Das Bundesarbeitsgericht (BAG) bittet den Europäischen Gerichtshof (EuGH) per Beschluss vom 27. April 2021 (9 AZR 383/19 (A)) um Klärung zweier Fragen zum Komplex des betrieblichen Datenschutzbeauftragten. Zentral ist dabei die Frage, in welchem Verhältnis das deutsche Bundesdatenschutzgesetz (BDSG) zur europäischen Datenschutz-Grundverordnung (DSGVO) steht, wenn es um die Abberufung eines Datenschutzbeauftragten von seinem Posten geht. Das Verfahren zeigt exemplarisch, wie eng Arbeits- und Datenschutzrecht miteinander verwoben sind und wie wichtig es ist, vor der Besetzung der Position des Datenschutzbeauftragten die verschiedenen Gestaltungsmöglichkeiten und deren Auswirkungen in den Blick zu nehmen.

Gegenstand des Verfahrens vor dem BAG

Der Kläger ist Vorsitzender des Betriebsrats bei der Beklagten. Parallel war er als Datenschutzbeauftragter der Beklagten tätig. Vom Amt des Datenschutzbeauftragten rief die Beklagte den Kläger ab. Die Abberufung erfolgte erstmals im Dezember 2017 und somit vor Inkrafttreten der DSGVO und des überarbeiteten BDSG. Diesen Vorgang wiederholte die Beklagte am 25. Mai 2018 – zeitgleich mit Inkrafttreten der DSGVO und des BDSG. Nach Ansicht der Beklagten sei die Tätigkeit als Betriebsratsvorsitzender nicht mit dem Amt des Datenschutzbeauftragten vereinbar, sodass ein wichtiger Grund zur Abberufung des Klägers gegeben sei. Im arbeitsgerichtlichen Verfahren macht der Kläger geltend, dass seine Stellung als Datenschutzbeauftragter unverändert fortbestehe.

Nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG ist die Abberufung eines Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuches (BGB) zulässig und bedarf folglich eines wichtigen Grunds. In der Vorinstanz entschied das Landesarbeitsgericht Sachsen (9 Sa 268/18), dass ein wichtiger Grund für die Abberufung des Klägers nicht vorliege. Auch das BAG deutet nun an, dass es einen wichtigen Abberufungsgrund nicht sehe.

Eine Besonderheit der Abberufung eines Datenschutzbeauftragten von seinem Posten ist, dass das BDSG strengere Voraussetzungen als die DSGVO aufstellt. Nach Art. 38 Abs. 3 S. 2 DSGVO darf eine Abberufung nur dann nicht erfolgen, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Das BAG stellt dem EuGH nun die Frage, ob diese strengeren Anforderungen im BDSG mit dem Unionsrecht vereinbar sind.

Auswirkungen der Bestellung eines internen Datenschutzbeauftragten

Unabhängig von der Entscheidung des EuGH zeigt sich, welche Auswirkungen die Bestellung eines internen Datenschutzbeauftragten, also eines Mitarbeiters des eigenen Unternehmens, haben kann. Wie für die Abberufung ist nämlich auch für die Kündigung des Arbeitsverhältnisses ein wichtiger Grund erforderlich (§§ 38 Abs. 2, 6 Abs. 4 Satz 2 BDSG). Darüber hinaus wirkt dieser besondere Kündigungsschutz für ein Jahr nach dem Ende der Tätigkeit als Datenschutzbeauftragter nach (§§ 38 Abs. 2 6 Abs. 4 Satz 3 BDSG), was eine ordentliche Kündigung des Arbeitsverhältnisses durch das Unternehmen ausschließt. Dieser Schutz dient dazu, dem internen Datenschutzbeauftragten eine unabhängige Wahrnehmung seines Amtes zu ermöglichen.

Die Alternative zu einem internen Datenschutzbeauftragten ist ein externer Datenschutzbeauftragter (Art. 37 Abs. 6 DSGVO). Dieser wird auf Basis eines Dienstleistungsvertrags für das Unternehmen tätig. Die Vertragsbedingungen inklusive der Voraussetzungen für eine Kündigung unterliegen dabei der Gestaltungsfreiheit der Parteien. Unter Beachtung der getroffenen Vereinbarung ist die Lösung von einem externen Datenschutzbeauftragten dadurch insgesamt einfacher möglich als bei einem internen Datenschutzbeauftragten.

Die Bindung an den Datenschutzbeauftragten stellt nur eines zahlreicher Kriterien dar, welche im Rahmen der Entscheidung, ob ein interner oder ein externer Datenschutzbeauftragter benannt wird, eine Rolle spielen. Darüber hinaus ist unter anderem zu beachten, dass der Datenschutzbeauftragte über die erforderliche Sachkunde verfügt, welcher zeitliche Aufwand mit dem Amt verbunden ist und dass Interessenskonflikte vermieden werden (Art. 37 Abs. 5, Art. 38 DSGVO).

Auch zu letztgenanntem Punkt hat das BAG eine Frage an den EuGH gestellt: Können die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in Personalunion ausgeübt werden oder führt dies zu einem unzulässigen Interessenskonflikt? Bis der EuGH die Fragen des BAG beantworten wird, wird noch etwas Zeit vergehen. Klar ist jedoch bereits jetzt, dass Arbeitgeber im Rahmen der Entscheidung zwischen einem internen und externen Datenschutzbeauftragten eine umfassende Prüfung vornehmen sollten, welche Folgen mit den beiden Gestaltungsmöglichkeiten verknüpft sind.

Die beiden Autoren sind Teil der Task Force Beschäftigtendatenschutz von Hogan Lovells und veröffentlichen regelmäßig zu Fragen auf der Schnittstelle zwischen Arbeits- und Datenschutzrecht.