Hürden für die Abberufung: Nach LAG Chemnitz keine Inkompatibilität zwischen Ämtern des Betriebsratsvorsitzenden und Datenschutzbeauftragten.
Am 19. August 2019 entschied das Landesarbeitsgericht Chemnitz, dass keine Inkompatibilität zwischen dem Amt des Betriebsratsvorsitzenden und dem Amt des Datenschutzbeauftragten bestehe (9 Sa 268/18). Zudem sei der Datenschutzbeauftragte von der Beklagten nicht wirksam abberufen worden:
Der am 1. Dezember 2017 erfolgte und nach § 4f Abs. 3 S. 4 BDSG a.F. zu beurteilende Widerruf sei nicht auf Grund des Verlangens einer von mehreren zuständigen Aufsichtsbehörden gerechtfertigt. Zudem habe auch kein wichtiger Grund i.S.d. § 626 Abs. 1 BGB darin bestanden, ein konzerneinheitliches Datenschutzkonzept inklusive eines konzerneinheitlichen Datenschutzbeauftragten installieren zu wollen. Letzteres gelte auch – unter Geltung der DSGVO und des BDSG n.F. – für den am 25. Mai 2018 erneut erklärten Widerruf.
Das LAG bestätigt damit das vorausgehende Urteil des Arbeitsgerichts Dresden. Unter dem Az. 10 AZR 383/19 ist die Revision anhängig.
(Un-)Vereinbarkeit der Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten
Dass die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten miteinander vereinbar seien sollen, wie es das LAG Chemnitz darstellt, erscheint verfehlt. Zwar hat das LAG Chemnitz die Bestellung des Datenschutzbeauftragten noch nach § 4f Abs. 2 S. 1 BDSG a.F. beurteilt; eine wesentlich andere Auffassung ist allerdings auch unter dem neuen Recht nicht zu erwarten.
Das Gebot, in der Person des Datenschutzbeauftragten Interessenkonflikte zu vermeiden, hat in Art. 38 Abs. 6 DSGVO explizit Einklang gefunden. So kann der Datenschutzbeauftragte zwar nach Satz 1 auch andere Aufgaben und Pflichten als die des Datenschutzbeauftragten wahrnehmen. Der Verantwortliche hat hierbei aber nach Satz 2 sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Weiter heißt es in Erwägungsgrund 97 S. 3:
Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Diese Maßstäbe zugrunde gelegt, ist entgegen der Auffassung des LAG die Konzentration beider Ämter in einer Person äußerst kritisch zu betrachten (so bereits Simitis, in: Simitis, Bundesdatenschutzgesetz, 7. Auflage 2011, § 4f BDSG Rn. 109).
Zwischen dem Amt des Betriebsratsvorsitzenden und dem des Datenschutzbeauftragten besteht unserer Ansicht nach sogar typischerweise ein Interessenkonflikt. Denn während es einem Datenschutzbeauftragten obliegt, über die Einhaltung der datenschutzrechtlichen Vorschriften als neutrale Instanz zu wachen und auf diese Weise den gesetzlich intendierten Datenschutz zu gewährleisten, fungiert ein Betriebsratsvorsitzender als Interessenvertreter allein der Arbeitnehmerschaft. Die Interessen der Arbeitnehmerschaft am Schutz ihrer personenbezogenen Daten laufen dabei nicht nur den Interessen des Arbeitgebers an einer Verarbeitung ebendieser Daten möglicherweise entgegen, sie gehen bisweilen deutlich über das gesetzlich garantierte Mindestniveau hinaus. Ein Betriebsratsvorsitzender vertritt diese Interessen gegenüber dem Arbeitgeber und macht daraus nicht selten ein Politikum, ein Datenschutzbeauftragter wägt die gegenläufigen Interessen gegeneinander ab und bringt sie unabhängig in einen angemessenen Ausgleich.
Kann ein und dieselbe Person sowohl ihre eigenen, oftmals handfesten politischen Interessen gegenüber dem Arbeitgeber durchsetzen und zugleich auch dessen Interessen unabhängig berücksichtigen? Es ist schwer nachvollziehbar, wie das LAG Chemnitz zu dieser realitätsfernen Einschätzung kommen konnte.
Datenschutzbeauftragter muss auch Verarbeitungsvorgänge des Betriebsrats prüfen
Schließlich ist zu beachten, dass unter Geltung der DSGVO auch der Betriebsrat der Kontrolle durch den Datenschutzbeauftragten unterliegt, worin ein noch offensichtlicherer zusätzlicher Interessenkonflikt liegt (vgl. Bergt, in: Kühling/Buchner, 2. Aufl. 2018, DSGVO Art. 38 DSGVO Rn. 45). Personen, die im Unternehmen Funktionen wie beispielsweise Leiter der IT, Personalchef oder gar Geschäftsführer ausüben, dürfen das Amt des Datenschutzbeauftragten wegen des darin liegenden Interessenkonflikts nicht innehaben, da sie sich gewissermaßen selbst überwachen müssten. Dass für den Betriebsratsvorsitzenden andere Maßstäbe gelten sollen, dafür gibt es kein stichhaltiges Argument.
Das LAG mag sich zwar auf eine Entscheidung des BAG stützen (Urteil vom 23.03.2011 – 10 AZR 562/09), wonach keine generelle Unvereinbarkeit zwischen dem Amt eines Betriebsratsmitglieds und des Datenschutzbeauftragten bestehe. Auch dieses Urteil ist jedoch im Lichte der geänderten Gesetzeslage kritisch zu hinterfragen und dürfte in jedem Fall auf das betriebspolitisch hervorgehobene Amt des Betriebsratsvorsitzenden nicht zu übertragen sein.
“One-Stop-Shop” gilt auch im Inland
Eine weitere Rechtsfrage, mit der sich das LAG Chemnitz auseinandersetzen musste, bestand darin, inwiefern das „Verlangen“ der Abberufung des Datenschutzbeauftragten durch eine einzelne Aufsichtsbehörde für die Abberufung eines bundeslandübergreifend verantwortlichen Datenschutzbeauftragten im Rahmen des § 4f Abs. 3 S. 4 BDSG a.F. maßgeblich ist. Das LAG kommt in dieser Frage zu dem Ergebnis, dass dieses „Verlangen“ mangels Zuständigkeit der Aufsichtsbehörde keine Auswirkung auf dessen Stellung als Datenschutzbeauftragter hinsichtlich der in anderen Bundesländern ansässigen Konzernunternehmen hat.
Ob dieses konkrete Rechtsproblem an Aktualität verliert, ist derzeit unklar. Zwar ist eine dem § 4f Abs. 3 S. 4 BDSG a.F. entsprechende Regelung weder in der DSGVO, noch im BDSG n.F. vorhanden, allerdings gibt § 40 Abs. 6 S. 2 BDSG n.F. der zuständigen Aufsichtsbehörde sehr wohl die Kompetenz, die Abberufung des Datenschutzbeauftragten unter gewissen Umständen zu verlangen. Es fehlt lediglich ein hiermit korrespondierendes Abberufungsrecht des Verantwortlichen (vgl. § 6 Abs. 4 BDSG).
Nichtsdestotrotz wirft diese Konstellation die generelle Frage auf, wie die Zuständigkeitsverteilung bei bundeslandübergreifend tätigen Unternehmen oder Konzernen zu handhaben ist. Tatsächlich halten DSGVO und BDSG hierfür eine zu begrüßende Lösung bereit: Denn gemäß § 40 Abs. 2 S. 1 BDSG gilt in genau diesen Fällen Art. 4 Nr. 16 DSGVO entsprechend, sodass das „One-Stop-Shop-Prinzip“ auch im Inland anwendbar ist (Pauly, in: Paal/Pauly, BDSG, 2. Aufl. 2018, § 40 BDSG Rn. 7). Zuständig ist damit die Aufsichtsbehörde der Hauptniederlassung. Dies gilt im Übrigen gemäß Erwägungsgrund Nr. 36 S. 8 auch für Unternehmensgruppen (vgl. Polenz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 4 DSGVO Nr. 16 Rn. 1). Dort soll grundsätzlich die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten. Insofern ist auch in dieser Hinsicht das Urteil des LAG Chemnitz aus unserer Sicht unzutreffend.
Rechtliche Grundlage und Voraussetzung der Abberufung des Datenschutzbeauftragten
Zu guter Letzt hatte das LAG Chemnitz zu beurteilen, unter welchen Voraussetzungen die Abberufung eines Datenschutzbeauftragten überhaupt möglich ist. Während § 4f Abs. 3 S. 4 BDSG a.F. noch ausdrücklich auf § 626 BGB und damit auf die Kündigung aus wichtigem Grund verwies, schweigt sich die DSGVO hierzu aus. In Art. 38 Abs. 3 S. 2 DSGVO findet sich lediglich der Verweis, dass der Datenschutzbeauftragte nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf. Im BDSG n.F. wurde die Abberufung hingegen in Anlehnung an das bisherige Recht in § 6 Abs. 4 BDSG geregelt. Dass in den Art. 37 bis 39 DSGVO eine Öffnungsklausel nicht vorhanden ist, steht einer Anwendung dieser Norm – wie das LAG noch zutreffend feststellt – nicht entgegen.
Mithin bestimmt sich die Abberufung eines Datenschutzbeauftragten auch nach neuer Gesetzeslage danach, ob ein „wichtiger Grund“ im Sinne des § 626 Abs. 1 BGB vorliegt. Nach allgemeinen arbeitsrechtlichen Maßstäben liegt ein solcher nur vor, wenn ganz gravierende Umstände vorliegen, die es unter Berücksichtigung der widerstreitenden Interessen unzumutbar machen, das Arbeitsverhältnis bis zum Ablauf der Kündigungsfrist oder dessen vereinbartem Ende fortzusetzen.
Das Bestreben der Beklagten, durch Bestellung ein- und derselben Person als Datenschutzbeauftragten konzerneinheitliche Datenschutzstandards zu erreichen, stellt nach Ansicht des LAG jedoch keinen wichtigen Grund i. S. d. § 626 Abs. 1 BGB dar.
Diese Rechtsansicht überrascht und ist abzulehnen. Gerade wenn die Funktion des Datenschutzbeauftragten auf Unternehmensebene ersatzlos entfällt, weil sie auf Konzernebene angesiedelt werden soll, besteht keinerlei Erfordernis mehr, dessen Position auf Unternehmensebene zu erhalten. Durch Benennung eines konzerneinheitlichen Datenschutzbeauftragten wäre diese Funktion in dem einzelnen Unternehmen sinnentleert.
In einer solchen Fallkonstellation wäre somit eine entsprechende Anwendung der von der Rechtsprechung entwickelten Grundsätze zur außerordentlichen betriebsbedingten Kündigung zu prüfen gewesen (vgl. hierzu BAG, Urteil v. 20. Juni 2013 – 2 AZR 379/12). Der Rechtsgedanke des „sinnentleerten Arbeitsverhältnisses“ wäre auf den streitgegenständlichen Fall zu übertragen, sodass zu prüfen wäre, ob eine sinnentleerte Bestellung eines Datenschutzbeauftragten vorliegt, was man mit guten Gründen annehmen könnte. Es ist widersinnig, dass die DSGVO dem Verantwortlichen die konzerneinheitliche Bestellung eines Datenschutzbeauftragten ausdrücklich gestattet, auch und gerade im Interesse einer einheitlichen – und damit im Sinne der Betroffenen transparenteren und effektiveren – Datenschutzorganisation, diese unternehmerische Entscheidung dann aber durch den Arbeitgeber de facto nicht umgesetzt werden kann.
Praxishinweis: Datenschutzbeauftragte befristet bestellen
Insgesamt erscheint das Urteil des LAG Chemnitz auf ganzer Linie missglückt. Erfährt das LAG im Revisionsverfahren vor dem BAG in dieser Hinsicht keine Korrektur – aber im Grunde auch unabhängig davon -, bleibt Unternehmen in Zukunft nur zu empfehlen, Datenschutzbeauftragte vorsichtshalber ausschließlich befristet zu bestellen. So bliebe jedenfalls bei Ablauf der Befristung die Möglichkeit, die Strukturen zu verändern oder die Person des Datenschutzbeauftragten auszuwechseln. Dabei ist aber darauf zu achten, dass eine zu kurz bemessene Befristung die Unabhängigkeit des Datenschutzbeauftragten und damit seine persönliche Integrität gefährdet (vgl. Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 37 DSGVO Rn. 55).