24. BAG 19.03.2003 – 7 ABR 15/​02, zu II 2 b der Grün­de, BAGE 105, 311[]
  25. BAG 15.08.2012 – 7 ABR 16/​11, Rn.19[]
  26. vgl. Simi­tis in Simi­tis BDSG 8. Aufl. § 4 f. Rn. 108; Wybitul/​v. Gier­ke BB 2017, 181, 183[]
  27. vgl. Höpp­ner juris­PR-ITR 7/​2012 Anm. 3[]
  28. vgl. Dre­wes in Simitis/​Hornung/​Spiecker Daten­schutz­recht Art. 38 DSGVO Rn. 55; HWK/​Lembke 9. Aufl. Art. 39 DSGVO Rn. 12[]
  29. so aber zB Masch­mann NZA 2020, 1207, 1209 ff.; Kurzböck/​Weinbeck BB 2018, 1652, 1655; Klei­ne­brink DB 2018, 2566 f.; Wybitul NZA 2017, 413 f.[]
  30. so zB Bonanni/​Niklas ArbRB 2018, 371 f.; Pöt­ters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; zur Daten­schutz­rechts­la­ge nach dem BDSG aF vgl. BAG 7.02.2012 – 1 ABR 46/​10, Rn. 43 mwN, BAGE 140, 350[]
  31. ableh­nend: BAG 11.11.1997 – 1 ABR 21/​97, zu B III 2 c und B III 2 c bb der Grün­de, BAGE 87, 64; Fit­ting BetrVG 30. Aufl. § 83 Rn. 27 unter Hin­weis auf die im BetrVG ange­ord­ne­te Unab­hän­gig­keit des Betriebs­rats und das Erfor­der­nis einer aus­drück­li­chen gesetz­li­chen Anord­nung; dafür Klei­ne­brink DB 2018, 2566, 2570 f.; Lücke NZA 2019, 658, 667[]
  32. vgl. Bergt in Kühling/​Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 40 ff.; Dre­wes in Simitis/​Hornung/​Spiecker Daten­schutz­recht Art. 38 DSGVO Rn. 55[]
  33. vgl. Bergt in Kühling/​Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 45; Greiner/​Senk NZA 2020, 201, 207; Jaspers/​Reif in Schwartemann/​Jaspers/​Thüsing/​Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn. 29[]

Bild­nach­weis:

Weiterlesen:
Bundesjuristenorchester - die ersten 10 Jahre