LAG Hamm, Beschluss vom 08.04.2011 - 13 TaBV 92/10
Fundstelle openJur 2012, 79281
  • Rkr:
  • AmtlSlg:
  • PM:
Arbeitsrecht
Tenor

Die Beschwerde des Betriebsrats gegen den Beschluss des Arbeitsgerichts Minden vom 25.08.2010 - 2 BV 28/09 - wird zurückgewiesen.

Die Rechtsbeschwerde wird nicht zugelassen.

Gründe

A.

Die Beteiligten streiten darum, ob die Bestellung eines Mitarbeiters zum Datenschutzbeauftragten der Zustimmung des Betriebsrates bedarf und ob sie ggf. zu ersetzen ist.

Die antragstellende Arbeitgeberin befasst sich mit der zentralen Steuerung der Unternehmensgruppe M1. In ihrem Betrieb mit ca. 80 Mitarbeitern besteht ein Betriebsrat.

Mit Wirkung ab 01.11.2009 wurde der Arbeitnehmer D1, ein diplomierter Wirtschaftsinformatiker, befristet für zwei Jahre auf die Stelle "Projekt: Umsetzung definierter IT-Sicherheitsstandards ("IT-Security & Compliance") in der Gruppe" berufen. Ausweislich der innerbetrieblichen Stellenausschreibung (Bl. 23 d.A.) hatte er sich in dieser Funktion namentlich um die Entwicklung einer IT-Sicherheitsrichtlinie zu kümmern, die zwischenzeitlich in der Fassung vom 20.10.2010 vorliegt und auf deren Inhalt Bezug genommen wird (Bl. 281 ff. d.A.). Der Mitarbeiter wurde der Abteilung Informationstechnologie und dort dem Bereich MBV-Zentralbereich Finanzen, ZF 4 zugeordnet.

Parallel beabsichtigte die Arbeitgeberin, den Mitarbeiter ebenfalls befristet bis zum 30.09.2011 zum Datenschutzbeauftragten zu bestellen. Dies teilte sie dem Betriebsrat mit Schreiben vom 25.05.2009 mit.

Mit Schreiben vom 26.05.2009 verweigerte der Betriebsrat die Zustimmung zu dieser Maßnahme und führte zur Begründung u.a. aus:

"… hier noch mal der Kernpunkt unserer Bedenken:

Wir glauben, dass bezüglich der konkreten Aufgabenstellung (IT-Projektarbeit) der Inhaber der Stelle (in diesem Fall Herr D1) zwangsläufig in einen Interessenkonflikt geraten muss, weil Ziel-/Ergebniserreichungen eines Projektes oder einer Aufgabe für ihn immer eine Beurteilung aus zwei Richtungen bedeuten würde. Ob das objektiv gesehen wirklich möglich ist, stellen wir in Zweifel.

Es fehlt auch für uns in Fällen der Mitwirkungsrechte/-pflichten die neutrale dritte Instanz. Unterschiedliche Auslegungen von Datenschutz relevanten Themen können dann nicht unabhängig und objektiv diskutiert werden."

Wegen des weiteren Inhalts des Schreibens wird verwiesen auf die mit Antragsschriftsatz vom 04.09.2009 eingereichte Kopie (Bl. 10 f. d.A.).

Nachdem es in der Folgezeit zu keiner Verständigung der Betriebspartner kam, leitete die Arbeitgeberin das vorliegende Beschlussverfahren ein.

Sie hat die Auffassung vertreten, es handele sich schon um keine beteiligungspflichtige personelle Einzelmaßnahme, weil die Tätigkeit des Arbeitnehmers D1 als Datenschutzbeauftragter wöchentlich lediglich 1,5 Stunden ausmache.

In jedem Fall liege aber kein Zustimmungsverweigerungsgrund vor. Die für die Tätigkeit als Datenschutzbeauftragter erforderliche Zuverlässigkeit sei gegeben. Die Gefahr einer Interessenkollision bestehe nicht, weil der Mitarbeiter im Rahmen seines Arbeitsverhältnisses keinerlei datenschutzrelevante Exekutivbefugnisse besitze. So erfolge namentlich die Kontrolle der Vorgaben der IT-Sicherheitsrichtlinie durch die IT-Revision.

Die Arbeitgeberin hat beantragt,

festzustellen, dass der Betriebsrat kein Mitbestimmungsrecht bei der Besetzung der Stelle mit dem Datenschutzbeauftragten Herrn O1 D1 hat,

hilfsweise die Zustimmung des Antragsgegners zur Übertragung der Aufgaben als Datenschutzbeauftragter auf den Mitarbeiter Herrn O1 D1 zu ersetzen.

Der Betriebsrat hat beantragt,

die Anträge abzuweisen.

Er hat die Meinung vertreten, bei der Bestellung eines Arbeitnehmers zum Datenschutzbeauftragten handele es sich um eine zustimmungspflichtige personelle Einzelmaßnahme.

Im konkreten Fall liege ein Verstoß gegen § 4f Abs. 2 BDSG vor, weil dem Arbeitnehmer D1 die erforderliche Zuverlässigkeit fehle. Die Arbeit als Datenschutzbeauftragter führe nämlich zu einer Interessenkollision mit seiner arbeitnehmerseits geschuldeten Tätigkeit. Er sei nämlich eigenverantwortlich für die Umsetzung der IT-Sicherheitsstandards verantwortlich und als solcher direkt dem Leiter der EDV unterstellt. Dies stehe im Widerspruch zur unabhängigen Stellung eines Datenschutzbeauftragten.

Das Arbeitsgericht hat mit Beschluss vom 25.08.2010 den Hauptantrag abgewiesen, die hilfsweise beantragte Zustimmung aber ersetzt.

Zur Begründung hat es im Wesentlichen ausgeführt, es handele sich um eine beteiligungspflichtige Versetzung, weil die Betrauung eines Arbeitnehmers mit der Funktion eines Datenschutzbeauftragten zu einer rechtlich relevanten Änderung seines Arbeitsbereichs führe.

Die deshalb erforderliche Zustimmung des Betriebsrates sei zu ersetzen, weil kein Verstoß gegen § 4f Abs. 2 Satz 1 BDSG ersichtlich sei. Die erforderliche Zuverlässigkeit sei in der Person des Mitarbeiters D1 gewährleistet, weil keine rechtlich relevante Interessenkollision erkennbar sei, namentlich nicht die Gefahr einer Selbstkontrolle bestehe.

Gegen diese Entscheidung wendet sich der Betriebsrat mit seiner Beschwerde.

Er ist unverändert der Auffassung, es liege ein Interessenkonflikt vor, so dass der Mitarbeiter D1 die für die "neutrale" Position des Datenschutzbeauftragten erforderliche Zuverlässigkeit nicht aufweise. Anders als ein IT-Sicherheitsbeauftragter, der eine IT-Sicherheitsrichtlinie "nur" anwende, werde sie hier vom Arbeitnehmer D1 erarbeitet, wobei er direkt dem Leiter der EDV-Abteilung unterstellt sei und dessen Weisungen Folge zu leisten habe.

Mit der Funktion des Datenschutzbeauftragten sei es unvereinbar, wenn er nach der von ihm selbst erfolgten Festlegung von IT-Sicherheitsstandards diese anschließend selbst überprüfen müsse. Dies gelte entsprechend auch für die Tätigkeiten von Herrn W1 aus der IT-Revision und des IT-Koordinators B1.

Der Betriebsrat beantragt,

den Beschluss des Arbeitsgerichts Minden vom 25.08.2010 - 2 BV 28/09 - teilweise abzuändern und den Hilfsantrag der Arbeitgeberin abzuweisen.

Die Arbeitgeberin beantragt,

die Beschwerde zurückzuweisen.

Sie hält daran fest, eine beteiligungspflichtige Versetzung liege nicht vor.

Abgesehen davon weise der Arbeitnehmer D1 die nötige Zuverlässigkeit auf, um neben seiner Arbeitnehmertätigkeit als IT-Sicherheitsbeauftragter auch die Aufgaben des Datenschutzbeauftragten wahrzunehmen. Eine Interessenkollision bestehe nicht. Es sei unzutreffend, dass der Arbeitnehmer arbeitsvertraglich verpflichtet sei, die von ihm entwickelte IT-Sicherheitsrichtlinie, die keine personenbezogenen Daten enthalte, im Betrieb umzusetzen. In seiner Funktion obliege ihm auch nicht die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten; er trage auch keine Verantwortung für Anwendungen im IT-Bereich.

Was die Erstellung der IT-Sicherheitsrichtlinie angehe, sei dabei die Tätigkeit des Arbeitnehmers D1 rein konzeptioneller Natur. Es handele sich um eine richtungsweisende Empfehlung und Orientierungshilfe, wobei Herrn B1 (IT-Koordination), aber besonders Herrn W1 (IT-Revision) die vollständige eigenverantwortliche Kontrolle auf Gesetzeskonformität obliege.

Weil die IT-Sicherheitsrichtlinie gar keine personenbezogenen Daten enthalte, unterfalle sie auch gar keiner Prüfung durch den Datenschutzbeauftragten.

Wegen des weiteren Vorbringens der Beteiligten wird auf die gewechselten Schriftsätze nebst deren Anlagen ergänzend Bezug genommen.

B.

Die zulässige Beschwerde des Betriebsrates ist unbegründet.

Zu Recht und mit zutreffender Begründung ist das Arbeitsgericht nämlich zum Ergebnis gelangt, dass die Zustimmung des Betriebsrates zu der auf zwei Jahre befristeten Übertragung der Aufgaben eines Datenschutzbeauftragten auf den Mitarbeiter D1 zu ersetzen war (§ 99 Abs. 4 BetrVG).

I. Dabei ist vorauszuschicken, dass rechtskräftig feststeht, dass die genannte personelle Einzelmaßnahme in den Anwendungsbereich des § 99 BetrVG fällt, weil die Arbeitgeberin gegen die Abweisung des als Hauptantrag verfolgten Feststellungsbegehrens keine Beschwerde eingelegt hat.

II. Die somit erforderliche Zustimmung des Betriebsrates war zu ersetzen, weil die Voraussetzungen für eine auf § 99 Abs. 2 Nr. 1 BetrVG wegen eines Gesetzesverstoßes gestützte Verweigerung nicht gegeben sind. Die Bestimmung des § 4f Abs. 2 Satz 1 BDSG steht nämlich der Bestellung des Arbeitnehmers D1 zum betrieblichen Datenschutzbeauftragten nicht entgegen, weil er - neben der vorhandenen Fachkunde - auch die notwendige Zuverlässigkeit besitzt, um den gesetzlichen Anforderungen gerecht werden zu können.

1. Allerdings stellt sich bei Mitarbeitern, die nur "nebenamtlich" mit der Aufgabe eines Datenschutzbeauftragten betraut werden, im Einzelfall die Frage einer der gebotenen Zuverlässigkeit entgegenstehenden Interessenkollision, namentlich wenn sie, wie hier, auch arbeitsvertraglich mit Fragen der Informationstechnologie befasst sind (vgl. BAG, 22.03.1994 - 1 ABR 51/93 - AP BetrVG 1972 § 99 Versetzung Nr. 4). Andererseits bietet sich in solchen Konstellationen die Chance, jemanden mit ausgewiesener Fachkunde im Sinne des § 4f Abs. 2 Satz 1 BDSG zu gewinnen, der über Spezialkenntnisse verfügt und in einem für den gesetzlichen Datenschutz bedeutsamen Bereich beschäftigt ist.

Dementsprechend ist bei der Abgrenzung, wann die erforderliche Zuverlässigkeit wegen einer bestehenden Interessenkollision nicht mehr gegeben ist, entscheidend darauf abzustellen, ob die betroffene Person auch in ihrem Einsatzbereich als Arbeitnehmer damit betraut ist, für eine datenschutzkonforme Verarbeitung personenbezogener Daten, also Einzelangaben über persönliche und wirtschaftliche Verhältnisse der Beschäftigten (§ 3 Abs. 1 BDSG), zu sorgen. Denn nur in einer solchen Konstellation bestände die Gefahr, dass es bei einer parallelen Wahrnehmung der gesetzlichen Aufgaben als Datenschutzbeauftragter, nämlich auf die Einhaltung aller datenschutzrechtlichen Bestimmungen im Bereich personenbezogener Daten hinzuwirken (§ 4f Abs. 1 Satz 1 BDSG), im Ergebnis auf eine Kontrolle der eigenen Arbeit hinauslaufen würde (vgl. BAG, a.a.O.; BDSG/Simitis, 5. Aufl., § 4f Rn. 100 ff.; Däubler in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 4f Rn. 30 f.; Gola/Schomerus, BDSG, 10. Aufl., § 4f Rn. 26).

2. Diese Voraussetzungen sind hier aber in der Person des Mitarbeiters D1 nicht gegeben. Zwar wirkt er als diplomierter Wirtschaftsinformatiker im Bereich der Abteilung Informationstechnologie maßgeblich bei der Umsetzung definierter IT-Sicherheitsstandards mit und hat in dieser Funktion zwischenzeitlich eine 22seitige IT-Sicherheitsrichtlinie entwickelt. Mit dieser Richtlinie, ausschließlich gerichtet an IT-Verantwortliche, IT-Personal und andere Personen, die Verantwortung für Regelungsbereiche des Dokuments besitzen, wird aber "nur" ein angemessenes und einheitliches Mindestniveau an IT-Sicherheit und IT-Compliance angestrebt (siehe Seite 4 Ziffer 3 der Richtlinie). Sie enthält richtungsweisende Empfehlungen, an denen sich die Bereiche der IT-Koordination und IT-Revision zu orientieren haben, aber eben keine datenschutzrechtlich relevanten Bestimmungen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten, über die ein Datenschutzbeauftragter zu wachen hat.

Dementsprechend steht es dem datenschutzrechtlichen Gedanken einer qualifizierten internen Kontrolle nicht entgegen, wenn ein Arbeitnehmer wie D1, der mit der Abfassung von unterhalb der gesetzlichen Ebene angesiedelter IT-Standards in Form betrieblicher Richtlinien befasst ist, parallel auch darauf hinwirkt, dass im Unternehmen das BDSG und andere Vorschriften über den Datenschutz eingehalten werden und in dem Zusammenhang namentlich Prozesse automatisierter Datenverarbeitung personenbezogener Daten überwacht (vgl. § 4g Abs. 1 BDSG).

Deshalb ist die allein auf einen Interessenkonflikt gestützte Zustimmungsverweigerung des Betriebsrates vom 26.05.2009 nicht gerechtfertigt.

Gründe für die Zulassung der Rechtsbeschwerde sind nicht gegeben.