[pinguin]

Vorabhinweis:
Diese Entscheidung geht auf eine Vorlage an den EuGH zurück, (EuGH C-560/21, im Forum nicht separat thematisiert).

9 AZR 621/19
Datenschutzbeauftragter - Abberufung - Interessenkonflikt
https://www.bundesarbeitsgericht.de/entscheidung/9-azr-621-19/

37
    (a) Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“ (EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 20; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 22; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28). Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 25). Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 27; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35).

40
    (1) Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter. Auch die wirksame Beendigung des zugrundeliegenden Arbeitsverhältnisses kann ein wichtiger Grund für den Widerruf der Bestellung eines internen Beauftragten für den Datenschutz sein (vgl. zu § 4f Abs. 3 Satz 4 BDSG aF BAG 23. März 2011 – 10 AZR 562/09 – Rn. 15 mwN).

41
    (2) Ein die Abberufung rechtfertigender wichtiger Grund kann begründet sein, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht (mehr) besitzt. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann in Frage stehen, wenn Interessenkonflikte drohen. Eine Überschneidung von Interessenssphären kann die vom BDSG geforderte Zuverlässigkeit beeinträchtigen (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 24; 22. März 1994 – 1 ABR 51/93 – zu B IV der Gründe, BAGE 76, 184). Ein abberufungsrelevanter Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (so zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 44, 46; zuvor bereits Art.-29-Datenschutzgruppe WP 243 rev. 01 S. 19). In einem solchen Fall ist die unabhängige Überwachung dieser Zwecke und Mittel durch den Datenschutzbeauftragten gefährdet, weil dieser seine in seiner weiteren Funktion vorgenommenen Handlungen und damit sich selbst kontrollieren müsste.

45
    b) Sofern ein abberufungsrelevanter Interessenkonflikt besteht oder eine fehlende fachliche Eignung vorliegt, ist zu beachten, dass ein wichtiger Grund für eine Abberufung nur vorliegt, wenn kein milderes Mittel zur Verfügung steht. Als milderes Mittel gegenüber der Abberufung kann eine Umorganisation der sonstigen Aufgaben und Pflichten des Datenschutzbeauftragten in Betracht kommen. Dies entspricht der in Art. 38 Abs. 6 DSGVO zum Ausdruck kommenden Wertung. Diese Bestimmung sieht ausdrücklich vor, dass der Datenschutzbeauftragte mit der Wahrnehmung anderer Aufgaben und Pflichten als denen betraut werden kann, die ihm nach Art. 39 DSGVO als Datenschutzbeauftragter obliegen. Bei der Übertragung weiterer Tätigkeiten ist jedoch die funktionelle Unabhängigkeit des Datenschutzbeauftragten zu wahren, damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet wird. Der Verantwortliche oder sein Auftragsverarbeiter muss deshalb sicherstellen, dass diese anderen Aufgaben und Pflichten nicht zu einem „Interessenkonflikt“ führen. Der Datenschutzbeauftragte darf nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten. Dies hat zur Folge, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Denn dem Datenschutzbeauftragten obliegt gerade die unabhängige Überwachung dieser Zwecke und Mittel (vgl. EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 40 ff.). Deshalb ist der Verantwortliche – soweit es ihm kraft Direktionsrecht möglich und auch zumutbar ist – gehalten, vor der Abberufung des Datenschutzbeauftragten dessen sonstigen Aufgaben und Pflichten so zu anzupassen, dass dessen funktionelle Unabhängigkeit gewährleistet ist.

Ein Datenschutzbeauftragter, (m/w/d), hat nicht nur die volle Wirksamkeit der DSGVO sicherzustellen, sondern darf darüberhinaus von seinem Arbeitgeber nicht mit Aufgaben betraut werden, die mit der Tätigkeit als Datenschutzbeauftragter, (m/w/d), unvereinbar sind. 

Querverweis:
URTEIL DES GERICHTSHOFS (Sechste Kammer)
9. Februar 2023(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Erfordernis der funktionellen Unabhängigkeit – Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist“

In der Rechtssache C-560/21
https://curia.europa.eu/juris/document/document.jsf?text=&docid=270339&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=3533638

Aus diesen Gründen hat der Gerichtshof (Sechste Kammer) für Recht erkannt:

Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.

22      Mit Art. 38 Abs. 3 Satz 2 DSGVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 28).

28      Insoweit ist daran zu erinnern, dass die DSGVO, wie in Rn. 20 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.