Darf ein Mitglied einer Mitarbeitervertretung betriebliche*r Datenschutzbeauftragte*r sein? Das ist im kirchlichen Datenschutzrecht noch unklarer als im staatlichen Recht. Dort herrscht immerhin Klarheit, was den Vorsitz angeht.

Das kirchliche Datenschutzrecht – sowohl das KDG wie das DSG-EKD – folgt zwar in der Regel fast wörtlich der DSGVO. Ausgerechnet bei der Frage, welche Personengruppen als betriebliche Datenschutzbeauftragte in Frage kommen, gibt es aber deutliche Diskrepanzen. Wie soll man also vorgehen, wenn die betriebliche Datenschutzbeauftragte für die MAV kandidiert oder ein MAV-Mitglied zum örtlichen Beauftragten bestellt werden soll?
Die Rechtslage nach DSGVO, KDG und DSG-EKD
DSGVO: Verbot von Interessenkonflikten
Die DSGVO regelt zunächst positiv, dass andere Aufgaben zulässig sein, darüber hinaus aber nur allgemein, dass es keine Interessenkonflikte geben darf:
»Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.« (Art. 38 Abs. 6 DSGVO)
Seit 2023 ist durch ein Urteil des Bundesarbeitsgerichts (9 AZR 621/19 vom 6. Juni 2023) klar, dass der Vorsitz des Betriebsrats unvereinbar mit der Aufgabe von betrieblichen Datenschutzbeauftragten ist. Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können laut dem Gericht »typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden«. Der Betriebsrat entscheide durch Gremienbeschluss, wie er im Rahmen des Betriebsverfassungsgesetzes personenbezogene Daten verarbeitet; damit lege er Zwecke und Mittel der Verarbeitung personenbezogener Daten fest – mithin hat er nach Ansicht des BAG eine verantwortlichenähnliche Stellung, so dass der Interessenkonflikt entsteht.
Ob dieselbe Argumentation auch für ein einfaches Betriebsratsmitglied greift, hat das BAG ausdrücklich nicht entschieden – es liegt aber nahe, weil das Gremium als ganzes, nicht nur sein Vorsitz, über Zwecke und Mittel entscheidet. Ob eine Entscheidung aus der Zeit vor der DSGVO herangezogen werden kann, in der der BAG die Widerrufung einer Bestellung als betriebliche Datenschutzbeauftragte nach einer Wahl in den Betriebsrat nicht billigte (Urteil 10 AZR 562/09 vom 23. März 2011), ist ungewiss.
KDG: Verbot von Interessenkonflikten und konkrete Ausschlüsse
Im KDG wird an zwei Stellen geregelt, was sich nicht mit dem Amt von betrieblichen Datenschutzbeauftragten verträgt. Parallel zur DSGVO wird zum einen allgemein von Interessenkonflikten gesprochen:
»Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass die Wahrnehmung anderer Aufgaben und Pflichten durch den betrieblichen Datenschutzbeauftragten nicht zu einem Interessenkonflikt führt.« (§ 37 Abs. 5 KDG)
Davor wird aber noch konkreter geregelt, was bei der Bestellung zu beachten ist:
»Zum betrieblichen Datenschutzbeauftragten soll derjenige nicht benannt werden, der mit der Leitung der Datenverarbeitung beauftragt ist oder dem die Leitung der kirchlichen Stelle obliegt. Andere Aufgaben und Pflichten des Benannten dürfen im Übrigen nicht so umfangreich sein, dass der betriebliche Datenschutzbeauftragte seinen Aufgaben nach diesem Gesetz nicht umgehend nachkommen kann.« (§ 36 Abs. 7 KDG)
Betrachtet man § 37 isoliert, liegt es nahe, die BAG-Rechtsprechung eins zu eins heranzuziehen: Der nahezu gleiche Wortlaut dürfte auch zur selben Auslegung führen. Zusätzlich muss aber die Regelung in § 36 noch berücksichtigt werden: Sowohl bei der Leitung einer kirchlichen Stelle als auch der IT-Leitung dürfte auch ohne diese Bestimmung ein Interessenkonflikt offensichtlich sein. Umso mehr überrascht es, dass die Regelung nur in Form einer Soll-Vorschrift formuliert ist.
Naturgemäß bedeutet die Verwendung von »soll«, dass es auch anders geht. »Soll heißt muss wenn kann« ist eine Faustformel zur Erklärung, das Handbuch der Rechtsförmlichkeit spricht von einem eingeschränkten Ermessensspielraum: »Das bedeutet, dass die Behörde in der Regel die in der Rechtsnorm bezeichnete Handlung vornehmen oder unterlassen muss« – aber eben nur in der Regel. Wenn aber schon bei offensichtlichen Interessenkonflikten wie bei der Leitung der Stelle Ausnahmen möglich sind – müssen dann nicht erst recht Ausnahmen bei Mitgliedern von Mitarbeitervertretungen möglich sein?
Dazu kommt, dass im kanonischen Recht ausdrücklich die Auslegungsregel gilt, dass Ausnahmen und Einschränkungen von Rechten enger Auslegung unterliegen (c. 18 CIC). Wenn also ausdrücklich zwei Funktionen normiert werden, bei denen eine grundsätzliche Inkompatibilität benannt wird, dann liegt es nahe, dass die Inkompatibilität eng auf diese Funktionen hin ausgelegt werden muss – freilich ergibt es dann wenig Sinn, noch einmal allgemein von auszuschließenden Interessenkonflikten zu handeln, weil die allgemeinere Regel ins Leere liefe.
Die Frage ist, von welcher Richtung aus und mit welchem Schwerpunkt die Normen ausgelegt werden: Schränkt die Regelung von § 36 Abs. 7 KDG die Annahme von Interessenkonflikte für die benannten Funktionen durch die Soll-Regelung ein, oder will der ausdrückliche grundsätzliche Ausschluss betonen, dass bei diesen Funktionen der Interessenkonflikt besonders nahe liegt?
Plausibel scheint, dass das KDG ein Regel-Ausnahme-Verhältnis aufstellt: Bei den benannten Funktionen liegt ein Interessenkonflikt in der Regel vor, bei anderen Funktionen muss der Interessenkonflikt jeweils begründet werden. Für MAV-Mitglieder gilt ein Benachteiligungsverbot (§ 18 Abs. 1 MAVO) – es müsste also gut begründet werden, warum man MAV-Mitgliedern gegebenenfalls die berufliche Weiterentwicklung oder die Ausübung ihrer Aufgabe verwehrt, wenn man sie als betriebliche Datenschutzbeauftragte komplett ausschließt.
Rechtsprechung zur Auslegung von §§ 36 und 37 KDG gibt es soweit ersichtlich nicht.
DSG-EKD
Im evangelischen Datenschutzrecht werden betriebliche Datenschutzbeauftragte »örtlich Beauftragte für den Datenschutz« benannt – das ist aber eine rein terminologische Unterscheidung, Aufgaben und Stellung sind grundsätzlich die gleichen.
Bei den Inkompatibilitäten entfernt sich das DSG-EKD am weitesten von der DSGVO und dem KDG, ein allgemeiner Hinweis auf Interessenkonflikte fehlt:
»Zu örtlich Beauftragten sollen diejenigen nicht bestellt werden, die mit der Leitung der Datenverarbeitung beauftragt sind oder denen die Leitung der kirchlichen Stelle obliegt.« (§ 36 Abs. 4 DSG-EKD – auch nach der DSG-EKD-Novelle unverändert)
Damit sind die einzigen Ausschlüsse in Form einer Soll-Regelung benannt – der Gesetzgeber scheint also nur bei diesen beiden benannten Funktionen eine Inkompatibilität anzunehmen. Der Wortlaut ist damit klar: Es gibt im evangelischen Datenschutzrecht keinen Ausschluss von MAV-Mitgliedern als örtlich Beauftragte für den Datenschutz.
Rechtsprechung zur Auslegung von § 36 DSG-EKD gibt es soweit ersichtlich nicht.
Argumente für und gegen MAV-Mitglieder als bDSB
Bei beiden kirchlichen Gesetzen lässt sich argumentieren – beim DSG-EKD sogar sehr klar –, dass keine Inkompatibilität besteht. Dennoch stellt sich die Frage, ob es sinnvoll ist, die Funktionen MAV und bDSB zu verbinden.
(Diese Argumente sind wesentlich von Matthias Ullrich beeinflusst, der einige davon in seinem Standardwerk zum Beschäftigtendatenschutz der katholischen Kirche anführt und im Ergebnis dazu kommt, dass im KDG keine Inkompatibilität vorliegt.)
Für die Personalunion
Auf der Pro-Seite spricht das gleichgerichtete Interesse von MAV und bDSB, Rechte von Beschäftigten zu schützen: Bei betrieblichen Datenschutzbeauftragten auf dem Gebiet des Datenschutzrechts, MAV-Mitglieder haben allgemein die Aufgabe, dafür zu sorgen, dass Beschäftigte nach Recht und Billigkeit behandelt werden.
Das schon erwähnte Benachteiligungsverbot von MAV-Mitgliedern spricht auch dafür, dass ihnen diese Aufgabe offenstehen sollte.
Ganz pragmatisch betrachtet dürfte ein MAV-Mitglied als bDSB das Datenschutzniveau in der Organisation heben: MAV-Mitglieder stehen nicht im Ruch, besonders gefällig gegenüber ihrem Dienstgeber zu sein; die Gefahr von verantwortlichennahmen Gefälligkeits-bDSB dürfte durch die Personalunion sinken.
Gegen die Personalunion
Für eine Trennung spricht vor allem die Rechtsunsicherheit: Es ist nicht absehbar, wie kirchliche Gerichte im Zweifelsfall entscheiden würden, wenn ihnen eine ähnliche Konstellation wie dem BAG vorgelegt werden. Auch wenn der Wortlaut eher (KDG) und eindeutig (DSG-EKD) gegen ein Verbot der Personalunion spricht, dürfte eine Entscheidung gegen den Wortlaut und stattdessen für eine Auslegung im Einklang mit der Auslegung der DSGVO nicht unwahrscheinlich sein.
Eher theoretischer Natur ist das Argument, dass das System aus Mitbestimmungs- und Datenschutzrecht eine Drei-Säulen-Kontrolle des Beschäftigtendatenschutzes vorsieht, indem es die getrennten Instanzen der Beschäftigtenvertretung, der betrieblichen Datenschutzbeauftragten und der Datenschutzaufsicht vorsieht. Das ist aber eher eine Ex-post-Systematisierung als eine von vornherein planmäßig gestaltete Struktur.
Das BAG hebt vor allem auf die verantwortlichenähnliche Stellung der MAV ab, und das in Worten, die es fraglich scheinen lassen, ob die MAV wirklich nur verantwortlichenähnlich ist oder nicht doch wirklich eine eigene verantwortliche Stelle. Durch § 79a BetrVG und § 22 Abs. 3 MVG-EKD ist eindeutig geklärt, dass MAVen keine verantwortliche Stellen sind, beim KDG darf das als herrschende Meinung gelten – wenn aber klar ist, dass MAVen keine verantwortlichen Stellen sind, ist das vom BAG angeführte Argument aber eher schwach.
Sowohl MAV als auch bDSB unterliegen besonderen Regeln der Vertraulichkeit über Dinge, die sie in ihrer jeweiligen Funktion erfahren. MAV-Mitglieder, die bDSB sind, müssen also diese Wissenssphären klar trennen und dürfen das in der einen Funktion erworbene Wissen nicht in der anderen Funktion nutzen oder gar offenbaren. Das ist anspruchsvoll. Es ist aber nichts, was es nicht anderswo geben würde: Betriebsratsmitglieder, die zugleich Aufsichtsratsmitglieder sind, müssen diese Sphären ebenso trennen – der Gesetzgeber sieht es also als machbar an. Und wenn es in der einen Konstellation geht: Warum nicht in der anderen?
Fazit
Durch die Abweichung von der DSGVO haben beide kirchliche Gesetzgeber für Unklarheit gesorgt. Es ist nicht ausgemacht, dass kirchliche Gerichte eins zu eins den staatlichen Gerichten folgen werden, wenn es klare Abweichungen im Wortlaut gibt – auch wenn die Wahrscheinlichkeit einer Entscheidung zugunsten von Einklang hoch ist; das bis zur Novelle fehlende ausdrückliche Recht auf Kopie im DSG-EKD hat auch kein Kirchengericht davon abgehalten, dennoch ein Recht auf Kopie aus dem DSG-EKD herauszulesen.
Bis dahin scheint die Personalunion zumindest möglich – ob sie klug und das rechtliche Risiko wert ist, müssen Dienstgeber und MAVen für ihre eigene Situation abwägen.