Vor kurzem berichteten wir darüber hier, ob ein Betriebsratsmitglied auch als Datenschutzbeauftragter benannt sein kann oder ob dies zu einer Interessenkollision führen würde. Bevor es eine eigene Entscheidung traf, legte das BAG dem EuGH diese Frage zur Vorabentscheidung vor. Bis zur Veröffentlichung des o.g. Beitrags blieb die Frage aber unbeantwortet.
Kurze Zeit später wurde dann die Entscheidung des Europäischen Gerichtshofs (EuGH) (Az. C-453/21) bekanntgegeben und die langersehnte Antwort auf die Frage entpuppte sich als unbefriedigend und wenig hilfreich.
Entscheidung des EuGH – kein neuer Ansatz
Neben weiteren Fragen, die hier nicht weiter thematisiert werden sollen, legte das Bundesarbeitsgericht (BAG) folgende Frage dem EuGH vor: „Liegt ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?“
In der Entscheidung des EuGH wurden folgende Kernüberlegungen formuliert:
Erstens lasse sich dem Wortlaut des Art. 38 Abs. 6 DSGVO entnehmen, dass die Aufgaben als Datenschutzbeauftragter und andere Aufgaben und Pflichten beim Verantwortlichen nebeneinander wahrgenommen werden könnten.
Zweitens müsse der Verantwortliche sicherstellen, dass derjenige, der die Funktion als Datenschutzbeauftragter übernimmt, in der Ausübung dieser Stellung nicht durch die Wahrnehmung anderer Aufgaben und Pflichten beeinträchtigt wird. Mit dieser Bestimmung solle auch die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit auch die Wirksamkeit der DSGVO-Bestimmungen gewährleistet werden.
Der Datenschutzbeauftragte habe seine Pflichten aus Art. 39 Abs. 1 lit. b DSGVO wahrzunehmen, die u.a. die Überwachung der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeit, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen vorsehen.
Die Mittel und Zwecke der Verarbeitung personenbezogener Daten beim Verantwortlichen sollten vom Datenschutzbeauftragten unabhängig überwacht werden. Er darf diese Mittel und Zwecke also nicht selbst festlegen und er solle durch andere Aufgaben oder Pflichten auch nicht dazu veranlasst werden. Sollte Letzteres der Fall sein, könne ein Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO bejaht werden.
Diese Feststellung könne das nationale Gericht auf Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen, unter Berücksichtigung aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen, treffen.
Zur ursprünglichen Frage, ob ein Interessenkonflikt vorliegt, wenn Betriebsratsmitglieder zum Datenschutzbeauftragten benannt werden, schweigt der EuGH und verweist lediglich auf die grundsätzlichen Überlegungen.
Fazit
Die Antwort des EuGH lässt die nationalen Gerichte, insbesondere das BAG so orientierungslos zurück wie am Anfang und verweist lediglich darauf, dass eine endgültige Entscheidung über die Frage des Vorliegens eines Interessenkonflikts im Einzelfall durch ein nationales Gericht getroffen werden muss.
Dazu, wie der Begriff der „Interessenkollision“ in Art. 38 Abs. 6 DSGVO ausgelegt werden sollte gibt es keine neuen wegweisenden Überlegungen. Zum konkreten Fall, dass ein Betriebsratsmitglied gleichzeitig auch Datenschutzbeauftragter ist, gibt es ebenfalls keine neuen Erkenntnisse.
Die Frage, ob Betriebsratsmitglieder auch Datenschutzbeauftragter sein dürfen, wird nun also vom BAG entschieden. Es bleibt also weiterhin abzuwarten.