Sie sind hier: > Start > Infothek > AKI 14: Personalratsmitglied als behördlicher Datenschutzbeauftragter?
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 29.10.2018
Aktuelle Kurz-Information 14: Personalratsmitglied als behördlicher Datenschutzbeauftragter?
Stichwörter: Datenschutzbeauftragter, behördlicher - Inkompatibilität - Personalrat - Personalratsmitglied - Personalratsvorsitzender
Die bayerischen öffentlichen Stellen trifft nicht nur gemäß Art. 37 Abs. 1 Buchst. a Datenschutz-Grundverordnung (DSGVO), Art. 12 Bayerisches Datenschutzgesetz (BayDSG) die Pflicht, einen behördlichen Datenschutzbeauftragten zu benennen. Nach Maßgabe von Art. 12 Abs. 1 Bayerisches Personalvertretungsgesetz (BayPVG) sind bei ihnen auch Personalräte zu bilden. Gerade in kleineren Dienststellen führt dies nicht selten dazu, dass auf Grund der geringen Zahl von Beschäftigten die Übernahme beider Funktionen durch ein und dieselbe Person als naheliegend erscheint oder sogar gewünscht wird. Bedenkt man, dass der Personalrat regelmäßig in Einzelangelegenheiten der Beschäftigten sowie in Einstellungsverfahren beteiligt wird und das Gremium dabei aus datenschutzrechtlicher Sicht Personaldaten verarbeitet, stellt sich die Frage, ob ein behördlicher Datenschutzbeauftragter zugleich Personalratsmitglied sein kann. Diese Frage ist differenziert nach der Stellung der betreffenden Person im Personalrat zu beantworten.
Diese Aktuelle Kurz-Information bezieht zu der Frage, ob der Personalrat als von der öffentlichen Stelle gesonderter Verantwortlicher anzusehen ist, nicht ausdrücklich Stellung. Ihr liegt jedoch die Annahme zugrunde, dass der Personalrat datenschutzrechtlich ein besonderer Teil der öffentlichen Stelle ist, bei der er gebildet ist.
1. Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied"
Aus Sicht des Datenschutzrechts ist die Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" anhand von Art. 38 Abs. 6 DSGVO zu würdigen. Nach dieser Vorschrift kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen; der Verantwortliche stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Im Verhältnis der Arbeit des behördlichen Datenschutzbeauftragten auf der einen Seite zu der Arbeit des Personalrats - an der das einzelne Personalratsmitglied teilnimmt - auf der anderen Seite können Interessendivergenzen auftreten:
-
Der behördliche Datenschutzbeauftragte wirkt darauf hin, dass der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) beachtet und die den Umgang mit Personalaktendaten prägende doppelte Zugangsbeschränkung (Art. 103 Bayerisches Beamtengesetz) möglichst optimal umgesetzt wird. Der Personalrat hat demgegenüber ein Interesse daran, seine Beteiligungsrechte effektiv wahrzunehmen. Er wird daher eine Informationsbasis anstreben, die ihm ein zielführendes Gespräch mit der Dienststellenleitung ermöglicht, und in diesem Rahmen unter Umständen geneigt sein, möglichst detaillierte Informationen (auch) über einzelne Beschäftigte oder Stellenbewerber zu erlangen und über einen gewissen Zeitraum vorzuhalten.
So kann sich für das einzelne Personalratsmitglied ein Rollenkonflikt ergeben: Drängt diese Funktion eher dazu, an der Informationsbeschaffung durch das Gremium mitzuwirken, legt die Aufgabe des behördlichen Datenschutzbeauftragten nahe, entsprechende Datenflüsse auf das personalvertretungsrechtlich unabdingbare Maß zu beschränken.
-
Im Übrigen ist der Personalrat auch an der Gestaltung von Dienstvereinbarungen beteiligt, deren Gegenstand der Umgang mit Beschäftigtendaten ist. Dies gilt etwa für Vereinbarungen über die Arbeitszeiterfassung, die Nutzung von Internetzugängen oder die Verwendung von elektronischen Schließsystemen. Hier stellt zwar die Mitgliedschaft des behördlichen Datenschutzbeauftragten im Personalrat sicher, dass Datenschutzbelange in die Verhandlungen einfließen. Allerdings besteht auch das Risiko, dass sich die in das Gremium gewählte Person eher mit dessen Interessenlage identifiziert und die ihr von der Datenschutz-Grundverordnung zugewiesene Rolle eines "neutralen" Beraters zwischen dem Verantwortlichen und seinen Beschäftigten (vgl. Art. 39 Abs. 1 Buchst. a DSGVO) verlässt.
Bei einer Gesamtbetrachtung stehen die Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" daher in einer Spannungslage. Das Personalratsmitglied ist aber regelmäßig (vgl. Art. 16 Abs. 1 BayPVG) in ein Gremium eingebunden und kann deshalb nicht allein Entscheidungen treffen. Die Wählbarkeit zum Personalrat ist für behördliche Datenschutzbeauftragte im Übrigen nicht ausgeschlossen (vgl. Art. 14 Abs. 3, 4 BayPVG).
Aus datenschutzrechtlicher Sicht sollten Beschäftigte eine Verbindung der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" im eigenen Interesse möglichst vermeiden. Eine Unvereinbarkeit im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO liegt aber nicht vor.
2. Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "Personalratsvorsitzender"
Einem Personalratsvorsitzenden, der zugleich die Funktion des behördlichen Datenschutzbeauftragten ausüben soll, wird das für einfache Personalratsmitglieder skizzierte Spannungsverhältnis (noch) häufiger und intensiver erfahrbar. Der Personalratsvorsitzende führt die laufenden Geschäfte und vertritt den Personalrat im Rahmen der von diesem gefassten Beschlüsse (Art. 32 Abs. 3 Satz 1 BayPVG). Er ist insbesondere "ständiger" Gesprächs- und Verhandlungspartner für die Dienststellenleitung und die personalverwaltende Stelle. Diese hervorgehobene Position führt - insbesondere außerhalb der Sitzungen des Personalrats - zu einem regelmäßigen Auftreten von Interessenkonflikten, wenn sich der Personalratsvorsitzende jeweils entscheiden muss, welcher seiner beiden Rollen er aktuell den Vorrang geben möchte.
Aus datenschutzrechtlicher Sicht sind die Funktionen "behördlicher Datenschutzbeauftragter" und "Personalratsvorsitzender" daher regelmäßig nicht vereinbar; ihre Verbindung in einer Person steht mit der Vorgabe des Art. 38 Abs. 6 Satz 2 DSGVO nicht in Einklang.
Bayerische öffentliche Stellen sollten daher Personalratsvorsitzende grundsätzlich nicht als behördliche Datenschutzbeauftragte benennen und behördliche Datenschutzbeauftragte, die zu Vorsitzenden des Personalrats gewählt werden, von der Funktion des behördlichen Datenschutzbeauftragten entbinden. Ein Abweichen von dieser Regel erscheint im Ausnahmefall als hinnehmbar, wenn es einer öffentlichen Stelle mit nur wenigen Bediensteten nicht möglich ist, die beiden Funktionen durch verschiedene Personen zu besetzen.
3. Umgang mit Interessenkonflikten im Einzelfall
Ist ein behördlicher Datenschutzbeauftragter Mitglied oder - ausnahmsweise - Vorsitzender des Personalrats, können Situationen eintreten, in welchen die betreffende Person nicht beiden Rollen gerecht werden kann. Das ist insbesondere dann der Fall, wenn sie in ihrer Rolle als behördlicher Datenschutzbeauftragter einen Datenschutzverstoß bei der Personalratsarbeit feststellt, oder wenn es allgemein darum geht, den von Art. 39 Abs. 1 Buchst. b DSGVO angeordneten Überwachungsauftrag gerade beim Personalrat wahrzunehmen. Für Situationen dieser Art muss der Verantwortliche im Rahmen von Art. 38 Abs. 6 Satz 2 DSGVO gewährleisten, dass anstelle eines behördlichen Datenschutzbeauftragten, der Mitglied des Personalrats ist, stets eine effektive Vertretung handeln kann.
4. Fazit
Kandidieren behördliche Datenschutzbeauftragte für den Personalrat bei einer bayerischen öffentlichen Stelle oder sollen Mitglieder des Personalrats als behördliche Datenschutzbeauftragte benannt werden, sollte die öffentliche Stelle als Verantwortlicher kritisch überprüfen, ob es dadurch zu einer Unvereinbarkeit zwischen den beiden Funktionen kommen kann. Die Freiheit eines jeden Beschäftigten, sich um ein Personalratsmandat zu bewerben oder ein solches Mandat auszuüben, sollte so wenig wie möglich beeinträchtigt werden. Allerdings muss die öffentliche Stelle sicherstellen, dass ihr ein grundsätzlich nicht in der Aufgabenwahrnehmung eingeschränkter (stellvertretender) behördlicher Datenschutzbeauftragter zur Verfügung steht.