BAG: Betrieblicher Datenschutzbeauftragter – Abberufung – Inkompatibilität mit Betriebsratsvorsitz
BAG, Urteil vom 6.6.2023 – 9 AZR 383/19
ECLI:DE:BAG:2023:060623.U.9AZR383.19.0
Volltext: BB-Online BBL2023-2355-2
Leitsatz
Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren. Der bei gleichzeitiger Wahrnehmung beider Funktionen bestehende Interessenkonflikt rechtfertigt es, die Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragten zu widerrufen.
Sachverhalt
Die Parteien streiten über die Wirksamkeit der Berufung des Klägers zum Beauftragten für Datenschutz bei der Beklagten sowie über den Widerruf der Bestellung und die Abberufung des Klägers.
Die in D ansässige Beklagte gehört dem X Konzern an. Sie ist eine 100%ige Tochtergesellschaft der aus einer AG umgewandelten X GmbH mit Sitz in E. Der Kläger steht unter Anrechnung von Zeiten vormaliger Betriebszugehörigkeit seit dem 1. November 1993 in einem Arbeitsverhältnis zu der Beklagten. Er ist Vorsitzender des bei dieser gebildeten Betriebsrats und zur Wahrnehmung seiner Aufgaben als Vorsitzender teilweise von der Arbeit freigestellt.
Der Kläger wurde mit Wirkung zum 1. Juni 2015 von der Beklagten, deren Muttergesellschaft sowie deren weiteren in Deutschland ansässigen Tochtergesellschaften X F GmbH und X I GmbH jeweils gesondert zum Datenschutzbeauftragten bestellt. Mit der parallelen Bestellung des Klägers verfolgten die Unternehmen das Ziel, einen konzerneinheitlichen Datenschutzstandard zu etablieren.
Mit Schreiben vom 4. September 2017 an die Muttergesellschaft der Beklagten, die damalige X AG, äußerte der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit unter Bezugnahme auf § 4f Abs. 2 BDSG in der bis zum 24. Mai 2018 gültigen Fassung (BDSG aF) Bedenken, dass der Kläger die zur Erfüllung seiner Aufgaben als betrieblicher Datenschutzbeauftragter erforderliche Zuverlässigkeit besitze. Wegen seines Amtes als Betriebsratsvorsitzender könnten Interessenkollisionen auftreten. In ihrer Stellungnahme vom 27. September 2017 antwortete die X GmbH unter Verweis auf die Entscheidung des Bundesarbeitsgerichts vom 23. März 2011 (- 10 AZR 562/09 -), beide Funktionen seien miteinander vereinbar.
Der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit stellte mit Schreiben vom 24. November 2017 fest, der Kläger verfüge nicht über die für die Bestellung zum betrieblichen Datenschutzbeauftragten erforderliche Zuverlässigkeit. Aufgrund der Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden sei der Kläger bereits nicht wirksam zum betrieblichen Datenschutzbeauftragten bestellt worden. Das Unternehmen verfüge deshalb seit dem 1. Juni 2015 über keinen betrieblichen Datenschutzbeauftragten. Die Muttergesellschaft der Beklagten erhielt Gelegenheit zur Stellungnahme bis zum 3. Januar 2018 mit dem Hinweis, dass nach Fristablauf ein betrieblicher Datenschutzbeauftragter von Amts wegen bestellt werde und die Verletzung der Pflicht, einen Beauftragten für den Datenschutz zu bestellen, mit einer Geldbuße bis zu 50.000,00 Euro geahndet werden könne.
Die Beklagte und die weiteren in Deutschland ansässigen Konzernunternehmen teilten dem Kläger daraufhin in eigenständigen Schreiben vom 1. Dezember 2017 mit, dass eine wirksame Bestellung als betrieblicher Datenschutzbeauftragter nicht erfolgt sei und nunmehr zur Vermeidung eines Bußgeldes ein geeigneter Datenschutzbeauftragter bestellt werde. Hilfsweise widerriefen sie jeweils mit Schreiben vom 1. Dezember 2017 die Bestellung des Klägers zum Datenschutzbeauftragten mit sofortiger Wirkung. Vorsorglich beriefen sie den Kläger nach Inkrafttreten der Datenschutz-Grundverordnung mit getrennten Schreiben vom 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 DSGVO unter Hinweis auf betriebsbedingte Gründe als Datenschutzbeauftragten ab.
Der Kläger hat die Auffassung vertreten, die Beklagte habe ihn am 16. Juni 2015 wirksam für deren Betrieb in D zum Datenschutzbeauftragten bestellt. Seine Abberufung durch die Schreiben vom 1. Dezember 2017 und vom 25. Mai 2018 sei nicht wirksam.
Der Kläger hat beantragt
1. festzustellen, dass seine Rechtsstellung als Beauftragter für Datenschutz der Beklagten nicht durch den Widerruf der Beklagten vom 1. Dezember 2017 beendet worden ist;
2. festzustellen, dass seine Rechtsstellung als Beauftragter für den Datenschutz der Beklagten auch nicht durch den Widerruf der Beklagte vom 25. Mai 2018 beendet worden ist.
Die Beklagte hat Klageabweisung beantragt. Sie hat die Auffassung vertreten, aufgrund einer Inkompatibilität mit dem Amt eines Betriebsratsvorsitzenden sei der Kläger nicht wirksam zum betrieblichen Beauftragten für Datenschutz bestellt worden. Jedenfalls sei die Bestellung wirksam zum 1. Dezember 2017, hilfsweise zum 25. Mai 2018 beendet worden. Die Ämterinkompatibilität stelle einen wichtigen Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG aF bzw. § 38 Abs. 2, § 6 Abs. 4 Satz 1 BDSG iVm. § 626 BGB dar.
Das Arbeitsgericht hat der Klage stattgegeben. Das Landesarbeitsgericht hat die Berufung der Beklagten zurückgewiesen. Mit der Revision verfolgt die Beklagte ihr Klageabweisungsbegehren weiter. Der Senat hat den Rechtsstreit mit Beschluss vom 27. April 2021 ausgesetzt und den Gerichtshof der Europäischen Union um Vorabentscheidung ersucht, ob die Regelung in § 6 Abs. 4 Satz 1 BDSG, der zufolge die Abberufung eines Datenschutzbeauftragten das Vorliegen eines wichtigen Grundes iSv. § 626 BGB voraussetzt, mit Art. 38 Abs. 3 Satz 2 DSGVO im Einklang steht, und ob ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorliegt, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat (BAG 27. April 2021 – 9 AZR 383/19 (A) – BAGE 174, 358). Mit Urteil vom 9. Februar 2023 hat der Gerichtshof über das Vorabentscheidungsersuchen entschieden (EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden]).
Aus den Gründen
11 Die Revision ist begründet. Das Landesarbeitsgericht hat die Berufung der Beklagten gegen das klagestattgebende Urteil zu Unrecht zurückgewiesen. Zwar wurde der Kläger wirksam zum Datenschutzbeauftragten der Beklagten bestellt. Die Beklagte hat die Bestellung jedoch mit Schreiben vom 1. Dezember 2017 wirksam widerrufen. Der als unechter Hilfsantrag auszulegende Antrag zu 2. ist dem Senat damit nicht zur Entscheidung angefallen.
12 I. Entgegen der Ansicht der Revision hat die Beklagte den Kläger mit Schreiben vom 16. Juni 2015 in der von § 4f Abs. 1 Satz 1 BDSG aF gebotenen Form (vgl. BAG 27. Juli 2017 – 2 AZR 812/16 – Rn. 19, BAGE 160, 1) zum Beauftragten für den Datenschutz bestellt. Für die Wirksamkeit der Bestellung des Klägers ist es irrelevant, ob das Amt des Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden kompatibel ist. Deshalb kann diese Frage, die das Landesarbeitsgericht unter Verweis auf das Urteil des Bundesarbeitsgerichts vom 23. März 2011 (- 10 AZR 562/09 -) verneint hat, an dieser Stelle offenbleiben.
13 1. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann zwar in Frage stehen, wenn Interessenkonflikte drohen. Eine Überschneidung von Interessenssphären kann die von § 4f Abs. 2 Satz 1 BDSG aF geforderte Zuverlässigkeit beeinträchtigen (BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 25 mwN, BAGE 169, 59). Aus der fehlenden Zuverlässigkeit einer zum Beauftragten für den Datenschutz bestellten Person iSv. § 4f Abs. 2 Satz 1 BDSG aF folgt aber nach dem BDSG aF nicht die Nichtigkeit der Bestellung. Diese Rechtsfolge ist im Gesetz nicht vorgesehen und widerspräche auch dessen Systematik, weil anderenfalls der in § 4f Abs. 3 Satz 4 BDSG aF vorgesehene Widerruf der Bestellung sowie das Recht der Aufsichtsbehörde, eine Abberufung wegen fehlender Zuverlässigkeit zu verlangen (§ 38 Abs. 5 Satz 3 BDSG aF), im Wesentlichen ins Leere liefen (BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 26 mwN, aaO).
14 2. Ob ausnahmsweise etwas anderes gelten kann, wenn die Bestellung eines Beauftragten für den Datenschutz an einem besonders schwerwiegenden und offenkundigen Fehler leidet (vgl. BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 27, BAGE 169, 59), bedarf an dieser Stelle keiner Entscheidung. Ein solcher Fall liegt hier nicht vor.
15 II. Der Widerruf der Bestellung des Klägers zum Beauftragten für den Datenschutz bei der Beklagten vom 1. Dezember 2017 ist wirksam, weil hierfür ein wichtiger Grund iSv. § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB gegeben ist. Entgegen der Auffassung des Landesarbeitsgerichts besteht ein unauflösbarer Interessenkonflikt, wenn der Datenschutzbeauftragte zugleich Betriebsratsvorsitzender der verantwortlichen Stelle ist. Dies macht es der Beklagten unzumutbar, den Kläger weiterhin als betrieblichen Datenschutzbeauftragten einzusetzen.
16 1. Der Widerruf der Bestellung zum Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB setzt das Vorliegen von Tatsachen voraus, die es dem Verantwortlichen unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragspartner unzumutbar machen, die betreffende Person als betrieblichen Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen.
17 a) Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 15 mwN). Ein wichtiger Grund für den Widerruf ist auch dann gegeben, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die erforderliche Fachkunde oder Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF für die Aufgabenerfüllung nicht (mehr) besitzt.
18 b) Eine Überschneidung von Interessenssphären kann der vom BDSG aF geforderten Zuverlässigkeit entgegenstehen (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 24; 22. März 1994 – 1 ABR 51/93 – zu B IV der Gründe, BAGE 76, 184). Dabei rechtfertigt nicht jeder Interessenkonflikt den Widerruf der Bestellung des Datenschutzbeauftragten. Erforderlich ist ein Grad, der die Unabhängigkeit des Datenschutzbeauftragten in Frage stellt.
19 aa) Da das Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragten gestattet, der als Arbeitnehmer beim verantwortlichen Arbeitgeber angestellt ist, kann nicht jede Berührung der verschiedenen Aufgaben die Zuverlässigkeit in Frage stellen. Der betriebliche Datenschutzbeauftragte hat die Einhaltung der Datenschutzvorschriften beim Verantwortlichen und damit das Arbeitsumfeld jedes dort beschäftigten Arbeitnehmers zu überwachen. Damit muss er in letzter Konsequenz auch sich selbst einer Überprüfung unterziehen. Entsprechendes gilt für die Funktion des betrieblichen Datenschutzbeauftragten, da dieser nicht nur Überwachungs- sondern auch Beratungsfunktionen wahrzunehmen und damit das Ergebnis seiner eigenen Beratung zu reflektieren hat.
20 bb) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union zur DSGVO muss gewährleistet sein, dass ein Datenschutzbeauftragter unabhängig davon, ob es sich bei ihm um einen Beschäftigten des Verantwortlichen handelt oder nicht, seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 20; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Nur wenn diese funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt bleibt, kann die Wirksamkeit der datenschutzrechtlichen Bestimmungen gewährleistet werden (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 22; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28).
21 cc) Dieser Maßstab für einen wichtigen Grund besteht nicht erst ab der durch Inkrafttreten der DSGVO vorgenommenen Novellierung des Datenschutzrechts, sondern galt bereits nach dem BDSG aF. Nach dem gesetzgeberischen Willen hat die Ablösung von § 4f Abs. 3 Satz 4 BDSG aF durch § 6 Abs. 4 BDSG den Maßstab, anhand dessen eine relevante Interessenkollision zu beurteilen ist, unberührt gelassen (BT-Drs. 18/11325 S. 82: „Absatz 4 entspricht der bisherigen Regelung des § 4f Absatz 3 Satz 4 bis 6 BDSG a.F.“).
22 c) Ein Grund für den Widerruf der Funktion des Datenschutzbeauftragten ist danach in der Regel gegeben, wenn der Arbeitnehmer bei der Erfüllung seiner weiteren Aufgaben und Pflichten gestaltenden Einfluss auf die Datenverarbeitung in der verantwortlichen Stelle hat. In einem solchen Fall kann die unabhängige Erfüllung der Aufgaben eines Datenschutzbeauftragten gefährdet sein.
23 aa) Nach der Rechtsprechung des Gerichtshofs zu Art. 38 Abs. 6 Satz 2 DSGVO darf der zum Datenschutzbeauftragten bestellte Arbeitnehmer innerhalb der verantwortlichen Stelle keine Position bekleiden, die eine Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (vgl. EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 44, 46; zuvor bereits Art.-29-Datenschutzgruppe WP 243 rev. 01 S. 19). Das Recht des Verantwortlichen, die Bestellung des Datenschutzbeauftragten im Fall eines gestaltenden Einflusses auf die Datenverarbeitung zu widerrufen, wahrt dessen funktionelle Unabhängigkeit und gewährleistet damit die Wirksamkeit der datenschutzrechtlichen Bestimmungen. Ob diese Voraussetzungen gegeben sind, ist im Einzelfall unter Berücksichtigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen, festzustellen (vgl. EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 45 f.).
24 2. Das Amt des Klägers als Betriebsratsvorsitzender steht danach einer weiteren Wahrnehmung seiner Aufgaben als Datenschutzbeauftragter entgegen. Die gesetzlichen Aufgaben beider Funktionen lassen sich nicht ohne Interessenkonflikt im Hinblick auf den Datenschutz ausüben, der die von § 4f Abs. 2 Satz 1 BDSG aF vorausgesetzte funktionale Zuverlässigkeit aufhebt. Dies rechtfertigt den Widerruf der Bestellung zum Beauftragten für Datenschutz.
25 a) Der Beauftragte für den Datenschutz hat gemäß § 4g Abs. 1 Satz 1 BDSG aF auf die Einhaltung des BDSG aF und anderer Vorschriften über den Datenschutz hinzuwirken. Dabei hat er insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen sowie die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (§ 4g Abs. 1 Satz 4 BDSG aF). Diese Aufgaben decken sich im Wesentlichen mit den Aufgaben des Datenschutzbeauftragten aus Art. 39 DSGVO. Danach obliegen dem Datenschutzbeauftragten die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsbearbeiters und der Beschäftigten, die die Verarbeitung hinsichtlich ihrer Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten durchführen. Er hat die Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern zu überprüfen. Zudem ist er für die Beratung – auf Anfrage – im Zusammenhang mit der Datenschutzfolgenabschätzung und die Überwachung ihrer Durchführung gemäß Art. 35 DSGVO zuständig.
26 b) Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden im Hinblick auf datenschutzrechtliche Bestimmungen nicht zu vereinbaren. Ob bereits zwischen Betriebsratsmandat und dem Amt des Datenschutzbeauftragten eine Inkompatibilität besteht, die zu einem zum Widerruf der Bestellung berechtigenden Interessenkonflikt führt, muss der Senat nicht entscheiden. Jedenfalls ist eine funktionale Unvereinbarkeit mit den Aufgaben des Betriebsratsvorsitzenden gegeben, der im Rahmen seiner gesetzlichen Aufgaben nicht nur an der Entscheidung des Gremiums mitwirkt, sondern das Organ im Rahmen der gefassten Beschlüsse nach außen vertritt.
27 aa) Der Betriebsrat legt als Gremium Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Er entscheidet durch Beschluss darüber, unter welchen konkreten Umständen er welche personenbezogenen Daten in Ausübung der ihm durch das Betriebsverfassungsgesetz zugewiesenen Aufgaben erhebt und auf welche Weise er diese anschließend verarbeitet.
28 (1) Das Betriebsverfassungsgesetz räumt dem Betriebsrat in bestimmten sozialen, personellen und wirtschaftlichen Angelegenheiten Beteiligungs- und Mitwirkungsrechte ein, die von der bloßen Anhörung bzw. Unterrichtung (zB § 80 Abs. 2 Satz 1, § 102 Abs. 1 BetrVG, § 17 Abs. 2 Satz 1 KSchG) über die Beratung (zB § 90 Abs. 2 Satz 1, § 92 Abs. 1 Satz 2 BetrVG, § 17 Abs. 2 Satz 2 KSchG) bis hin zum Zustimmungsverweigerungsrecht (§ 99 BetrVG) und schließlich zum Mitbestimmungsrecht reichen, bei dem der Arbeitgeber die positive Zustimmung des Betriebsrats benötigt (zB §§ 87, 94, 112 Abs. 4 BetrVG). In Erfüllung dieser Aufgaben verarbeitet der Betriebsrat personenbezogene Daten. Diese erhält er insbesondere bei der Wahrnehmung seiner betriebsverfassungsrechtlichen Beteiligungs- und Mitbestimmungsrechte einerseits vom Arbeitgeber und andererseits von Beschäftigten selbst, etwa im Rahmen der Sprechstunde (§ 39 BetrVG), einer Beschwerde (§ 85 Abs. 1 BetrVG), des Vorschlagsrechts der Arbeitnehmer (§ 86a BetrVG), des Meinungsaustauschs im Rahmen von Betriebs- oder Abteilungsversammlungen (§ 43 Abs. 3 Satz 1, § 45 BetrVG) oder der Anhörung eines von einer personellen Maßnahme betroffenen Arbeitnehmers (§ 102 Abs. 2 Satz 4 BetrVG, vgl. Lembke FS Schmidt 2021 S. 277, 282). Des Weiteren kann der Betriebsrat mit dem Arbeitgeber Betriebsvereinbarungen mit unmittelbarer und zwingender Wirkung für die betriebsangehörigen Arbeitnehmer schließen (§ 77 Abs. 4 BetrVG). Auch Regelungen in Betriebsvereinbarungen, etwa zu technischen Überwachungseinrichtungen iSv. § 87 Abs. 1 Nr. 6 BetrVG (vgl. Lang NZA 2023, 269, 272 f.), können die Verarbeitung personenbezogener Daten zum Gegenstand haben.
29 (2) Die Zwecke der Datenverarbeitung des Betriebsrats sind zwar durch die Zuweisung von Aufgaben im Betriebsverfassungsgesetz ihrem äußeren Rahmen nach vorbestimmt. Der Betriebsrat kann also die Mitteilung geschützter Daten nicht unabhängig von seinen gesetzlichen Aufgaben verlangen. Beschäftigtendaten dürfen nur zu Zwecken genutzt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht und die zur Erfüllung betriebsverfassungsrechtlicher Aufgaben erforderlich sind. Im konkreten Fall legt der Betriebsrat jedoch zur Wahrnehmung seiner gesetzlichen Aufgaben in eigener Verantwortung fest, welche mitarbeiterbezogenen Informationen verlangt und wie die übermittelten Daten – tatsächlich – verarbeitet werden sollen. Dies eröffnet ihm im Hinblick auf die Verwendung der Daten einen erheblichen Entscheidungsspielraum (vgl. Maschmann FS Schmidt 2021 S. 353, 356; Schulz ZESAR 2019, 323, 325; Kurzböck/Weinbeck BB 2020, 500, 501).
30 (a) Nach § 80 Abs. 2 Satz 1 BetrVG hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Voraussetzung für einen Auskunftsanspruch des Betriebsrats ist zum einen, dass überhaupt eine Aufgabe des Betriebsrats gegeben ist, und zum anderen, dass die begehrte Information zur Wahrnehmung der Aufgabe im Einzelfall erforderlich ist (BAG 9. April 2019 – 1 ABR 51/17 – Rn. 12, BAGE 166, 269). Spiegelbildlich darf auch der Arbeitgeber dem Betriebsrat Beschäftigtendaten grundsätzlich nur für erforderliche Betriebsratsaufgaben zur Verfügung stellen. Bei der Weitergabe sensitiver Daten an den Betriebsrat sind besondere Schutzvorkehrungen zu treffen. Aufgrund der Unabhängigkeit des Betriebsrats als Strukturprinzip der Betriebsverfassung hat es der Arbeitgeber aber nicht in der Hand, angemessene und spezifische Schutzmaßnahmen zu treffen oder dem Betriebsrat hierzu Vorgaben zu machen. Unabhängig davon, ob der Betriebsrat Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371 f.; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566 f.; Maschmann NZA 2020, 1207, 1209 ff.; Wybitul NZA 2017, 413 f.) ist, trifft ihn insoweit diese spezifische Schutzpflicht (BAG 9. April 2019 – 1 ABR 51/17 – Rn. 47, aaO).
31 (b) Es kann dahinstehen, ob der Datenschutzbeauftragte unter dem BDSG aF Beaufsichtigungs- und Kontrollbefugnisse auch gegenüber dem Betriebsrat auszuüben hatte (so Kleinebrink DB 2018, 2566, 2570 f.; Lücke NZA 2019, 658, 667), oder ob dem die Unabhängigkeit des Betriebsrats entgegenstand (so BAG 11. November 1997 – 1 ABR 21/97 – zu B III 2 c und c bb der Gründe, BAGE 87, 64). Jedenfalls oblag es ihm nach der damaligen Gesetzesfassung, die Datenschutzkonformität der auf Anforderung des Betriebsrats durch den Arbeitgeber vorgenommenen Übermittlung personenbezogener – ggf. auch sensitiver – Mitarbeiterdaten zu überprüfen. Bei der Übermittlung sensitiver Daten hatte er dementsprechend in eigener Sache zu überwachen, ob das Schutzkonzept des Betriebsrats datenschutzrechtlichen Anforderungen entspricht und der Arbeitgeber die Daten an den Betriebsrat übermitteln darf.
32 (3) Gegenstand der Beaufsichtigungs- und Kontrollbefugnis des Datenschutzbeauftragten ist außerdem die Einhaltung datenschutzrechtlicher Bestimmungen bei der Durchführung von Betriebsvereinbarungen, etwa zu § 87 Abs. 1 Nr. 6 BetrVG, an dessen Zustandekommen er selbst mitgewirkt hat.
33 bb) Der Betriebsrat bestimmt auch über die Mittel der Verarbeitung personenbezogener Daten. Dazu zählen die technischen Methoden der Verarbeitung personenbezogener Daten und die Art und Weise, wie ein Ergebnis oder Ziel erreicht wird (Art.-29-Datenschutzgruppe WP 169 S. 17).
34 (1) Die festzulegenden Mittel betreffen in erster Linie die Verarbeitung der Daten. Der Betriebsrat entscheidet dazu in technischer Hinsicht über die Organisation seiner Abläufe und befindet darüber, ob er konkrete Daten in analoger oder digitaler Form speichert, welche Software er konkret verwendet, welche Benutzerrechte er einräumt und welche Speicherfristen er setzt (Brink/Joos NZA 2019, 1395, 1397; Kurzböck/Weinbeck BB 2020, 500, 501; Schulz ZESAR 2019, 323, 325).
35 (2) Dem steht nicht entgegen, dass der Betriebsrat bei der Datenverarbeitung Sachmittel, insbesondere eine IT- und Kommunikationsinfrastruktur, einsetzt, die der Arbeitgeber ihm nach § 40 Abs. 2 BetrVG zur Verfügung gestellt hat. Unabhängig davon, dass es für die Mittel der Verarbeitung nicht entscheidend darauf ankommt, welche – vom Arbeitgeber zur Verfügung gestellten – IT-Systeme oder Hardware der Betriebsrat zur Datenverarbeitung nutzt, obliegt die Prüfung, ob ein Sachmittel zur Erledigung von Betriebsratsaufgaben erforderlich und vom Arbeitgeber zur Verfügung zu stellen ist, dem Betriebsrat. Er hat bei seiner Entscheidung lediglich die Interessen der Belegschaft an einer sachgerechten Ausübung des Betriebsratsamts und berechtigte Interessen des Arbeitgebers, auch soweit sie auf eine Begrenzung der Kostentragungspflicht gerichtet sind, gegeneinander abzuwägen (BAG 20. April 2016 – 7 ABR 50/14 – Rn. 16 mwN, BAGE 155, 54).
36 c) Ein als Betriebsratsvorsitzender beteiligter Datenschutzbeauftragter, der seine Überwachungsaufgabe im Spannungsfeld seiner funktionalen Interessen und Aufgaben erfüllen muss, besitzt nicht die für eine Gewährleistung des gesetzlichen Datenschutzes erforderliche Unabhängigkeit. Als Beauftragter für den Datenschutz ist der Vorsitzende des Betriebsrats verpflichtet zu prüfen, ob die von ihm nach außen vertretene Beschlusslage des Betriebsrats mit den Bestimmungen des Datenschutzes im Einklang steht.
37 aa) In seiner betriebsverfassungsrechtlichen Funktion ist er zwar in erster Linie Betriebsratsmitglied wie die anderen Gremiumsmitglieder. Er übt die gesetzlich zugewiesenen Befugnisse und Pflichten des Betriebsrats weder als Bevollmächtigter noch als gesetzlicher Vertreter an dessen Stelle aus (Fitting BetrVG 31. Aufl. § 26 Rn. 21 f.). Gemäß § 26 Abs. 2 Satz 1 BetrVG vertritt der Betriebsratsvorsitzende den Betriebsrat im Rahmen der von ihm gefassten Beschlüsse. Zudem ist er zur Entgegennahme von dem Betriebsrat gegenüber abzugebenden Erklärungen berechtigt (§ 26 Abs. 2 Satz 2 BetrVG). Damit fungiert er nicht als Vertreter im Willen, sondern als Vertreter in der Erklärung (BAG 8. Februar 2022 – 1 AZR 233/21 – Rn. 27; 19. März 2003 – 7 ABR 15/02 – zu II 2 b der Gründe, BAGE 105, 311).
38 bb) Diese aufgabenbezogene Kommunikation des Betriebsratsvorsitzenden stellt die funktionelle Unabhängigkeit als Datenschutzbeauftragter und damit die Gewährleistung des Datenschutzes in Frage. Indem der Betriebsratsvorsitzende im Rahmen und aufgrund der Beschlüsse des Betriebsrats vom Arbeitgeber die Übermittlung personenbezogener Arbeitnehmerdaten verlangt und gegebenenfalls die Schutzvorkehrungen darlegt, die der Betriebsrat zur Wahrung berechtigter Interessen der betroffenen Arbeitnehmer beschlossen hat, vertritt er nach außen die Interessen des Betriebsrats. Bei gleichzeitiger Wahrnehmung der Funktion eines Datenschutzbeauftragten müsste er in identischer Angelegenheit – neutral und allein dem Datenschutz verpflichtet – überprüfen, ob Auskunftsersuchen und beschlossene Schutzvorkehrungen datenschutzrechtlichen Vorgaben genügen, und den Arbeitgeber insoweit uU datenschutzrechtlich beraten. Die dazu erforderliche Gewähr für Neutralität und Distanz zu dem Auskunftsverlangen des Betriebsrats weist er – strukturell bedingt – nicht auf, weil er einerseits durch den Beschluss des Betriebsrats gebunden und andererseits dem zwingenden Datenschutz verpflichtet ist. Dieser Interessenkonflikt beeinträchtigt die funktionelle Unabhängigkeit des Datenschutzbeauftragten und gefährdet die Wirksamkeit datenschutzrechtlicher Regelungen, sodass er den Arbeitgeber zum Widerruf der Bestellung berechtigt.
39 III. Der gegen die Abberufung als Datenschutzbeauftragter vom 25. Mai 2018 gerichtete Klageantrag zu 2. fällt dem Senat nicht zur Entscheidung an. Hierbei handelt es sich um einen unechten Hilfsantrag für den Fall, dass der vorrangige Widerruf der Bestellung zum Datenschutzbeauftragten vom 1. Dezember 2017 für unwirksam erachtet werden sollte.
40 IV. Als unterlegene Partei hat der Kläger die Kosten des Rechtsstreits zu tragen (§ 91 Abs. 1 ZPO).