Ein angestellter Datenschutzbeauftragter kann nach dem deutschen BDSG „aus wichtigem Grund« abberufen werden. Ob die Voraussetzungen der Abberufung vorliegen, muss das Gericht in jedem Einzelfall prüfen. Allein dass der Betreffende zugleich Betriebsratsvorsitzender ist, schließt ihn als Datenschutzbeauftragten nicht aus – so der Europäische Gerichtshof.
Darum geht es
Der EuGH hat sich in zwei Verfahren mit der Frage befasst, unter welchen Voraussetzungen Arbeitgeber einen betrieblichen Datenschutzbeauftragten abberufen können.
In dem einen Fall (EuGH-Aktenzeichen C-453/21) begründet das Unternehmen die Abberufung damit, dass der Betreffende zugleich Betriebsratsvorsitzender sei und die beiden Ämter aufgrund möglicher Interessenkonflikte nicht miteinander vereinbar seien – der Arbeitgeber hatte den Betriebsratsvorsitzenden als Datenschutzbeauftragten abberufen, wogegen dieser klagte. (BAG 27.4.2021 – 9 AZR 383/19 (A)).
In dem anderen Fall (C-560/21) hat ein kommunaler Zweckverband einen Mitarbeiter als Datenschutzbeauftragten mit der Begründung abberufen, dass zwischen seiner Tätigkeit als Datenschutzbeauftragter und seiner sonstigen beruflichen Tätigkeit ein Interessenkonflikt bestehe. Der Betroffene macht geltend, dass es an einem wichtigen Grund fehle, der seine Abberufung rechtfertigen könne. § 6 Abs. 4 Bundesdatenschutzgesetz (BDSG) bestimmt, dass die Abberufung eines Datenschutzbeauftragten nur unter den Voraussetzungen von § 626 BGB (Fristlose Kündigung aus wichtigem Grund) gerechtfertigt ist (BAG 27.4.2021 – 9 AZR 621/19 (A)).
Auslegung der DSGVO angefragt
Beide Verfahren wurden dem EuGH vom deutschen Bundesarbeitsgericht vorgelegt. hat in zwei Fällen darüber zu entscheiden, ob der betriebliche Datenschutzbeauftragte rechtmäßig abberufen wurde. Das BAG hat den EuGH in beiden Fällen um Auslegung der Datenschutzgrundverordnung (DSGVO) ersucht.
Das BAG möchte insbesondere wissen, ob die DSGVO einer nationalen Regelung entgegensteht, die die Abberufung eines Datenschutzbeauftragten strengeren Voraussetzungen unterwerfe, als sie im Unionsrecht vorgesehen seien.
Die DSGVO verbietet die Abberufung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen. Nach dem deutschen Bundesdatenschutzgesetz hingegen ist die Abberufung des Datenschutzbeauftragten nur aus wichtigem Grund zulässig. (C-453/21).
Die Datenschutz-Grundverordnung (kurz: DSGVO) heißt vollständig: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“. Sie ist seit Mai 2018 auch in Deutschland unmittelbar geltendes Recht.
Das sagt der Europäische Gerichtshof
Mit seinen Urteilen vom 9. Februar 2023 antwortet der Gerichtshof dem Bundesarbeitsgericht wie folgt:
1. Vereinbarkeit mit dem BDSG
Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem EuGH dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Ein strengerer Schutz, so der EuGH, würde die Verwirklichung der Ziele der DSGVO beeinträchtigen, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.
Im Ergebnis bedeutet dies, dass der Datenschutzbeauftragte auch aus Gründen, die nicht mit der Erfüllung seiner Datenschutz-Aufgaben zu tun haben, nur „aus wichtigem Grund“ abberufen werden darf (§ 6 Abs. 4 BDSG i.V.m. § 626 BGB). Das BDSG ist insofern mit der DSGVO vereinbar.
2. Vereinbarkeit mit dem Betriebsratsamt
Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist nach dem EuGH dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen.
Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.
Im Ergebnis bedeutet dies, dass der EuGH jedenfalls das Amt des Betriebsratsvorsitzenden nicht als unvereinbar mit dem eines Datenschutzbeauftragten ansieht, denn ansonsten hätte der EuGH dies ausdrücklich ausgesprochen. Dass ein interner, also beim Arbeitgeber angestellter Datenschutzbeauftragter auch andere Aufgaben bzw. Ämter ausübt, gestattet Art. 38 Abs. 6 Satz 1 DSGVO ausdrücklich: »Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.«
© bund-verlag.de (ck)
Quelle
EuGH (09.02.2023)
Aktenzeichen C-453/21 und C-560/21
EuGH, Pressemitteilung vom 9.2.2023