Betriebsratsvorsitzender darf kein Datenschutzbeauftragter sein

Datenschutz und Arbeitnehmervertretung sind zwei zentrale rechtliche Sphären in modernen Unternehmen – und beide gewinnen mit zunehmender Digitalisierung an Bedeutung. Was aber geschieht, wenn eine Person beide Rollen gleichzeitig ausüben soll? Diese Frage hat das Bundesarbeitsgericht (BAG) in seinem Urteil vom 6. Juni 2023 – 9 AZR 383/19 grundlegend beantwortet.

Die Entscheidung betrifft nicht nur ein Einzelschicksal, sondern setzt ein wichtiges Zeichen für die Praxis der betrieblichen Mitbestimmung und die Anforderungen an Datenschutzbeauftragte. Sie zeigt auf, wie gravierend die Konflikte zwischen den Pflichten eines Betriebsratsvorsitzenden und den Aufgaben eines Datenschutzbeauftragten tatsächlich sein können – und warum ein solches Doppelamt in der Regel unzulässig ist.

1. Der Ausgangsfall – Wie kam es zum Streit?

Der Kläger war bei der Beklagten – einem Konzernunternehmen – als Arbeitnehmer beschäftigt und zugleich Vorsitzender des Betriebsrats. Bereits zum 1. Juni 2015 wurde er von seiner Arbeitgeberin sowie mehreren weiteren deutschen Tochtergesellschaften zum betrieblichen Datenschutzbeauftragten bestellt. Diese Bestellung erfolgte noch auf Grundlage des alten Bundesdatenschutzgesetzes (BDSG a.F.), also vor Geltung der DSGVO.

Der Kläger war in seiner Funktion als Betriebsratsvorsitzender teilweise von seiner beruflichen Tätigkeit freigestellt, nahm seine Aufgaben innerhalb des Betriebsrats aktiv wahr und war entsprechend stark in innerbetriebliche Entscheidungsprozesse eingebunden.

Im Jahr 2017 wurde der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit auf die Personalunion des Klägers aufmerksam. Er äußerte datenschutzrechtliche Bedenken hinsichtlich der Vereinbarkeit der beiden Funktionen und regte an, den Kläger als Datenschutzbeauftragten abzuberufen.

Daraufhin erklärten die Arbeitgeberin und die weiteren Konzernunternehmen am 1. Dezember 2017 den Widerruf der Bestellung zum Datenschutzbeauftragten – mit sofortiger Wirkung und unter Hinweis auf die drohende Unvereinbarkeit der Ämter.

Nach Inkrafttreten der DSGVO am 25. Mai 2018 wurde dieser Widerruf vorsorglich wiederholt, diesmal ausdrücklich unter Berufung auf Art. 38 Abs. 3 Satz 2 DSGVO, wonach Datenschutzbeauftragte nur unter bestimmten Voraussetzungen abberufen werden dürfen.

Der Kläger akzeptierte den Widerruf nicht. Er war der Auffassung, dass kein rechtlich relevanter Interessenkonflikt vorliege und seine Bestellung als Datenschutzbeauftragter weiterhin Bestand habe.

2. Die gerichtliche Auseinandersetzung – Vorinstanzen geben Kläger recht

Sowohl das Arbeitsgericht als auch das Sächsische Landesarbeitsgericht (Urteil vom 19.08.2019 – 9 Sa 268/18) gaben der Klage des Betriebsratsvorsitzenden statt. Beide Gerichte sahen keinen ausreichenden Grund für eine Abberufung. Sie hielten die Funktionen für vereinbar und stuften die Tätigkeit des Klägers als Datenschutzbeauftragter weiterhin als rechtlich zulässig ein.

Nach Ansicht der Vorinstanzen bestand kein konkreter Interessenkonflikt, der die erforderliche Unabhängigkeit des Klägers in seiner Datenschutzfunktion beeinträchtigen würde.

3. Die Kehrtwende vor dem BAG – Widerruf war rechtmäßig

Das Bundesarbeitsgericht entschied jedoch anders – und hob die Urteile der Vorinstanzen auf. Die Revision der Arbeitgeberin hatte Erfolg.

a) Maßgebliche Rechtsgrundlagen

Das BAG stützte seine Entscheidung auf zwei zentrale Vorschriften:

• § 4f Abs. 3 Satz 4 BDSG a.F.: Danach darf ein betrieblicher Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden.
• § 626 Abs. 1 BGB: Dieser regelt den „wichtigen Grund“ bei außerordentlichen Kündigungen und wird hier analog herangezogen.

Zudem bezog sich das BAG auf die mittlerweile geltende DSGVO, insbesondere auf:

• Art. 38 Abs. 3 Satz 2 DSGVO (Schutz der Unabhängigkeit)
• Art. 38 Abs. 6 Satz 2 DSGVO (Ausschluss von Interessenkonflikten)

b) Was ist ein „wichtiger Grund“ für die Abberufung?

Ein wichtiger Grund liegt insbesondere dann vor, wenn der Datenschutzbeauftragte nicht (mehr) die erforderliche Fachkunde oder Zuverlässigkeit besitzt. Nach Auffassung des Gerichts kann die Zuverlässigkeit insbesondere dann fehlen, wenn der Datenschutzbeauftragte in Interessenkonflikte verwickelt ist oder diese zumindest objektiv drohen.

c) Wann liegt ein Interessenkonflikt vor?

Ein solcher interessenbedingter Konflikt liegt nach der Rechtsprechung des EuGH und nun auch des BAG insbesondere dann vor, wenn der Datenschutzbeauftragte gleichzeitig eine Funktion innehat, bei der er über die Zwecke und Mittel der Datenverarbeitung mitentscheidet.

Genau das trifft auf den Vorsitzenden des Betriebsrats zu:

• Der Betriebsrat ist nach dem Betriebsverfassungsgesetz (BetrVG) regelmäßig darauf angewiesen, personenbezogene Daten der Belegschaft zu verarbeiten, etwa bei Versetzungen, Kündigungen oder Lohnfragen.
• Der Betriebsrat beschließt im Gremium darüber, welche Daten erhoben werden, zu welchem Zweck dies geschieht und auf welche Weise die Daten intern weiterverarbeitet werden.
• Der Vorsitzende vertritt den Betriebsrat nach außen und ist zentral in diesen Prozessen eingebunden.

Daher hat er einen unmittelbaren Einfluss auf Zweck und Mittel der Datenverarbeitung – genau der Bereich, den ein Datenschutzbeauftragter objektiv und unabhängig überwachen soll.

d) Der Sonderfall „Betriebsratsvorsitzender“

Das BAG macht in seinem Urteil deutlich: Nicht jedes Betriebsratsmitglied ist automatisch ungeeignet als Datenschutzbeauftragter. Offen gelassen wurde, ob einfache Mitglieder diese Funktion unter Umständen ausüben können.

Entschieden wurde aber, dass die hervorgehobene Stellung des Betriebsratsvorsitzenden einer wirksamen, unabhängigen Datenschutzkontrolle entgegensteht. Denn:

„Die hervorgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebt die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit [...] auf.“
Damit stellt das Gericht klar: Die Position des Vorsitzenden ist unvereinbar mit der Rolle des Datenschutzbeauftragten – unabhängig davon, ob im konkreten Einzelfall ein bestimmter Datenschutzverstoß droht.

4. Auswirkungen auf die Praxis

a) Für Arbeitgeber

Unternehmen sollten überprüfen, wer mit der Funktion des Datenschutzbeauftragten betraut wurde. Sollte es sich dabei um einen Betriebsratsvorsitzenden handeln, besteht dringender Handlungsbedarf.

b) Für Betriebsräte

Betriebsräte sollten sich der Tatsache bewusst sein, dass ihr Zugriff auf personenbezogene Daten nicht mit der unabhängigen Überwachungsfunktion eines Datenschutzbeauftragten vereinbar ist – zumindest nicht, wenn sie in hervorgehobener Position agieren.

c) Für die Datenschutzpraxis

Das Urteil unterstreicht die Bedeutung der strikten Trennung von Kontrolle und Beteiligung. Wer personenbezogene Daten verarbeitet oder Entscheidungen über deren Verwendung trifft, kann nicht gleichzeitig mit der Überwachung dieser Prozesse betraut sein.

Fazit: Interessenkonflikte sind keine Nebensache

Das Urteil des Bundesarbeitsgerichts schafft klare Verhältnisse: Der Vorsitz im Betriebsrat und die Aufgabe als Datenschutzbeauftragter schließen sich in der Regel aus. Das hat nichts mit Misstrauen gegenüber Betriebsräten zu tun, sondern mit der strukturellen Logik des Datenschutzrechts: Unabhängigkeit ist oberstes Gebot.

Auch wenn die Entscheidung auf Basis des alten BDSG erging, ist sie voll kompatibel mit der DSGVO. Sie stärkt die Stellung des Datenschutzbeauftragten als vertrauenswürdige, objektive Kontrollinstanz – und verhindert gleichzeitig eine Unterwanderung dieser Rolle durch mögliche Interessenkonflikte.

Sie haben Fragen?

Wenn Sie in Ihrem Unternehmen ebenfalls Personen in Doppelfunktion beschäftigt haben oder unsicher sind, ob eine Abberufung rechtlich zulässig wäre, stehen wir Ihnen gerne beratend zur Seite.

Unsere Kanzlei unterstützt Sie bei der rechtssicheren Gestaltung Ihrer Datenschutzorganisation – klar, pragmatisch und zielgerichtet.