Datenschutzbeauftragte sind geschützt: Ihre Unabhängigkeit und Kontrollrechte können nur dann wirksam gewahrt werden, wenn eine Abberufung nicht ohne weiteres möglich ist. Über die Rechtmäßigkeit von zwei Abberufungen hatte jüngst der Europäische Gerichtshof (EuGH) zu entscheiden.
Ein Beitrag unserer Praktikantin Gizem Aslan.
Die Entscheidungen des EuGH ergingen in zwei Vorabentscheidungsersuchen, die dem Gerichtshof beide vom Bundesarbeitsgericht (BAG) angetragen worden waren.
Streitig war jeweils die Frage, ob eine Abberufung des Datenschutzbeauftragten aus wichtigem Grund gem. § 6 Abs. 4 BDSG unionsrechtskonform ist. Maßgeblich ist hierfür die Auslegung des Art. 38 Abs. 3 S. 2 DSGVO.Die Entscheidungen des EuGHs sind in zweierlei Hinsicht hochrelevant: Wie gut sind Datenschutzbeauftragte vor einer Abberufung geschützt? Und: Welchen Anforderungen unterliegen Unternehmen, wenn sie gegebenenfalls den Datenschutzbeauftragten wechseln wollen? Der EuGH entschied am 09.02.2023 (EuGH, C-453/21; EuGH, C-560/21) und bestärkte in seinen Entscheidungen den Schutz der Datenschutzbeauftragten.
Beide Entscheidungen betreffen die Abberufung betrieblicher Datenschutzbeauftragter, in der ersten Entscheidung war der Datenschutzbeauftragte zudem Betriebsratsvorsitzender.
Nationale Regelungen zur Abberufung
Die Unternehmen begründeten die Abberufung der Datenschutzbeauftragten jeweils mit dem Bestehen eines Interessenkonfliktes und stützten sich auf § 6 Abs. 4 i.V.m. § 38 Abs. 2 BDSG. Nach deutschem Recht ist eine Abberufung des Datenschutzbeauftragten, unabhängig von der Erfüllung seiner Aufgaben, aus wichtigem Grund möglich (§ 6 Abs. 4 BDSG i.V.m. § 626 BGB). Dem Wortlaut nach eröffnet das nationale Recht damit eine reguläre Abberufung des Datenschutzbeauftragten, wenn auch nur aus wichtigem Grund. Das Unionsrecht sieht hingegen vor, dass der Datenschutzbeauftragte „wegen der Erfüllung seiner Aufgaben“ nicht abberufen werden darf (Art. 38 Abs. 3 S. 2 DSGVO). Der Gerichtshof hatte angesichts dessen zu klären, ob das Recht zur Abberufung nach § 6 Abs. 4 BDSG unionsrechtskonform ist und, im Zusammenhang damit auch, wann ein Datenschutzbeauftragter einem seiner Rolle entgegenstehenden „Interessenkonflikt“ unterliegt.
Grundsätzlich sei, so der EuGH, Art. 38 Abs. 3 S. 2 DSGVO dahingehend auszulegen, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet werden würde. Dies sei jedoch im Lichte des Sinnes der Vorschrift zu bewerten. Dieser liegt nämlich darin, dass die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt wird. Die funktionelle Unabhängigkeit des Datenschutzbeauftragten ist vor allem wichtig, um ein möglichst hohes Datenschutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Dies sei auch unabhängig von dem Beschäftigungsverhältnis des Datenschutzbeauftragten zu berücksichtigen. Auch sei die DSGVO auf der Grundlage von Art. 16 AEUV erlassen worden, der seinerseits den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als Ziel definiert.
Deshalb seien nationale Vorschriften wie § 6 Abs. 4 BDSG, die die Abberufung des Datenschutzbeauftragten aus wichtigem Grund vorsehen, im Ergebnis zulässig, solange gewährleistet ist, dass die Voraussetzungen die Verwirklichung des Ziels der DSGVO nicht beeinträchtigen. Das ist etwa dann der Fall, wenn eine Abberufung wegen Interessenskonflikt erfolgt. Denn die Verhinderung der Abberufung im Falle eines Interessenkonflikts, der die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigt, liefe den Zielen der DSGVO zuwider.
Folglich seien zum einen national differierende Regelungen zulässig, wenn sie dasselbe Ziel verfolgen, wie die DSGVO und darüber hinausgehen und zum anderen Regelungen unzulässig, wenn sie den Zielen der DSGVO zuwiderlaufen.
Interessenskonflikte
Wann ein Interessenskonflikt vorliegt, aufgrund dessen eine Person die Stelle des Datenschutzbeauftragten nicht DSGVO-konform wahrnehmen kann, ist immer wieder Thema in der Praxis. Ein solcher Interessenkonflikt i.S.d. Art. 38 Abs. 6 DSGVO kann nach der Auslegung des Gerichtshofs bestehen, wenn einem Datenschutzbeauftragten andere Aufgaben und Pflichten übertragen werden, die ihn dazu veranlassen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen festzulegen. Nach den Zielen der DSGVO muss die Überwachung der Zwecke und Mittel der Datenverarbeitung unabhängig durchgeführt werden. Auch hier spiegelt sich die Bedeutung der funktionellen Unabhängigkeit des Datenschutzbeauftragten wider. Deshalb seien Unternehmen verpflichtet sicherzustellen, dass Datenschutzbeauftragte nicht mit Aufgaben und Pflichten betraut werden, die sie in ihrer Stellung als Datenschutzbeauftragten beeinträchtigen können. Ob das der Fall ist, müsse das nationale Gericht im Einzelfall unter Würdigung aller relevanten Umstände feststellen. Hierbei sei insbesondere die Organisationsstruktur des Unternehmens im Lichte aller anwendbaren Rechtsvorschriften, maßgeblich zu berücksichtigen. Einen konkreten und praktisch wirklich hilfreichen Fingerzeig gibt der EuGH hier also nicht.
Ausblick
Der EuGH akzentuiert mit diesen Entscheidungen eine Leitlinie, die den Datenschutzbeauftragten in besonders hoher Weise schützt. Nationale Regelungen, die andere Voraussetzungen setzen, jedoch im Einklang mit den DSGVO-Prinzipien sind, sind zulässig. Es bleibt jetzt abzuwarten, wie das BAG in den beiden Entscheidungen diese Leitlinien praktisch umsetzt.
Danke Gizem für deinen wertvollen Beitrag – hier und im Team!