9 AZR 383/19 (A)

Datenschutzbeauftragter - Abberufung - Unionsrecht

Details

  • Aktenzeichen

    9 AZR 383/19 (A)

  • ECLI

    ECLI:DE:BAG:2021:270421.B.9AZR383.19A.0

  • Art

    EuGH-Vorlage

  • Datum

    27.04.2021

  • Senat

    9. Senat

Tenor

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung folgender Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Falls die erste Frage verneint wird:

4. Liegt ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Leitsatz

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung folgender Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Falls die erste Frage verneint wird:

4. Liegt ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?

Entscheidungsgründe

1

A. Gegenstand des Ausgangsverfahrens

2

Die Parteien streiten über die Abberufung des Klägers als Beauftragter für den Datenschutz.

3

Der Kläger steht unter Anrechnung von Zeiten vormaliger Betriebszugehörigkeit seit dem 1. November 1993 in einem Arbeitsverhältnis zu der Beklagten. Er ist zur Wahrnehmung seiner Aufgaben als Vorsitzender des bei der Beklagten gebildeten Betriebsrats teilweise von der Arbeit freigestellt. Zudem übt er das Amt des stellvertretenden Vorsitzenden des „Gesamtbetriebsrats“, der für drei in Deutschland ansässige Konzernunternehmen gebildet wurde.

4

Mit Wirkung zum 1. Juni 2015 wurde der Kläger von der Beklagten und ihrer Muttergesellschaft sowie von deren weiteren in Deutschland ansässigen Tochtergesellschaften jeweils gesondert zum Datenschutzbeauftragten bestellt. Mit der parallelen Bestellung des Klägers zum Datenschutzbeauftragten aller in Deutschland ansässigen Konzernunternehmen wurde das Ziel verfolgt, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

5

Auf Veranlassung des für die Muttergesellschaft der Beklagten zuständigen Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagten und die drei weiteren in Deutschland ansässigen Konzernunternehmen jeweils mit getrennten Schreiben vom 1. Dezember 2017 die Bestellung des Klägers zum Datenschutzbeauftragten mit sofortiger Wirkung. Nach Inkrafttreten der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom 4. Mai 2016 S. 1) beriefen die Beklagte und die drei weiteren Konzernunternehmen mit getrennten Schreiben vom 25. Mai 2018 den Kläger vorsorglich auch gemäß Art. 38 Abs. 3 Satz 2 DSGVO unter Hinweis auf betriebsbedingte Gründe als Datenschutzbeauftragten ab.

6

Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, so dass ein wichtiger Grund zur Abberufung des Klägers gegeben sei.

7

Die Vorinstanzen haben der Klage stattgegeben. Mit ihrer Revision begehrt die Beklagte die Klageabweisung.

8

B. Das einschlägige nationale Recht

9

I. Bundesdatenschutzgesetz in der vom 25. Mai 2018 bis 25. November 2019 geltenden Fassung (BGBl. 2017 I S. 2097):

        

„§ 6   

        

Stellung

        

…       

        

(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

        

…       

        

§ 38   

        

Datenschutzbeauftragte nichtöffentlicher Stellen

        

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

        

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

10

In § 38 Abs. 1 Satz 1 BDSG in der seit 26. November 2019 geltenden Fassung ist die Beschäftigtenzahl von „zehn“ auf „20“ erhöht worden.

11

II. Bürgerliches Gesetzbuch (BGB) in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. 42, berichtigt S. 2909 und BGBl. 2003 I S. 738):

        

„§ 626

        

Fristlose Kündigung aus wichtigem Grund

        

(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

        

(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“

12

III. Betriebsverfassungsgesetz (BetrVG) in der seit dem 25. September 2001 geltenden Fassung (BGBl. I S. 2518):

        

„§ 26 

        

Vorsitzender

        

…       

        

(2) Der Vorsitzende des Betriebsrats oder im Fall seiner Verhinderung sein Stellvertreter vertritt den Betriebsrat im Rahmen der von ihm gefassten Beschlüsse. …

        

§ 27   

        

Betriebsausschuss

        

…       

        

(3) Betriebsräte mit weniger als neun Mitgliedern können die laufenden Geschäfte auf den Vorsitzenden des Betriebsrats oder andere Betriebsratsmitglieder übertragen.“

13

C. Einschlägige Vorschriften des Unionsrechts

14

Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom 4. Mai 2016 S. 1):

        

„Artikel 37

        

Benennung eines Datenschutzbeauftragten

        

…       

        

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. …

        

Artikel 38

        

Stellung des Datenschutzbeauftragten

        

…       

        

(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. …

        

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

        

…       

        

Artikel 88

        

Datenverarbeitung im Beschäftigtenkontext

        

(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. …“

15

D. Erforderlichkeit der Entscheidung des Gerichtshofs und Erörterung der Vorlagefragen

16

I. Erforderlichkeit der Entscheidung des Gerichtshofs

17

Der Erfolg der von der Beklagten eingelegten Revision hängt von der Auslegung des Unionsrechts ab. Nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB und damit aus wichtigem Grund zulässig. Die Bestimmungen des BDSG knüpfen damit die Abberufung des Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, das in Art. 38 Abs. 3 Satz 2 DSGVO vorsieht, dass der Datenschutzbeauftragte von den Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.

18

Nach nationalem Recht wäre die Abberufung des Klägers vom 1. Dezember 2017 gemäß § 4f BDSG in der bis zum 24. Mai 2018 gültigen Fassung unzulässig, weil für sie kein wichtiger Grund vorgelegen hat. Ob die Abberufung vom 25. Mai 2018 wegen Verstoßes gegen § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG unwirksam ist, hängt zunächst davon ab, ob nach Unionsrecht, und insbesondere nach Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig ist, durch die eine Abberufung des Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist. Hierüber kann der Senat nicht ohne Anrufung des Gerichtshofs der Europäischen Union nach Art. 267 AEUV befinden. Müssten § 38 Abs. 2 iVm. § 6 Abs. 4 BDSG wegen des Anwendungsvorrangs von Unionsrecht unangewendet bleiben, wäre die Revision der Beklagten erfolgreich. Auf einen weiteren die Unzulässigkeit seiner Abberufung bedingenden Grund hat sich der Kläger nicht berufen. Sollte der Gerichtshof der Europäischen Union die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält es der Senat zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt. Bestände nach dem Unionsrecht ein Interessenkonflikt, wirkte sich dies auf die Beurteilung aus, ob ein wichtiger Grund für die Abberufung des Klägers vorgelegen hat.

19

II. Erläuterung der ersten Vorlagefrage

20

Der Senat kann nicht darüber befinden, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen wie § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG anwendbar sind, die die Möglichkeit der Abberufung eines betrieblichen Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.

21

1. Das nationale Recht sieht im Vergleich zum Unionsrecht einen stärkeren Schutz vor einer Abberufung vor. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Demgegenüber bestimmt § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG, dass ein verpflichtend benannter Datenschutzbeauftragter nur aus wichtigem Grund (vgl. § 626 BGB) abberufen werden kann, auch wenn die Abberufung – wie vorliegend – nicht mit der Erfüllung seiner Aufgaben in einem Zusammenhang stehen.

22

2. Die DSGVO ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Rechtsprechung des Gerichtshofs der Europäischen Union bewirken gemäß dem Grundsatz des Vorrangs des Unionsrechts die Bestimmungen des AEU-Vertrags und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird (EuGH 4. Februar 2016 – C-336/14 – Rn. 52; 14. Juni 2012, – C-606/10 – Rn. 73). Die DSGVO will – wie schon die durch sie aufgehobene Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23. November 1995 S. 31) – durch Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen (vgl. Erwägungsgründe 9 ff. DSGVO; EuGH 20. Mai 2003 – C-465/00 ua. – Rn. 39). Wegen der von der Richtlinie 95/46/EG bewirkten Vollharmonisierung könnten nach der Rechtsprechung des Gerichtshofs der Europäischen Union auch verschärfende nationale Regelungen unzulässig sein (EuGH 24. November 2011 – C-468/10 und C-469/10 – Rn. 29 ff.).

23

3. Im nationalen Schrifttum wird unterschiedlich beurteilt, ob die DSGVO es den Mitgliedstaaten gestattet, die Abberufung des Datenschutzbeauftragten an zusätzliche Voraussetzungen zu knüpfen.

24

a) Zum Teil wird die Auffassung vertreten, bei dem Abberufungsschutz in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG handele es sich um materiell-arbeitsrechtliche Regelungen, weil bei internen Datenschutzbeauftragten mit der Abberufung regelmäßig eine Änderung des Arbeitsvertrags dergestalt einhergehe, dass die Aufgaben des Datenschutzbeauftragten nicht mehr zur geschuldeten Tätigkeit gehörten (Jaspers/Reif in Schwartemann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn. 19; BeckOK DatenschutzR/Moos Stand 1. November 2019 DS-GVO Art. 38 Rn. 18; vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 30; Greiner/Senk NZA 2020, 201, 206). Für materiell-arbeitsrechtliche Regelungen bestehe gemäß Art. 153 AEUV keine Gesetzgebungskompetenz der Union, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Außerdem könne sich der nationale Gesetzgeber bei einer Lückenfüllung auf die arbeitsrechtliche Öffnungsklausel des Art. 88 DSGVO stützen (vgl. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. § 6 BDSG Rn. 6; EuArbRK/Franzen 3. Aufl. VO 2016/679/EU Art. 38 Rn. 1; Jaspers/Reif RDV 2016, 61, 63). Nach den Materialien zur Neufassung des BDSG ist auch der deutsche Gesetzgeber davon ausgegangen, bei § 6 Abs. 4 BDSG handele es sich um eine arbeitsrechtliche Regelung, die ergänzend zu den Vorgaben der DSGVO entsprechend der bis zum 24. Mai 2018 geltenden nationalen Rechtslage beibehalten werden könne (vgl. BT-Drs. 18/11325 S. 82).

25

b) Die Gegenansicht nimmt an, der nach nationalem Recht erhöhte Abberufungsschutz sei im Bereich der nicht-öffentlichen Stellen unionsrechtswidrig, jedenfalls soweit nach Art. 37 Abs. 1 DSGVO verpflichtend zu benennende Datenschutzbeauftragte betroffen seien (vgl. Bergt/Schnebbe in Kühling/Buchner DS-GVO/BDSG 3. Aufl. § 6 BDSG Rn. 11; von dem Bussche in Plath DSGVO/BDSG 3. Aufl. § 6 BDSG Rn. 2, 20). Der Abberufungsschutz sei nicht arbeitsrechtlicher Natur, sondern datenschutzrechtlich motiviert (Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 37 DSGVO Rn. 58).

26

III. Erläuterung der zweiten Vorlagefrage

27

Für den Fall, dass die erste Vorlagefrage bejaht wird, möchte der Senat wissen, ob das Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, dem weitergehenden nationalen Abberufungsschutz auch dann entgegensteht, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats.

28

1. Das Unionsrecht könnte dahingehend auszulegen sein, dass ein etwaiger Anwendungsvorrang des Art. 38 Abs. 3 Satz 2 DSGVO lediglich für nach Unionsrecht verpflichtend benannte Datenschutzbeauftragte besteht, weil die Regelung nur insoweit als abschließend zu betrachten sein könnte. Da die Voraussetzungen, unter denen ein Datenschutzbeauftragter verpflichtend zu benennen ist, in Art. 37 Abs. 1 DSGVO und in § 38 Abs. 1 BDSG unterschiedlich geregelt sind, könnte Abberufungsschutz des § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG für ausschließlich nach dem nationalen Recht verpflichtend benannte Datenschutzbeauftragte neben der Vorschrift des Art. 38 Abs. 3 Satz 2 DSGVO anwendbar bleiben. Im Ausgangsverfahren hat die Vorinstanz bislang keine Feststellungen dazu getroffen, ob der Kläger nach § 38 Abs. 1 BDSG verpflichtend als Datenschutzbeauftragter benannt wurde oder ob eine solche Verpflichtung auch nach Art. 37 Abs. 1 DSGVO bestand. Dies bedürfte gegebenenfalls weiterer Feststellungen.

29

2. Außerdem bedarf es einer Klärung, wie in diesem Zusammenhang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu verstehen ist. Der Wortlaut der Norm ließe die Auslegung zu, dass ein nach dem Recht eines Mitgliedstaats verpflichtend benannter Datenschutzbeauftragter auch iSd. DSGVO verpflichtend benannt ist. Nach der unionsrechtlichen Regelung „müssen“ (englische Sprachfassung: „shall“) die Verantwortlichen einen Datenschutzbeauftragten benennen, falls ihnen dies nach dem Recht des Mitgliedstaats vorgeschrieben ist. Sollte Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO so auszulegen sein, wäre – sofern die erste Vorlagefrage bejaht wird – ein nach nationalem Recht bestehender Abberufungsschutz unzulässig, selbst wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach nationalem Recht (vgl. BAG 30. Juli 2020 – 2 AZR 225/20 (A) – Rn. 26).

30

IV. Erläuterung der dritten Vorlagefrage

31

Für den Fall der Bejahung der ersten Vorlagefrage möchte der Senat wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruht, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen, oder ob seiner Wirksamkeit mangels einer solchen Ermächtigungsgrundlage Hinderungsgründe entgegenstehen.

32

1. Für die Europäische Union gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grundsatz der begrenzten Einzelermächtigung. Er wird konkretisiert durch Art. 2 ff. AEUV. Die Union wird danach nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben.

33

a) Der Erlass der DSGVO wird insbesondere auf Art. 16 AEUV gestützt (vgl. Eingangsformel und Erwägungsgrund 12 DSGVO). Unionsrechtliche Regelungen über die Datenverarbeitung durch Privatpersonen könnten nach dem Verständnis des Senats lediglich auf der Basis des Terminus „freier Datenverkehr“ in Art. 16 Abs. 2 Satz 1 letzter Halbsatz AEUV ergehen. Allerdings wird der Wortlaut von Art. 16 Abs. 2 Satz 1 AEUV im nationalen Schrifttum teilweise so verstanden, dass sich die vertraglich eingeräumte Rechtssetzungsbefugnis der Union lediglich auf den Datenschutz bei der Datenverarbeitung der Unionsorgane, die Datenverarbeitung der öffentlichen Stellen bei der Umsetzung des Unionsrechts und auf die grenzüberschreitende Datenverarbeitung beschränkt (vgl. Giesen CR 2012, 550, 554). Die bisherige Rechtsprechung des Gerichtshofs der Europäischen Union zur Richtlinie 95/46/EG und Art. 100a EGV ist nicht von einem so engen Verständnis ausgegangen (vgl. EuGH 20. Mai 2003 – C-465/00 ua. – Rn. 39 ff.).

34

b) Andererseits könnte die Ermächtigungsgrundlage zur Rechtsangleichung im Binnenmarkt gemäß Art. 114 Abs. 1 AEUV maßgeblich sein (zu Richtlinie 95/46/EG und Art. 100a EGV EuGH 20. Mai 2003 – C-465/00 ua. – Rn. 39 ff.). Einem Rückgriff auf Art. 114 Abs. 1 AEUV als Kompetenzgrundlage könnte aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO die Regelung in Art. 114 Abs. 2 AEUV entgegenstehen, wonach Absatz 1 ua. nicht für Bestimmungen über die Rechte und Interessen der Arbeitnehmer gilt. Dies wäre dann kein Hindernis, wenn die DSGVO keine spezifische Zielrichtung in Bezug auf Arbeitnehmerrechte enthielte, sondern nur die Regelung einer Querschnittsmaterie mit bloßen Reflexen auch auf die Rechtsstellung von Beschäftigten (vgl. EuArbRK/Franzen 3. Aufl. AEUV Art. 16 Rn. 3).

35

2. Wenngleich der Senat die im nationalen Schrifttum geäußerten und nachfolgend dargestellten Bedenken in Bezug auf die Gültigkeit der DSGVO nicht teilt, bittet er den Gerichtshof der Europäischen Union, zur Klärung der unionsrechtlichen Rechtslage und aus Gründen der Rechtsklarheit auf diese einzugehen.

36

a) Teilweise wird vom Schrifttum ein Verstoß gegen das unionsrechtliche Subsidiaritätsprinzip (Art. 5 Abs. 3 Unterabs. 1 EUV) angenommen (ausführliche Darstellung bei Morasch Datenverarbeitung im Beschäftigungskontext S. 38 ff.). In Übereinstimmung mit dieser Sichtweise hat der Deutsche Bundesrat mit Beschluss vom 30. März 2012 (BR-Drs. 52/12 [Beschluss]) eine Subsidiaritätsrüge nach Art. 12 Buchst. b EUV iVm. Art. 6 des Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vom 13. Dezember 2007 (ABl. C 306 vom 17. Dezember 2007 S. 150) gegen den ursprünglichen Vorschlag der DSGVO erhoben.

37

b) Schließlich wird die DSGVO vereinzelt im nationalen Schrifttum wegen eines Verstoßes gegen das Verhältnismäßigkeitsprinzip des Art. 5 Abs. 4 Unterabs. 1 EUV für unwirksam gehalten (vgl. Giesen NVwZ 2019, 1711, 1712).

38

V. Erläuterung der vierten Vorlagefrage

39

Für den Fall der Verneinung der ersten Frage möchte der Senat wissen, ob ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorliegt, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat. Bestände nach dem Unionsrecht eine Inkompatibilität zwischen der Funktion des Datenschutzbeauftragten und dem Amt des Betriebsratsvorsitzenden, läge zugleich ein zur Abberufung des Datenschutzbeauftragten berechtigender wichtiger Grund iSv. § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG vor.

40

1. Nach Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben des Datenschutzbeauftragten zu erfüllen, benannt. Nach Art. 38 Abs. 6 DSGVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernehmen kann. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind insbesondere dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren müsste oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre (vgl. BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 25, BAGE 169, 59; 23. März 2011 – 10 AZR 562/09 – Rn. 24; 22. März 1994 – 1 ABR 51/93 – zu B IV der Gründe, BAGE 76, 184).

41

2. Die Frage, ob das Amt des Datenschutzbeauftragen mit dem eines Betriebsratsmitglieds bzw. -vorsitzenden vereinbar ist, ist im nationalen Recht umstritten.

42

a) Nach der Rechtsprechung des Bundesarbeitsgerichts zum BDSG aF steht die bloße Mitgliedschaft im Betriebsrat einer (zusätzlichen) Bestellung zum Beauftragten für den Datenschutz nicht entgegen.

43

aa) Das Bundesarbeitsgericht hat bisher angenommen, zwischen beiden Ämtern bestehe keine grundsätzliche Inkompatibilität. Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber habe, mache ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers werde nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenüberstehe, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnehme. Auch als Mitglied des Betriebsrats könne ein Datenschutzbeauftragter diese Rechte ordnungsgemäß wahrnehmen, ebenso wie er sie als Arbeitnehmer gegenüber seinem Arbeitgeber wahrzunehmen habe. Eine Interessenkollision zwischen beiden Ämtern sei nicht ersichtlich (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 25).

44

bb) Hielte der Senat an dieser Auffassung fest, dürfte sich die Beurteilung nicht dadurch ändern, dass der Datenschutzbeauftragte nicht nur ein „einfaches“ Betriebsratsmitglied, sondern Betriebsratsvorsitzender ist. Der Betriebsratsvorsitzende ist in erster Linie – wie die anderen Gremiumsmitglieder – Betriebsratsmitglied. In dieser Funktion übt er weder als Bevollmächtigter noch als gesetzlicher Vertreter die gesetzlich zugewiesenen Befugnisse, Pflichten und Zuständigkeiten des Betriebsrats an dessen Stelle aus (Fitting BetrVG 30. Aufl. § 26 Rn. 21 f.). Die ihm durch § 26 Abs. 2 Satz 1 BetrVG eingeräumte Vertretungsbefugnis besteht nur im Rahmen der vom Betriebsrat gefassten Beschlüsse. Der Betriebsratsvorsitzende ist somit nicht Vertreter im Willen, sondern Vertreter in der Erklärung (BAG 19. März 2003 – 7 ABR 15/02 – zu II 2 b der Gründe, BAGE 105, 311). Auch die ihm – neben der Berechtigung zur Entgegennahme von dem Betriebsrat gegenüber abzugebenden Erklärungen (§ 26 Abs. 2 Satz 2 BetrVG) – zugewiesenen weiteren Aufgaben weisen keinen besonderen Bezug zu datenschutzrechtlichen Fragestellungen auf. Dies gilt auch, wenn in einem Betriebsrat mit weniger als neun Mitgliedern nach § 27 Abs. 3 BetrVG die laufenden Geschäfte auf den Vorsitzenden übertragen worden sind. Hierbei handelt es sich regelmäßig um interne, verwaltungsmäßige, organisatorische und ggf. wiederkehrende Aufgaben des Betriebsrats wie etwa die Erledigung des Schriftverkehrs, Entgegennahme von Anträgen von Arbeitnehmern, die Einholung von Auskünften, die Vorbereitung von Betriebsratssitzungen sowie von Betriebs-, Teil- und Abteilungsversammlungen (BAG 15. August 2012 – 7 ABR 16/11 – Rn. 19). Das Amt des Betriebsratsvorsitzenden dürfte danach über kein gegenüber „einfachen“ Betriebsratsmitgliedern erhöhtes Potential für einen Interessenkonflikt verfügen.

45

b) Nach einer im Schrifttum vertretenen Gegenmeinung führt die Wahrnehmung beider Ämter in Personalunion zu Interessenkonflikten.

46

aa) Es bestehe die abstrakte Gefahr, dass das Betriebsratsmitglied infolge seiner Doppelstellung zu Kompromissen im Datenschutz bereit sei, um andere Ziele durchzusetzen (vgl. Simitis in Simitis BDSG 8. Aufl. § 4 f. Rn. 108; Wybitul/v. Gierke BB 2017, 181, 183), oder es sich zu sehr auf den Aspekt des Arbeitnehmerdatenschutzes konzentriere und deshalb andere Tätigkeiten eines Datenschutzbeauftragten vernachlässige (vgl. Höppner jurisPR-ITR 7/2012 Anm. 3).

47

bb) Zudem wird angeführt, ein Interessenkonflikt könne daraus resultieren, dass der Datenschutzbeauftragte seine Beaufsichtigungs- und Kontrollbefugnisse auch gegenüber dem Betriebsrat auszuüben habe und damit zum „Richter in eigener Sache“ werde (vgl. Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 38 DSGVO Rn. 55; HWK/Lembke 9. Aufl. Art. 39 DSGVO Rn. 12). Diese Annahme setzt jedoch voraus, dass der Betriebsrat nicht selbst Verantwortlicher iSv. Art. 4 Nr. 7 DSGVO (so aber zB Maschmann NZA 2020, 1207, 1209 ff.; Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566 f.; Wybitul NZA 2017, 413 f.), sondern lediglich Teil der verantwortlichen Stelle ist (so zB Bonanni/Niklas ArbRB 2018, 371 f.; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) und dass dem dort bestellten Datenschutzbeauftragten Beaufsichtigungs- und Kontrollbefugnisse gegenüber dem Betriebsrat zukommen (ablehnend: BAG 11. November 1997 – 1 ABR 21/97 – zu B III 2 c und B III 2 c bb der Gründe, BAGE 87, 64; Fitting BetrVG 30. Aufl. § 83 Rn. 27 unter Hinweis auf die im BetrVG angeordnete Unabhängigkeit des Betriebsrats und das Erfordernis einer ausdrücklichen gesetzlichen Anordnung; dafür Kleinebrink DB 2018, 2566, 2570 f.; Lücke NZA 2019, 658, 667).

48

cc) Ständen dem Datenschutzbeauftragten Beaufsichtigungs- und Kontrollbefugnisse gegenüber dem Betriebsrat grundsätzlich zu, wäre ungeklärt, ob dieser Umstand bereits per se zu einem der Doppelfunktion entgegenstehenden Interessenkonflikt führt. Der Senat geht davon aus, dass nicht jedweder Umgang mit personenbezogenen Daten im Rahmen der sonstigen Tätigkeit der Ausübung des Amts als Datenschutzbeauftragter entgegensteht, sondern dass ein Interessenkonflikt eine gesteigerte Verantwortlichkeit für Datenverarbeitungsvorgänge voraussetzt (vgl. Bergt in Kühling/Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 40 ff.; Drewes in Simitis/Hornung/Spiecker Datenschutzrecht Art. 38 DSGVO Rn. 55). Der Datenschutzbeauftragte darf innerhalb einer Einrichtung keine Position innehaben, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (Art.-29-Datenschutzgruppe WP 243 rev. 01 S. 19). Der Senat bittet den Gerichtshof der Europäischen Union um Klärung, ob diese Wertung auf die Betriebsratstätigkeit übertragbar ist und danach nicht bereits das bloße Betriebsratsmandat und die damit verbundene Befassung mit personenbezogenen Daten, deren Zweck das BetrVG bestimmt, ausreicht, um einen der Bestellung als Datenschutzbeauftragter entgegenstehenden Interessenkonflikt annehmen zu können, sondern der betreffenden Person innerhalb des Betriebsrats eine bestimmte Funktion übertragen worden sein muss. So könnte es bspw. mit der Stellung und Funktion des Datenschutzbeauftragten erst dann nicht zu vereinbaren sein, wenn der Datenschutzbeauftragte als Betriebsratsmitglied für die EDV des Betriebsrats zuständig wäre und sich insoweit selbst kontrollieren müsste (vgl. Bergt in Kühling/Buchner DS-GVO/BDSG 3. Aufl. Art. 38 DS-GVO Rn. 45; Greiner/Senk NZA 2020, 201, 207; Jaspers/Reif in Schwartemann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG 2. Aufl. Art. 38 Rn. 29).

49

E. Das Revisionsverfahren ist in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen auszusetzen.

        

    Kiel     

        

    Suckow    

        

    Zimmermann    

        

        

        

    Lohbeck     

        

    A. Gell