Datenschutzbeauftragter - Abberufung - Unionsrecht
Leitsatz
Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung folgender Fragen ersucht:
1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?
Falls die erste Frage bejaht wird:
2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?
Falls die erste Frage bejaht wird:
3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?
Falls die erste Frage verneint wird:
4. Liegt ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?
Gesetze: Art 16 AEUV, Art 267 AEUV, Art 114 Abs 1 AEUV, Art 288 Abs 2 AEUV, Art 37 Abs 1 EUV 2016/679, Art 38 Abs 3 S 2 EUV 2016/679, Art 38 Abs 6 S 2 EUV 2016/679, Art 88 EUV 2016/679, § 6 Abs 4 S 1 BDSG 2018, § 38 Abs 2 BDSG 2018, § 26 Abs 2 BetrVG, § 27 Abs 3 BetrVG, § 626 BGB
Instanzenzug: ArbG Dresden Az: 10 Ca 234/18 Urteilvorgehend Sächsisches Landesarbeitsgericht Az: 9 Sa 268/18 Urteilnachgehend Az: C-453/21 Urteilnachgehend Az: 9 AZR 383/19 Urteil
Gründe
2Die Parteien streiten über die Abberufung des Klägers als Beauftragter für den Datenschutz.
3Der Kläger steht unter Anrechnung von Zeiten vormaliger Betriebszugehörigkeit seit dem in einem Arbeitsverhältnis zu der Beklagten. Er ist zur Wahrnehmung seiner Aufgaben als Vorsitzender des bei der Beklagten gebildeten Betriebsrats teilweise von der Arbeit freigestellt. Zudem übt er das Amt des stellvertretenden Vorsitzenden des „Gesamtbetriebsrats“, der für drei in Deutschland ansässige Konzernunternehmen gebildet wurde.
4Mit Wirkung zum wurde der Kläger von der Beklagten und ihrer Muttergesellschaft sowie von deren weiteren in Deutschland ansässigen Tochtergesellschaften jeweils gesondert zum Datenschutzbeauftragten bestellt. Mit der parallelen Bestellung des Klägers zum Datenschutzbeauftragten aller in Deutschland ansässigen Konzernunternehmen wurde das Ziel verfolgt, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
5Auf Veranlassung des für die Muttergesellschaft der Beklagten zuständigen Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagten und die drei weiteren in Deutschland ansässigen Konzernunternehmen jeweils mit getrennten Schreiben vom die Bestellung des Klägers zum Datenschutzbeauftragten mit sofortiger Wirkung. Nach Inkrafttreten der Verordnung (EU) 2016/679 vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom S. 1) beriefen die Beklagte und die drei weiteren Konzernunternehmen mit getrennten Schreiben vom den Kläger vorsorglich auch gemäß Art. 38 Abs. 3 Satz 2 DSGVO unter Hinweis auf betriebsbedingte Gründe als Datenschutzbeauftragten ab.
6Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, so dass ein wichtiger Grund zur Abberufung des Klägers gegeben sei.
7Die Vorinstanzen haben der Klage stattgegeben. Mit ihrer Revision begehrt die Beklagte die Klageabweisung.
9I. Bundesdatenschutzgesetz in der vom bis geltenden Fassung (BGBl. 2017 I S. 2097):
10In § 38 Abs. 1 Satz 1 BDSG in der seit geltenden Fassung ist die Beschäftigtenzahl von „zehn“ auf „20“ erhöht worden.
11II. Bürgerliches Gesetzbuch (BGB) in der Fassung der Bekanntmachung vom (BGBl. I S. 42, berichtigt S. 2909 und BGBl. 2003 I S. 738):
12III. Betriebsverfassungsgesetz (BetrVG) in der seit dem geltenden Fassung (BGBl. I S. 2518):
14Verordnung (EU) 2016/679 vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom S. 1):
17Der Erfolg der von der Beklagten eingelegten Revision hängt von der Auslegung des Unionsrechts ab. Nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB und damit aus wichtigem Grund zulässig. Die Bestimmungen des BDSG knüpfen damit die Abberufung des Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, das in Art. 38 Abs. 3 Satz 2 DSGVO vorsieht, dass der Datenschutzbeauftragte von den Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
18Nach nationalem Recht wäre die Abberufung des Klägers vom gemäß § 4f BDSG in der bis zum gültigen Fassung unzulässig, weil für sie kein wichtiger Grund vorgelegen hat. Ob die Abberufung vom wegen Verstoßes gegen § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG unwirksam ist, hängt zunächst davon ab, ob nach Unionsrecht, und insbesondere nach Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig ist, durch die eine Abberufung des Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist. Hierüber kann der Senat nicht ohne Anrufung des Gerichtshofs der Europäischen Union nach Art. 267 AEUV befinden. Müssten § 38 Abs. 2 iVm. § 6 Abs. 4 BDSG wegen des Anwendungsvorrangs von Unionsrecht unangewendet bleiben, wäre die Revision der Beklagten erfolgreich. Auf einen weiteren die Unzulässigkeit seiner Abberufung bedingenden Grund hat sich der Kläger nicht berufen. Sollte der Gerichtshof der Europäischen Union die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält es der Senat zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt. Bestände nach dem Unionsrecht ein Interessenkonflikt, wirkte sich dies auf die Beurteilung aus, ob ein wichtiger Grund für die Abberufung des Klägers vorgelegen hat.
20Der Senat kann nicht darüber befinden, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen wie § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG anwendbar sind, die die Möglichkeit der Abberufung eines betrieblichen Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.
211. Das nationale Recht sieht im Vergleich zum Unionsrecht einen stärkeren Schutz vor einer Abberufung vor. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Demgegenüber bestimmt § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG, dass ein verpflichtend benannter Datenschutzbeauftragter nur aus wichtigem Grund (vgl. § 626 BGB) abberufen werden kann, auch wenn die Abberufung - wie vorliegend - nicht mit der Erfüllung seiner Aufgaben in einem Zusammenhang stehen.
222. Die DSGVO ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Rechtsprechung des Gerichtshofs der Europäischen Union bewirken gemäß dem Grundsatz des Vorrangs des Unionsrechts die Bestimmungen des AEU-Vertrags und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird ( - Rn. 52; , - C-606/10 - Rn. 73). Die DSGVO will - wie schon die durch sie aufgehobene Richtlinie 95/46/EG vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom S. 31) - durch Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen (vgl. Erwägungsgründe 9 ff. DSGVO; ua. - Rn. 39). Wegen der von der Richtlinie 95/46/EG bewirkten Vollharmonisierung könnten nach der Rechtsprechung des Gerichtshofs der Europäischen Union auch verschärfende nationale Regelungen unzulässig sein ( und C-469/10 - Rn. 29 ff.).
233. Im nationalen Schrifttum wird unterschiedlich beurteilt, ob die DSGVO es den Mitgliedstaaten gestattet, die Abberufung des Datenschutzbeauftragten an zusätzliche Voraussetzungen zu knüpfen.
24a) Zum Teil wird die Auffassung vertreten, bei dem Abberufungsschutz in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG handele es sich um materiell-arbeitsrechtliche Regelungen, weil bei internen Datenschutzbeauftragten mit der Abberufung regelmäßig eine Änderung des Arbeitsvertrags dergestalt einhergehe, dass die Aufgaben des Datenschutzbeauftragten nicht mehr zur geschuldeten Tätigkeit gehörten (Jaspers/Reif in Schwartemann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn. 19; BeckOK DatenschutzR/Moos Stand DS-GVO Art. 38 Rn. 18; vgl. - Rn. 30; Greiner/Senk NZA 2020, 201, 206). Für materiell-arbeitsrechtliche Regelungen bestehe gemäß Art. 153 AEUV keine Gesetzgebungskompetenz der Union, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Außerdem könne sich der nationale Gesetzgeber bei einer Lückenfüllung auf die arbeitsrechtliche Öffnungsklausel des Art. 88 DSGVO stützen (vgl. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. § 6 BDSG Rn. 6; EuArbRK/Franzen 3. Aufl. VO 2016/679/EU Art. 38 Rn. 1; Jaspers/Reif RDV 2016, 61, 63). Nach den Materialien zur Neufassung des BDSG ist auch der deutsche Gesetzgeber davon ausgegangen, bei § 6 Abs. 4 BDSG handele es sich um eine arbeitsrechtliche Regelung, die ergänzend zu den Vorgaben der DSGVO entsprechend der bis zum geltenden nationalen Rechtslage beibehalten werden könne (vgl. BT-Drs. 18/11325 S. 82).
25b) Die Gegenansicht nimmt an, der nach nationalem Recht erhöhte Abberufungsschutz sei im Bereich der nicht-öffentlichen Stellen unionsrechtswidrig, jedenfalls soweit nach Art. 37 Abs. 1 DSGVO verpflichtend zu benennende Datenschutzbeauftragte betroffen seien (vgl. Bergt/Schnebbe in Kühling/Buchner DS-GVO/BDSG 3. Aufl. § 6 BDSG Rn. 11; von dem Bussche in Plath DSGVO/BDSG 3. Aufl. § 6 BDSG Rn. 2, 20). Der Abberufungsschutz sei nicht arbeitsrechtlicher Natur, sondern datenschutzrechtlich motiviert (Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 37 DSGVO Rn. 58).
27Für den Fall, dass die erste Vorlagefrage bejaht wird, möchte der Senat wissen, ob das Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, dem weitergehenden nationalen Abberufungsschutz auch dann entgegensteht, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats.
281. Das Unionsrecht könnte dahingehend auszulegen sein, dass ein etwaiger Anwendungsvorrang des Art. 38 Abs. 3 Satz 2 DSGVO lediglich für nach Unionsrecht verpflichtend benannte Datenschutzbeauftragte besteht, weil die Regelung nur insoweit als abschließend zu betrachten sein könnte. Da die Voraussetzungen, unter denen ein Datenschutzbeauftragter verpflichtend zu benennen ist, in Art. 37 Abs. 1 DSGVO und in § 38 Abs. 1 BDSG unterschiedlich geregelt sind, könnte Abberufungsschutz des § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG für ausschließlich nach dem nationalen Recht verpflichtend benannte Datenschutzbeauftragte neben der Vorschrift des Art. 38 Abs. 3 Satz 2 DSGVO anwendbar bleiben. Im Ausgangsverfahren hat die Vorinstanz bislang keine Feststellungen dazu getroffen, ob der Kläger nach § 38 Abs. 1 BDSG verpflichtend als Datenschutzbeauftragter benannt wurde oder ob eine solche Verpflichtung auch nach Art. 37 Abs. 1 DSGVO bestand. Dies bedürfte gegebenenfalls weiterer Feststellungen.
292. Außerdem bedarf es einer Klärung, wie in diesem Zusammenhang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu verstehen ist. Der Wortlaut der Norm ließe die Auslegung zu, dass ein nach dem Recht eines Mitgliedstaats verpflichtend benannter Datenschutzbeauftragter auch iSd. DSGVO verpflichtend benannt ist. Nach der unionsrechtlichen Regelung „müssen“ (englische Sprachfassung: „shall“) die Verantwortlichen einen Datenschutzbeauftragten benennen, falls ihnen dies nach dem Recht des Mitgliedstaats vorgeschrieben ist. Sollte Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO so auszulegen sein, wäre - sofern die erste Vorlagefrage bejaht wird - ein nach nationalem Recht bestehender Abberufungsschutz unzulässig, selbst wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach nationalem Recht (vgl. (A) - Rn. 26).
31Für den Fall der Bejahung der ersten Vorlagefrage möchte der Senat wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruht, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen, oder ob seiner Wirksamkeit mangels einer solchen Ermächtigungsgrundlage Hinderungsgründe entgegenstehen.
321. Für die Europäische Union gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grundsatz der begrenzten Einzelermächtigung. Er wird konkretisiert durch Art. 2 ff. AEUV. Die Union wird danach nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben.
33a) Der Erlass der DSGVO wird insbesondere auf Art. 16 AEUV gestützt (vgl. Eingangsformel und Erwägungsgrund 12 DSGVO). Unionsrechtliche Regelungen über die Datenverarbeitung durch Privatpersonen könnten nach dem Verständnis des Senats lediglich auf der Basis des Terminus „freier Datenverkehr“ in Art. 16 Abs. 2 Satz 1 letzter Halbsatz AEUV ergehen. Allerdings wird der Wortlaut von Art. 16 Abs. 2 Satz 1 AEUV im nationalen Schrifttum teilweise so verstanden, dass sich die vertraglich eingeräumte Rechtssetzungsbefugnis der Union lediglich auf den Datenschutz bei der Datenverarbeitung der Unionsorgane, die Datenverarbeitung der öffentlichen Stellen bei der Umsetzung des Unionsrechts und auf die grenzüberschreitende Datenverarbeitung beschränkt (vgl. Giesen CR 2012, 550, 554). Die bisherige Rechtsprechung des Gerichtshofs der Europäischen Union zur Richtlinie 95/46/EG und Art. 100a EGV ist nicht von einem so engen Verständnis ausgegangen (vgl. ua. - Rn. 39 ff.).
34b) Andererseits könnte die Ermächtigungsgrundlage zur Rechtsangleichung im Binnenmarkt gemäß Art. 114 Abs. 1 AEUV maßgeblich sein (zu Richtlinie 95/46/EG und Art. 100a EGV ua. - Rn. 39 ff.). Einem Rückgriff auf Art. 114 Abs. 1 AEUV als Kompetenzgrundlage könnte aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO die Regelung in Art. 114 Abs. 2 AEUV entgegenstehen, wonach Absatz 1 ua. nicht für Bestimmungen über die Rechte und Interessen der Arbeitnehmer gilt. Dies wäre dann kein Hindernis, wenn die DSGVO keine spezifische Zielrichtung in Bezug auf Arbeitnehmerrechte enthielte, sondern nur die Regelung einer Querschnittsmaterie mit bloßen Reflexen auch auf die Rechtsstellung von Beschäftigten (vgl. EuArbRK/Franzen 3. Aufl. AEUV Art. 16 Rn. 3).
352. Wenngleich der Senat die im nationalen Schrifttum geäußerten und nachfolgend dargestellten Bedenken in Bezug auf die Gültigkeit der DSGVO nicht teilt, bittet er den Gerichtshof der Europäischen Union, zur Klärung der unionsrechtlichen Rechtslage und aus Gründen der Rechtsklarheit auf diese einzugehen.
36a) Teilweise wird vom Schrifttum ein Verstoß gegen das unionsrechtliche Subsidiaritätsprinzip (Art. 5 Abs. 3 Unterabs. 1 EUV) angenommen (ausführliche Darstellung bei Morasch Datenverarbeitung im Beschäftigungskontext S. 38 ff.). In Übereinstimmung mit dieser Sichtweise hat der Deutsche Bundesrat mit Beschluss vom (BR-Drs. 52/12 [Beschluss]) eine Subsidiaritätsrüge nach Art. 12 Buchst. b EUV iVm. Art. 6 des Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vom (ABl. C 306 vom S. 150) gegen den ursprünglichen Vorschlag der DSGVO erhoben.
37b) Schließlich wird die DSGVO vereinzelt im nationalen Schrifttum wegen eines Verstoßes gegen das Verhältnismäßigkeitsprinzip des Art. 5 Abs. 4 Unterabs. 1 EUV für unwirksam gehalten (vgl. Giesen NVwZ 2019, 1711, 1712).
39Für den Fall der Verneinung der ersten Frage möchte der Senat wissen, ob ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorliegt, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat. Bestände nach dem Unionsrecht eine Inkompatibilität zwischen der Funktion des Datenschutzbeauftragten und dem Amt des Betriebsratsvorsitzenden, läge zugleich ein zur Abberufung des Datenschutzbeauftragten berechtigender wichtiger Grund iSv. § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG vor.
401. Nach Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben des Datenschutzbeauftragten zu erfüllen, benannt. Nach Art. 38 Abs. 6 DSGVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernehmen kann. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind insbesondere dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren müsste oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre (vgl. - Rn. 25, BAGE 169, 59; - 10 AZR 562/09 - Rn. 24; - 1 ABR 51/93 - zu B IV der Gründe, BAGE 76, 184).
412. Die Frage, ob das Amt des Datenschutzbeauftragen mit dem eines Betriebsratsmitglieds bzw. -vorsitzenden vereinbar ist, ist im nationalen Recht umstritten.
42a) Nach der Rechtsprechung des Bundesarbeitsgerichts zum BDSG aF steht die bloße Mitgliedschaft im Betriebsrat einer (zusätzlichen) Bestellung zum Beauftragten für den Datenschutz nicht entgegen.
43aa) Das Bundesarbeitsgericht hat bisher angenommen, zwischen beiden Ämtern bestehe keine grundsätzliche Inkompatibilität. Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber habe, mache ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers werde nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenüberstehe, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnehme. Auch als Mitglied des Betriebsrats könne ein Datenschutzbeauftragter diese Rechte ordnungsgemäß wahrnehmen, ebenso wie er sie als Arbeitnehmer gegenüber seinem Arbeitgeber wahrzunehmen habe. Eine Interessenkollision zwischen beiden Ämtern sei nicht ersichtlich ( - Rn. 25).
44bb) Hielte der Senat an dieser Auffassung fest, dürfte sich die Beurteilung nicht dadurch ändern, dass der Datenschutzbeauftragte nicht nur ein „einfaches“ Betriebsratsmitglied, sondern Betriebsratsvorsitzender ist. Der Betriebsratsvorsitzende ist in erster Linie - wie die anderen Gremiumsmitglieder - Betriebsratsmitglied. In dieser Funktion übt er weder als Bevollmächtigter noch als gesetzlicher Vertreter die gesetzlich zugewiesenen Befugnisse, Pflichten und Zuständigkeiten des Betriebsrats an dessen Stelle aus (Fitting BetrVG 30. Aufl. § 26 Rn. 21 f.). Die ihm durch § 26 Abs. 2 Satz 1 BetrVG eingeräumte Vertretungsbefugnis besteht nur im Rahmen der vom Betriebsrat gefassten Beschlüsse. Der Betriebsratsvorsitzende ist somit nicht Vertreter im Willen, sondern Vertreter in der Erklärung ( - zu II 2 b der Gründe, BAGE 105, 311). Auch die ihm - neben der Berechtigung zur Entgegennahme von dem Betriebsrat gegenüber abzugebenden Erklärungen (§ 26 Abs. 2 Satz 2 BetrVG) - zugewiesenen weiteren Aufgaben weisen keinen besonderen Bezug zu datenschutzrechtlichen Fragestellungen auf. Dies gilt auch, wenn in einem Betriebsrat mit weniger als neun Mitgliedern nach § 27 Abs. 3 BetrVG die laufenden Geschäfte auf den Vorsitzenden übertragen worden sind. Hierbei handelt es sich regelmäßig um interne, verwaltungsmäßige, organisatorische und ggf. wiederkehrende Aufgaben des Betriebsrats wie etwa die Erledigung des Schriftverkehrs, Entgegennahme von Anträgen von Arbeitnehmern, die Einholung von Auskünften, die Vorbereitung von Betriebsratssitzungen sowie von Betriebs-, Teil- und Abteilungsversammlungen ( - Rn. 19). Das Amt des Betriebsratsvorsitzenden dürfte danach über kein gegenüber „einfachen“ Betriebsratsmitgliedern erhöhtes Potential für einen Interessenkonflikt verfügen.
45b) Nach einer im Schrifttum vertretenen Gegenmeinung führt die Wahrnehmung beider Ämter in Personalunion zu Interessenkonflikten.
46aa) Es bestehe die abstrakte Gefahr, dass das Betriebsratsmitglied infolge seiner Doppelstellung zu Kompromissen im Datenschutz bereit sei, um andere Ziele durchzusetzen (vgl. Simitis in Simitis BDSG 8. Aufl. § 4 f. Rn. 108; Wybitul/v. Gierke BB 2017, 181, 183), oder es sich zu sehr auf den Aspekt des Arbeitnehmerdatenschutzes konzentriere und deshalb andere Tätigkeiten eines Datenschutzbeauftragten vernachlässige (vgl. Höppner jurisPR-ITR 7/2012 Anm. 3).
47bb) Zudem wird angeführt, ein Interessenkonflikt könne daraus resultieren, dass der Datenschutzbeauftragte seine Beaufsichtigungs- und Kontrollbefugnisse auch gegenüber dem Betriebsrat auszuüben habe und damit zum „Richter in eigener Sache“ werde (vgl. Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 38 DSGVO Rn. 55; HWK/Lembke 9. Aufl. Art. 39 DSGVO Rn. 12). Diese Annahme setzt jedoch voraus, dass der Betriebsrat nicht selbst Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO (so aber zB Maschmann NZA 2020, 1207, 1209 ff.; Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566 f.; Wybitul NZA 2017, 413 f.), sondern lediglich Teil der verantwortlichen Stelle ist (so zB Bonanni/Niklas ArbRB 2018, 371 f.; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; zur Datenschutzrechtslage nach dem BDSG aF vgl. - Rn. 43 mwN, BAGE 140, 350) und dass dem dort bestellten Datenschutzbeauftragten Beaufsichtigungs- und Kontrollbefugnisse gegenüber dem Betriebsrat zukommen (ablehnend: - zu B III 2 c und B III 2 c bb der Gründe, BAGE 87, 64; Fitting BetrVG 30. Aufl. § 83 Rn. 27 unter Hinweis auf die im BetrVG angeordnete Unabhängigkeit des Betriebsrats und das Erfordernis einer ausdrücklichen gesetzlichen Anordnung; dafür Kleinebrink DB 2018, 2566, 2570 f.; Lücke NZA 2019, 658, 667).
48cc) Ständen dem Datenschutzbeauftragten Beaufsichtigungs- und Kontrollbefugnisse gegenüber dem Betriebsrat grundsätzlich zu, wäre ungeklärt, ob dieser Umstand bereits per se zu einem der Doppelfunktion entgegenstehenden Interessenkonflikt führt. Der Senat geht davon aus, dass nicht jedweder Umgang mit personenbezogenen Daten im Rahmen der sonstigen Tätigkeit der Ausübung des Amts als Datenschutzbeauftragter entgegensteht, sondern dass ein Interessenkonflikt eine gesteigerte Verantwortlichkeit für Datenverarbeitungsvorgänge voraussetzt (vgl. Bergt in Kühling/Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 40 ff.; Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 38 DSGVO Rn. 55). Der Datenschutzbeauftragte darf innerhalb einer Einrichtung keine Position innehaben, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (Art.-29-Datenschutzgruppe WP 243 rev. 01 S. 19). Der Senat bittet den Gerichtshof der Europäischen Union um Klärung, ob diese Wertung auf die Betriebsratstätigkeit übertragbar ist und danach nicht bereits das bloße Betriebsratsmandat und die damit verbundene Befassung mit personenbezogenen Daten, deren Zweck das BetrVG bestimmt, ausreicht, um einen der Bestellung als Datenschutzbeauftragter entgegenstehenden Interessenkonflikt annehmen zu können, sondern der betreffenden Person innerhalb des Betriebsrats eine bestimmte Funktion übertragen worden sein muss. So könnte es bspw. mit der Stellung und Funktion des Datenschutzbeauftragten erst dann nicht zu vereinbaren sein, wenn der Datenschutzbeauftragte als Betriebsratsmitglied für die EDV des Betriebsrats zuständig wäre und sich insoweit selbst kontrollieren müsste (vgl. Bergt in Kühling/Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 45; Greiner/Senk NZA 2020, 201, 207; Jaspers/Reif in Schwartemann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn. 29).
49E. Das Revisionsverfahren ist in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen auszusetzen.
ECLI Nummer:
ECLI:DE:BAG:2021:270421.B.9AZR383.19A.0
Fundstelle(n):
BB 2021 S. 1139 Nr. 19
BB 2021 S. 1843 Nr. 31
DB 2021 S. 16 Nr. 18
DStR 2021 S. 14 Nr. 18
ZIP 2021 S. 1880 Nr. 36
ZIP 2021 S. 40 Nr. 20
JAAAH-83936