EuGH: Vereinbarkeit von Datenschutzbeauftragterrolle und Betriebsratsvorsitz

9. Juni 2023

Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.

Der Fall

Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.

Die Vorlagefragen an den EuGH:

Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.

Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.

Entscheidung des EuGH

Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.

Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.

Fazit

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.