➧ Wie war die Ausgangslage?
Der Mann hatte wahrlich viel um die Ohren. Er war als Datenschutzbeauftragter (DSB) für vier GmbHs bestellt, nämlich für die Konzernmutter X GmbH und für drei Tochtergesellschaften dieser Konzernmutter.
Dennoch war das nicht sein einziger Job. Vielmehr war er auch noch Vorsitzender des Betriebsrats einer der drei Tochtergesellschaften. Diese Funktion beanspruchte ihn so sehr, dass er dafür teilweise von der Arbeit freigestellt war. Somit war er im Ergebnis „nebenamtlicher DSB“.
➧ Was hatte die Datenschutzaufsicht daran zu kritisieren?
Eines sei gleich vorweg gesagt: An der Arbeit des Mannes als DSB hatte die zuständige Datenschutzaufsicht Thüringen nichts zu bekritteln. Seinen Job als DSB hatte er offensichtlich ordentlich gemacht.
Der Datenschutzaufsicht ging es um etwas anderes: Sie sah die Gefahr, dass seine beiden Funktionen als DSB und als Betriebsratsvorsitzender zu Interessenkollisionen führen könnten. Solche Interessenkollisionen verbietet die DSGVO (siehe Art. 38 Abs. 6 Satz 2 DSGVO).
➧ Was war der erste Schritt der Datenschutzaufsicht?
Im ersten Zugriff äußerte die Datenschutzaufsicht gegenüber der Konzernmutter schriftlich Bedenken dagegen, dass der DSB die erforderliche Zuverlässigkeit besitze. Wegen seiner Parallelfunktion als DSB der Konzernmutter einerseits und Betriebsratsvorsitzender in diesem Unternehmen andererseits könnten Interessenkollisionen auftreten. Die Konzernmutter erklärte daraufhin, dass sie dies nicht so sehe.
➧ Was folgte dann als zweiter Schritt?
Da die Konzernmutter den DSB nicht abberufen wollte, packte die Datenschutzaufsicht härter zu. Sie stellte schriftlich fest, der DSB verfüge nicht über die erforderliche Zuverlässigkeit. Daher sei seine Bestellung zum DSB von vornherein unwirksam gewesen. Das Unternehmen verfüge rechtlich gesehen nicht über einen betrieblichen DSB. Die Datenschutzaufsicht drohte damit, einen DSB von Amts wegen zu bestellen. Zugleich kündigte sie an, eine Geldbuße zu verhängen, weil das Unternehmen keinen DSB habe.
➧ Wie reagierte das Unternehmen?
Angesichts des erheblichen Drucks seitens der Datenschutzaufsicht teilte das Unternehmen dem DSB mit, dass seine Bestellung zum betrieblichen DSB nie wirksam erfolgt sei. Um eine Geldbuße zu vermeiden, habe man jetzt eine andere Person zum DSB bestellt. Vorsorglich erklärte das Unternehmen außerdem die Abberufung des DSB aus betriebsbedingten Gründen.
➧ Wie war die Reaktion des abberufenen DSB?
Der abberufene DSB akzeptierte das Vorgehen des Unternehmens nicht. Er klagte beim Arbeitsgericht auf Feststellung, dass seine Bestellung zum DSB nach wie vor wirksam sei. Außerdem klagte er gegen seine Abberufung. Beim Arbeitsgericht als erster Instanz war seiner Klage erfolgreich. Das Landesarbeitsgericht als zweite Instanz sah es genauso. Deshalb ging das Unternehmen in die dritte Instanz zum Bundesarbeitsgericht (BAG).
➧ Wie ging das BAG mit dem Fall um?
Da der Rechtsstreit schon eine ganze Weile dauerte, galt inzwischen (genau gesagt seit dem 25. Mai 2018) die DSGVO. Das BAG war sich nicht sicher, wann nach Auffassung der DSGVO ein Interessenkonflikt vorliegt, der eine Bestellung zum betrieblichen DSB ausschließt. Deshalb legte es dem Europäischen Gerichtshof (EuGH) zu diesem Thema einige rechtliche Fragen vor. Die Entscheidung über den Fall legte es so lange erst einmal auf Eis.
➧ Wie sah die Entscheidung des EuGH zur Interessenkollision aus?
Der EuGH äußerte sich relativ abstrakt. Es entschied, dass ein DSB dann keine zusätzliche andere Funktion ausüben dürfe, wenn er im Rahmen dieser anderen Funktion die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festlegt. Eine konkrete Entscheidung darüber, ob dies bei einem Betriebsratsvorsitzenden der Fall ist, traf der EuGH jedoch nicht. Vielmehr vertrat der EuGH die Auffassung, es sei Sache des BAG, dies im Detail zu prüfen.