27.02.2023Fachbeitrag

Update Datenschutz Nr. 134

EuGH stärkt Position des Datenschutzbeauftragten

Am 9. Februar 2023 hat der Europäische Gerichtshof festgestellt, dass die deutschen Regelungen für die Abberufung von Datenschutzbeauftragten strenger sein dürfen, als es die DSGVO vorschreibt. Dadurch stärkt der EuGH den Datenschutzbeauftragten den Rücken. Worum es genau ging und welche Auswirkungen die Entscheidung für Unternehmen hat, klärt der folgende Beitrag.

Worum ging es?

Dem EuGH wurden mehrere Fragen durch das Bundesarbeitsgericht vorgelegt, welche die rechtmäßige Abberufung betrieblicher Datenschutzbeauftragter klären sollten. Insbesondere sollte geklärt werden, inwieweit Interessenskonflikte die Abberufung von Datenschutzbeauftragten rechtfertigen können.

In einem Fall (C-453/21) ging es um einen Datenschutzbeauftragten eines Halbleiterherstellers, der gleichzeitig auch Vorsitzender des Betriebsrats des Unternehmens war. Der Arbeitgeber sah beide Tätigkeiten als nicht miteinander vereinbar an und monierte aus diesem Grund einen Interessenkonflikt, der die Abberufung rechtfertigen sollte.

In dem anderen Fall (C-560/21) war ein öffentlicher Arbeitgeber der Ansicht, dass die Funktion des Datenschutzbeauftragten im Widerspruch zu den anderen beruflichen Aufgaben des Datenschutzbeauftragten stünde. Begründet hat der Arbeitgeber seine Entscheidung mit der Umsetzung der Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten. Der Arbeitnehmer war hingegen der Ansicht, dass kein wichtiger Grund vorläge, der eine solche Abberufung rechtfertigte.

Aufgaben eines Datenschutzbeauftragten

Datenschutzbeauftragte genießen nach den Regelungen der DSGVO besonderen Schutz. Sie haben eine gewisse Sonderstellung und sind frei von Weisungen des Arbeitgebers, selbst wenn der Datenschutzbeauftragte in einem Anstellungsverhältnis steht.

Diese Sonderstellung ist notwendig, weil die ernannten Personen für die Einhaltung des Datenschutzes als interne Kontrollinstanz beauftragt werden. Zu ihren Aufgaben gehören:

  • die Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten;
  • die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten, sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten;
  • die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;
  • die Zusammenarbeit mit den Aufsichtsbehörden;
  • die Tätigkeit als Anlaufstelle für die Aufsichtsbehörden.

Datenschutzbeauftragten können zudem weitere Aufgaben übertragen werden.

Das entschied der EuGH

Bei zusätzlich übertragenen Aufgaben können Interessenskonflikte entstehen. Gemäß Art. 38 Abs. 3 S.2 DSGVO darf ein Datenschutzbeauftragter nicht aus Gründen abberufen oder benachteiligt werden, die sich auf die Erfüllung seiner Aufgaben beziehen. Das BDSG ist hier strenger und erlaubt eine Abberufung erst, wenn ein wichtiger Grund vorliegt. Dabei verweist das Gesetz auf die Regelungen des BGB zur Kündigung von Arbeitsverhältnissen aus wichtigem Grunde.

Der EuGH entschied nun, dass ein „Interessenkonflikt“ bestehen könnte, wenn einem Datenschutzbeauftragten Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinen Auftragsverarbeitern festzulegen. Wann dies im Einzelnen der Fall sein soll hat der EuGH nicht festgelegt. Dies sollten die nationalen Gerichte entscheiden.

Festzuhalten ist jedoch, dass das Amt des Datenschutzbeauftragten mit dem des Betriebsratsvorsitzenden, aus Sicht des EuGHs, prinzipiell vereinbar ist.

Auswirkungen auf Unternehmen

Nachdem der EuGH die ihm vorgelegten Fragen beantwortet hat, liegen die Verfahren wieder beim Bundesarbeitsgericht. Bis zur Entscheidung müssen Unternehmen selbst einschätzen, ob ein Interessenskonflikt vorliegt oder nicht.

Herangezogen werden können bis dahin die vorinstanzlichen Entscheidungen der Arbeitsgerichte, die keinen Interessenkonflikt in der gleichzeitigen Tätigkeit als Datenschutzbeauftragter und Vorsitzender des Betriebsrats sehen.

So führte insbesondere im ersten Fall die erste Instanz (AG Dresden, Urteil vom 27.06.2018 – 10 Ca 234/18) aus, dass ein Interessenkonflikt nicht bestünde, weil der Datenschutzbeauftragte – der Betriebsratsmitglied oder Vorsitzender des Betriebsrats sein kann – dazu verpflichtet ist, auf die Einhaltung des Datenschutzes hinzuwirken und die Verschwiegenheit zu wahren. Die zweite Instanz (LAG Sachsen, Urteil vom 19.08.2019 – 9 Sa 268/18) stützte sich im Wesentlichen auf die Entscheidung der ersten Instanz und sieht ebenfalls keinen Interessenkonflikt, der einen wichtigen Grund rechtfertigen würde.

Zu beachten ist jedoch, dass bei der Ausübung mehrerer Ämter oder Aufgaben gegenteilige Ziele verfolgt werden könnten, sodass ein Interessenskonflikt zumindest nicht vollständig ausgeschlossen werden kann. Unternehmen sind aus diesem Grund geraten ausschließlich Datenschutzbeauftragte zu benennen, deren sonstige Ämter den Datenschutz nicht konterkarieren. Insbesondere Personen mit Leitungsfunktionen im Bereich Personal, IT oder interne Revision haben die deutschen Aufsichtsbehörden in der Vergangenheit als nicht als Datenschutzbeauftragter geeignet angesehen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.