Was war geschehen? Zum 1. Juni 2015 wurde der in Teilen von der Arbeit freigestellte Betriebsratsvorsitzende eines sächsischen Unternehmens zum Datenschutzbeauftragten dieses sowie weiterer Tochterunternehmen bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen das Unternehmen und die weiteren Konzernunternehmen die Bestellung am 1. Dezember 2017 wegen einer Inkompatibilität der Ämter mit sofortiger Wirkung.
Nach Inkrafttreten der DSGVO im Mai 2018 berief das Unternehmen den Datenschutzbeauftragten vorsorglich ein weiteres Mal ab. Hiergegen klagte der in Personalunion tätige Mann. Argumente: Die Abberufung sei unwirksam, seine Stellung als Datenschutzbeauftragter bestehe fort, eine Inkompatibilität der Ämter läge nicht vor. Außerdem sei von seiner Eignung als betrieblicher Datenschutzbeauftragter auszugehen. Das Unternehmen schloss sich der Argumentation des Landesdatenschutzbeauftragten an, wonach die Unvereinbarkeit beider Ämter einen wichtigen Grund zur Abberufung des Betriebsratsvorsitzenden als Datenschutzbeauftragten darstelle. Soweit in aller Kürze die Pro- und Contra-Argumente.
In den Vorinstanzen des höchsten deutschen Arbeitsgerichtes hatte stets der klagende Arbeitnehmer Recht bekommen. Aber: Die Revision des Arbeitgebers vor dem 9. Senat des Bundesarbeitsgerichts hatte dann Erfolg. Der Widerruf der Bestellung vom 1. Dezember 2017 war aus wichtigem Grund i. S. v. § 4f Abs. 3 Satz 4 BDSG aF i. V. m. § 626 Abs. 1 BGB gerechtfertigt. Das Gericht schreibt dazu: „Ein solcher liegt vor, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit i. S. v. § 4f Abs. 2 Satz 1 BDSG aF nicht (mehr) besitzt. Die Zuverlässigkeit kann in Frage stehen, wenn Interessenkonflikte drohen.“ Konkret: Bekleidet der Datenschutzbeauftragte eine Position, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat, liegt ein Interessenkonflikt vor.
Ergebnis: Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können danach typischerweise nicht durch dieselbe Person ausgeübt werden.
Eine weitere Kernaussage des Urteils ist, dass personenbezogene Daten dem Betriebsrat nur zu den Zwecken zur Verfügung gestellt werden dürfen, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Die Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten liegt in der Verantwortung des Betriebsrats. Da auch die heutige Version des Bundesdatenschutzgesetzes auf Fachkunde und Zuverlässigkeit abstellt, gilt das Urteil auch nach heutigen Maßstäben.
„Das Urteil sorgt für Klarheit. Es zeigt darüber hinaus allen Akteuren, dass die Stellung des Datenschutzbeauftragten besondere Merkmale aufweist, die es bei der personellen Auswahl zu berücksichtigen gilt. Nicht ohne Grund gehen viele Unternehmen den sicheren Weg über einen externen Datenschutzbeauftragten, der oftmals auch eine höhere Akzeptanz hat“, weist Dr. Jörn Voßbein auf eine konfliktärmere Lösung hin.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
