Bundesarbeitsgericht, Urteil vom 06.06.2023, Az. 9 AZR 383/19

[X.]ie Parteien streiten über die Wirksamkeit der Berufung des [X.] zum Beauftragten für [X.]atenschutz bei der [X.] sowie über den Widerruf der Bestellung und die Abberufung des [X.].

[X.]ie in [X.] ansässige Beklagte gehört dem [X.] an. Sie ist eine 100%ige Tochtergesellschaft der aus einer AG umgewandelten [X.] mit Sitz in [X.] [X.]er Kläger steht unter Anrechnung von Zeiten vormaliger Betriebszugehörigkeit seit dem 1. November 1993 in einem Arbeitsverhältnis zu der [X.]. Er ist Vorsitzender des bei dieser gebildeten Betriebsrats und zur Wahrnehmung seiner Aufgaben als Vorsitzender teilweise von der Arbeit freigestellt.

[X.]er Kläger wurde mit Wirkung zum 1. Juni 2015 von der [X.], deren Muttergesellschaft sowie deren weiteren in [X.]eutschland ansässigen Tochtergesellschaften [X.] und [X.] jeweils gesondert zum [X.]atenschutzbeauftragten bestellt. Mit der parallelen Bestellung des [X.] verfolgten die Unternehmen das Ziel, einen konzerneinheitlichen [X.]atenschutzstandard zu etablieren.

Mit Schreiben vom 4. September 2017 an die Muttergesellschaft der [X.], die damalige [X.], äußerte der [X.] Landesbeauftragte für [X.]atenschutz und Informationsfreiheit unter Bezugnahme auf § 4f Abs. 2 B[X.]SG in der bis zum 24. Mai 2018 gültigen Fassung (B[X.]SG aF) Bedenken, dass der Kläger die zur Erfüllung seiner Aufgaben als betrieblicher [X.]atenschutzbeauftragter erforderliche Zuverlässigkeit besitze. Wegen seines Amtes als Betriebsratsvorsitzender könnten Interessenkollisionen auftreten. In ihrer Stellungnahme vom 27. September 2017 antwortete die [X.] unter Verweis auf die Entscheidung des [X.] vom 23. März 2011 (- 10 [X.] -), beide Funktionen seien miteinander vereinbar.

[X.]er [X.] Landesbeauftragte für [X.]atenschutz und Informationsfreiheit stellte mit Schreiben vom 24. November 2017 fest, der Kläger verfüge nicht über die für die Bestellung zum betrieblichen [X.]atenschutzbeauftragten erforderliche Zuverlässigkeit. Aufgrund der Inkompatibilität mit dem Amt des Betriebsratsvorsitzenden sei der Kläger bereits nicht wirksam zum betrieblichen [X.]atenschutzbeauftragten bestellt worden. [X.]as Unternehmen verfüge deshalb seit dem 1. Juni 2015 über keinen betrieblichen [X.]atenschutzbeauftragten. [X.]ie Muttergesellschaft der [X.] erhielt Gelegenheit zur Stellungnahme bis zum 3. Januar 2018 mit dem Hinweis, dass nach Fristablauf ein betrieblicher [X.]atenschutzbeauftragter von Amts wegen bestellt werde und die Verletzung der Pflicht, einen Beauftragten für den [X.]atenschutz zu bestellen, mit einer Geldbuße bis zu 50.000,00 Euro geahndet werden könne.

[X.]ie Beklagte und die weiteren in [X.]eutschland ansässigen Konzernunternehmen teilten dem Kläger daraufhin in eigenständigen Schreiben vom 1. [X.]ezember 2017 mit, dass eine wirksame Bestellung als betrieblicher [X.]atenschutzbeauftragter nicht erfolgt sei und nunmehr zur Vermeidung eines Bußgeldes ein geeigneter [X.]atenschutzbeauftragter bestellt werde. Hilfsweise widerriefen sie jeweils mit Schreiben vom 1. [X.]ezember 2017 die Bestellung des [X.] zum [X.]atenschutzbeauftragten mit sofortiger Wirkung. Vorsorglich beriefen sie den Kläger nach Inkrafttreten der [X.]atenschutz-Grundverordnung mit getrennten Schreiben vom 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 [X.]SGVO unter Hinweis auf betriebsbedingte Gründe als [X.]atenschutzbeauftragten ab.

[X.]er Kläger hat die Auffassung vertreten, die Beklagte habe ihn am 16. Juni 2015 wirksam für deren Betrieb in [X.] zum [X.]atenschutzbeauftragten bestellt. Seine Abberufung durch die Schreiben vom 1. [X.]ezember 2017 und vom 25. Mai 2018 sei nicht wirksam.

[X.]er Kläger hat beantragt

[X.]ie Beklagte hat Klageabweisung beantragt. Sie hat die Auffassung vertreten, aufgrund einer Inkompatibilität mit dem Amt eines Betriebsratsvorsitzenden sei der Kläger nicht wirksam zum betrieblichen Beauftragten für [X.]atenschutz bestellt worden. Jedenfalls sei die Bestellung wirksam zum 1. [X.]ezember 2017, hilfsweise zum 25. Mai 2018 beendet worden. [X.]ie Ämterinkompatibilität stelle einen wichtigen Grund im Sinne von § 4f Abs. 3 Satz 4 B[X.]SG aF bzw. § 38 Abs. 2, § 6 Abs. 4 Satz 1 B[X.]SG iVm. § 626 BGB dar.

[X.]as Arbeitsgericht hat der Klage stattgegeben. [X.]as [X.] hat die Berufung der [X.] zurückgewiesen. Mit der Revision verfolgt die Beklagte ihr Klageabweisungsbegehren weiter. [X.]er Senat hat den Rechtsstreit mit Beschluss vom 27. April 2021 ausgesetzt und den [X.] um Vorabentscheidung ersucht, ob die Regelung in § 6 Abs. 4 Satz 1 B[X.]SG, der zufolge die Abberufung eines [X.]atenschutzbeauftragten das Vorliegen eines wichtigen Grundes iSv. § 626 BGB voraussetzt, mit Art. 38 Abs. 3 Satz 2 [X.]SGVO im Einklang steht, und ob ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 [X.]SGVO vorliegt, wenn der [X.]atenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat ([X.] 27. April 2021 - 9 [X.] (A) - [X.]E 174, 358). Mit Urteil vom 9. Februar 2023 hat der Gerichtshof über das Vorabentscheidungsersuchen entschieden ([X.] 9. Februar 2023 - [X.]/21 - [[X.] [X.]resden]).

Die Revision ist begründet. Das [X.] hat die Berufung der Beklagten gegen das klagestattgebende Urteil zu Unrecht zurückgewiesen. Zwar wurde der Kläger wirksam zum Datenschutzbeauftragten der Beklagten bestellt. Die Beklagte hat die Bestellung jedoch mit Schreiben vom 1. Dezember 2017 wirksam widerrufen. Der als unechter Hilfsantrag auszulegende Antrag zu 2. ist dem [X.] damit nicht zur Entscheidung angefallen.

I. Entgegen der Ansicht der Revision hat die Beklagte den Kläger mit Schreiben vom 16. Juni 2015 in der von § 4f Abs. 1 Satz 1 [X.] aF gebotenen Form (vgl. [X.] 27. Juli 2017 - 2 [X.] - Rn. 19, [X.]E 160, 1) zum Beauftragten für den Datenschutz bestellt. Für die Wirksamkeit der Bestellung des [X.] ist es irrelevant, ob das Amt des Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden kompatibel ist. Deshalb kann diese Frage, die das [X.] unter Verweis auf das Urteil des [X.] vom 23. März 2011 (- 10 [X.] -) verneint hat, an dieser Stelle offenbleiben.

1. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann zwar in Frage stehen, wenn Interessenkonflikte drohen. Eine Überschneidung von [X.] kann die von § 4f Abs. 2 Satz 1 [X.] aF geforderte Zuverlässigkeit beeinträchtigen ([X.] 5. Dezember 2019 - 2 [X.] - Rn. 25 mwN, [X.]E 169, 59). Aus der fehlenden Zuverlässigkeit einer zum Beauftragten für den Datenschutz bestellten Person iSv. § 4f Abs. 2 Satz 1 [X.] aF folgt aber nach dem [X.] aF nicht die Nichtigkeit der Bestellung. Diese Rechtsfolge ist im Gesetz nicht vorgesehen und widerspräche auch dessen Systematik, weil anderenfalls der in § 4f Abs. 3 Satz 4 [X.] aF vorgesehene Widerruf der Bestellung sowie das Recht der Aufsichtsbehörde, eine Abberufung wegen fehlender Zuverlässigkeit zu verlangen (§ 38 Abs. 5 Satz 3 [X.] aF), im Wesentlichen ins Leere liefen ([X.] 5. Dezember 2019 - 2 [X.] - Rn. 26 mwN, aaO).

2. Ob ausnahmsweise etwas anderes gelten kann, wenn die Bestellung eines Beauftragten für den Datenschutz an einem besonders schwerwiegenden und offenkundigen Fehler leidet (vgl. [X.] 5. Dezember 2019 - 2 [X.] - Rn. 27, [X.]E 169, 59), bedarf an dieser Stelle keiner Entscheidung. Ein solcher Fall liegt hier nicht vor.

II. Der Widerruf der Bestellung des [X.] zum Beauftragten für den Datenschutz bei der Beklagten vom 1. Dezember 2017 ist wirksam, weil hierfür ein wichtiger Grund iSv. § 4f Abs. 3 Satz 4 [X.] aF iVm. § 626 Abs. 1 BGB gegeben ist. Entgegen der Auffassung des [X.]s besteht ein unauflösbarer Interessenkonflikt, wenn der Datenschutzbeauftragte zugleich Betriebsratsvorsitzender der verantwortlichen Stelle ist. Dies macht es der Beklagten unzumutbar, den Kläger weiterhin als betrieblichen Datenschutzbeauftragten einzusetzen.

1. Der Widerruf der Bestellung zum Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 4 [X.] aF iVm. § 626 Abs. 1 BGB setzt das Vorliegen von Tatsachen voraus, die es dem Verantwortlichen unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragspartner unzumutbar machen, die betreffende Person als betrieblichen Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen.

a) Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter ([X.] 23. März 2011 - 10 [X.] - Rn. 15 mwN). Ein wichtiger Grund für den Widerruf ist auch dann gegeben, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die erforderliche Fachkunde oder Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 [X.] aF für die Aufgabenerfüllung nicht (mehr) besitzt.

b) Eine Überschneidung von [X.] kann der vom [X.] aF geforderten Zuverlässigkeit entgegenstehen ([X.] 23. März 2011 - 10 [X.] - Rn. 24; 22. März 1994 - 1 [X.] - zu [X.] der Gründe, [X.]E 76, 184). Dabei rechtfertigt nicht jeder Interessenkonflikt den Widerruf der Bestellung des Datenschutzbeauftragten. Erforderlich ist ein Grad, der die Unabhängigkeit des Datenschutzbeauftragten in Frage stellt.

aa) Da das Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragten gestattet, der als Arbeitnehmer beim verantwortlichen Arbeitgeber angestellt ist, kann nicht jede Berührung der verschiedenen Aufgaben die Zuverlässigkeit in Frage stellen. Der betriebliche Datenschutzbeauftragte hat die Einhaltung der Datenschutzvorschriften beim Verantwortlichen und damit das Arbeitsumfeld jedes dort beschäftigten Arbeitnehmers zu überwachen. Damit muss er in letzter Konsequenz auch sich selbst einer Überprüfung unterziehen. Entsprechendes gilt für die Funktion des betrieblichen Datenschutzbeauftragten, da dieser nicht nur Überwachungs- sondern auch Beratungsfunktionen wahrzunehmen und damit das Ergebnis seiner eigenen Beratung zu reflektieren hat.

bb) Nach der Rechtsprechung des Gerichtshofs der [X.] zur [X.] muss gewährleistet sein, dass ein Datenschutzbeauftragter unabhängig davon, ob es sich bei ihm um einen Beschäftigten des Verantwortlichen handelt oder nicht, seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (vgl. [X.] 9. Februar 2023 - [X.]/21 - [KISA] Rn. 20; 22. Juni 2022 - [X.]/20 - [[X.]] Rn. 26 f.). Nur wenn diese funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt bleibt, kann die Wirksamkeit der datenschutzrechtlichen Bestimmungen gewährleistet werden (vgl. [X.] 9. Februar 2023 - [X.]/21 - [KISA] Rn. 22; 22. Juni 2022 - [X.]/20 - [[X.]] Rn. 28).

cc) Dieser Maßstab für einen wichtigen Grund besteht nicht erst ab der durch Inkrafttreten der [X.] vorgenommenen Novellierung des Datenschutzrechts, sondern galt bereits nach dem [X.] aF. Nach dem gesetzgeberischen Willen hat die Ablösung von § 4f Abs. 3 Satz 4 [X.] aF durch § 6 Abs. 4 [X.] den Maßstab, anhand dessen eine relevante Interessenkollision zu beurteilen ist, unberührt gelassen ([X.]. 18/11325 S. 82: „Absatz 4 entspricht der bisherigen Regelung des § 4f Absatz 3 Satz 4 bis 6 [X.] a.F.“).

c) Ein Grund für den Widerruf der Funktion des Datenschutzbeauftragten ist danach in der Regel gegeben, wenn der Arbeitnehmer bei der Erfüllung seiner weiteren Aufgaben und Pflichten gestaltenden Einfluss auf die Datenverarbeitung in der verantwortlichen Stelle hat. In einem solchen Fall kann die unabhängige Erfüllung der Aufgaben eines Datenschutzbeauftragten gefährdet sein.

aa) Nach der Rechtsprechung des Gerichtshofs zu Art. 38 Abs. 6 Satz 2 [X.] darf der zum Datenschutzbeauftragten bestellte Arbeitnehmer innerhalb der verantwortlichen Stelle keine Position bekleiden, die eine Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (vgl. [X.] 9. Februar 2023 - [X.]/21 - [[X.] Dresden] Rn. 44, 46; zuvor bereits [X.] 243 rev. 01 S. 19). Das Recht des Verantwortlichen, die Bestellung des Datenschutzbeauftragten im Fall eines gestaltenden Einflusses auf die Datenverarbeitung zu widerrufen, wahrt dessen funktionelle Unabhängigkeit und gewährleistet damit die Wirksamkeit der datenschutzrechtlichen Bestimmungen. Ob diese Voraussetzungen gegeben sind, ist im Einzelfall unter Berücksichtigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen, festzustellen (vgl. [X.] 9. Februar 2023 - [X.]/21 - [[X.] Dresden] Rn. 45 f.).

2. Das Amt des [X.] als Betriebsratsvorsitzender steht danach einer weiteren Wahrnehmung seiner Aufgaben als Datenschutzbeauftragter entgegen. Die gesetzlichen Aufgaben beider Funktionen lassen sich nicht ohne Interessenkonflikt im Hinblick auf den Datenschutz ausüben, der die von § 4f Abs. 2 Satz 1 [X.] aF vorausgesetzte funktionale Zuverlässigkeit aufhebt. Dies rechtfertigt den Widerruf der Bestellung zum Beauftragten für Datenschutz.

a) Der Beauftragte für den Datenschutz hat gemäß § 4g Abs. 1 Satz 1 [X.] aF auf die Einhaltung des [X.] aF und anderer Vorschriften über den Datenschutz hinzuwirken. Dabei hat er insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen sowie die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des [X.] sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (§ 4g Abs. 1 Satz 4 [X.] aF). Diese Aufgaben decken sich im Wesentlichen mit den Aufgaben des Datenschutzbeauftragten aus Art. 39 [X.]. Danach obliegen dem Datenschutzbeauftragten die Unterrichtung und Beratung des Verantwortlichen oder des [X.] und der Beschäftigten, die die Verarbeitung hinsichtlich ihrer Pflichten nach der [X.] und sonstigen Datenschutzvorschriften der [X.] bzw. der Mitgliedstaaten durchführen. Er hat die Einhaltung der [X.], anderer Datenschutzvorschriften der [X.] bzw. der Mitgliedstaaten sowie Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern zu überprüfen. Zudem ist er für die Beratung - auf Anfrage - im Zusammenhang mit der Datenschutzfolgenabschätzung und die Überwachung ihrer Durchführung gemäß Art. 35 [X.] zuständig.

b) Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden im Hinblick auf datenschutzrechtliche Bestimmungen nicht zu vereinbaren. Ob bereits zwischen [X.] und dem Amt des Datenschutzbeauftragten eine Inkompatibilität besteht, die zu einem zum Widerruf der Bestellung berechtigenden Interessenkonflikt führt, muss der [X.] nicht entscheiden. Jedenfalls ist eine funktionale Unvereinbarkeit mit den Aufgaben des Betriebsratsvorsitzenden gegeben, der im Rahmen seiner gesetzlichen Aufgaben nicht nur an der Entscheidung des Gremiums mitwirkt, sondern das Organ im Rahmen der gefassten Beschlüsse nach außen vertritt.

aa) Der Betriebsrat legt als Gremium Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Er entscheidet durch Beschluss darüber, unter welchen konkreten Umständen er welche personenbezogenen Daten in Ausübung der ihm durch das [X.] zugewiesenen Aufgaben erhebt und auf welche Weise er diese anschließend verarbeitet.

(1) Das [X.] räumt dem Betriebsrat in bestimmten [X.], personellen und wirtschaftlichen Angelegenheiten Beteiligungs- und Mitwirkungsrechte ein, die von der bloßen Anhörung bzw. Unterrichtung (zB § 80 Abs. 2 Satz 1, § 102 Abs. 1 [X.], § 17 Abs. 2 Satz 1 KSchG) über die Beratung (zB § 90 Abs. 2 Satz 1, § 92 Abs. 1 Satz 2 [X.], § 17 Abs. 2 Satz 2 KSchG) bis hin zum Zustimmungsverweigerungsrecht (§ 99 [X.]) und schließlich zum Mitbestimmungsrecht reichen, bei dem der Arbeitgeber die positive Zustimmung des Betriebsrats benötigt (zB §§ 87, 94, 112 Abs. 4 [X.]). In Erfüllung dieser Aufgaben verarbeitet der Betriebsrat personenbezogene Daten. Diese erhält er insbesondere bei der Wahrnehmung seiner betriebsverfassungsrechtlichen Beteiligungs- und Mitbestimmungsrechte einerseits vom Arbeitgeber und andererseits von Beschäftigten selbst, etwa im Rahmen der Sprechstunde (§ 39 [X.]), einer Beschwerde (§ 85 Abs. 1 [X.]), des Vorschlagsrechts der Arbeitnehmer (§ 86a [X.]), des [X.] im Rahmen von Betriebs- oder Abteilungsversammlungen (§ 43 Abs. 3 Satz 1, § 45 [X.]) oder der Anhörung eines von einer personellen Maßnahme betroffenen Arbeitnehmers (§ 102 Abs. 2 Satz 4 [X.], vgl. [X.] FS Schmidt 2021 S. 277, 282). Des Weiteren kann der Betriebsrat mit dem Arbeitgeber Betriebsvereinbarungen mit unmittelbarer und zwingender Wirkung für die betriebsangehörigen Arbeitnehmer schließen (§ 77 Abs. 4 [X.]). Auch Regelungen in Betriebsvereinbarungen, etwa zu technischen Überwachungseinrichtungen iSv. § 87 Abs. 1 Nr. 6 [X.] (vgl. [X.] 2023, 269, 272 f.), können die Verarbeitung personenbezogener Daten zum Gegenstand haben.

(2) Die Zwecke der Datenverarbeitung des Betriebsrats sind zwar durch die Zuweisung von Aufgaben im [X.] ihrem äußeren Rahmen nach vorbestimmt. Der Betriebsrat kann also die Mitteilung geschützter Daten nicht unabhängig von seinen gesetzlichen Aufgaben verlangen. Beschäftigtendaten dürfen nur zu Zwecken genutzt werden, die das [X.] ausdrücklich vorsieht und die zur Erfüllung betriebsverfassungsrechtlicher Aufgaben erforderlich sind. Im konkreten Fall legt der Betriebsrat jedoch zur Wahrnehmung seiner gesetzlichen Aufgaben in eigener Verantwortung fest, welche mitarbeiterbezogenen Informationen verlangt und wie die übermittelten Daten - tatsächlich - verarbeitet werden sollen. Dies eröffnet ihm im Hinblick auf die Verwendung der Daten einen erheblichen Entscheidungsspielraum (vgl. [X.] 2021 S. 353, 356; [X.] [X.] 2019, 323, 325; [X.]/[X.] BB 2020, 500, 501).

(a) Nach § 80 Abs. 2 Satz 1 [X.] hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Voraussetzung für einen Auskunftsanspruch des Betriebsrats ist zum einen, dass überhaupt eine Aufgabe des Betriebsrats gegeben ist, und zum anderen, dass die begehrte Information zur Wahrnehmung der Aufgabe im Einzelfall erforderlich ist ([X.] 9. April 2019 - 1 [X.] - Rn. 12, [X.]E 166, 269). [X.] darf auch der Arbeitgeber dem Betriebsrat Beschäftigtendaten grundsätzlich nur für erforderliche Betriebsratsaufgaben zur Verfügung stellen. Bei der Weitergabe sensitiver Daten an den Betriebsrat sind besondere Schutzvorkehrungen zu treffen. Aufgrund der Unabhängigkeit des Betriebsrats als Strukturprinzip der Betriebsverfassung hat es der Arbeitgeber aber nicht in der Hand, angemessene und spezifische Schutzmaßnahmen zu treffen oder dem Betriebsrat hierzu Vorgaben zu machen. Unabhängig davon, ob der Betriebsrat Teil der verantwortlichen Stelle (so zB Bonanni/[X.] 2018, 371 f.; Pötters in [X.] DS-GVO 2. Aufl. Art. 88 Rn. 38; zur [X.] nach dem [X.] aF vgl. [X.] 7. Februar 2012 - 1 [X.] - Rn. 43 mwN, [X.]E 140, 350) oder gar Verantwortlicher (so zB [X.]/[X.] BB 2018, 1652, 1655; [X.] 2018, 2566 f.; [X.] NZA 2020, 1207, 1209 ff.; [X.] NZA 2017, 413 f.) ist, trifft ihn insoweit diese spezifische Schutzpflicht ([X.] 9. April 2019 - 1 [X.] - Rn. 47, aaO).

(b) Es kann dahinstehen, ob der Datenschutzbeauftragte unter dem [X.] aF Beaufsichtigungs- und Kontrollbefugnisse auch gegenüber dem Betriebsrat auszuüben hatte (so [X.] 2018, 2566, 2570 f.; Lücke NZA 2019, 658, 667), oder ob dem die Unabhängigkeit des Betriebsrats entgegenstand (so [X.] 11. November 1997 - 1 [X.] - zu [X.] 2 c und c bb der Gründe, [X.]E 87, 64). Jedenfalls oblag es ihm nach der damaligen Gesetzesfassung, die Datenschutzkonformität der auf Anforderung des Betriebsrats durch den Arbeitgeber vorgenommenen Übermittlung personenbezogener - ggf. auch sensitiver - Mitarbeiterdaten zu überprüfen. Bei der Übermittlung sensitiver Daten hatte er dementsprechend in eigener Sache zu überwachen, ob das Schutzkonzept des Betriebsrats datenschutzrechtlichen Anforderungen entspricht und der Arbeitgeber die Daten an den Betriebsrat übermitteln darf.

(3) Gegenstand der Beaufsichtigungs- und Kontrollbefugnis des Datenschutzbeauftragten ist außerdem die Einhaltung datenschutzrechtlicher Bestimmungen bei der Durchführung von Betriebsvereinbarungen, etwa zu § 87 Abs. 1 Nr. 6 [X.], an dessen Zustandekommen er selbst mitgewirkt hat.

bb) Der Betriebsrat bestimmt auch über die Mittel der Verarbeitung personenbezogener Daten. Dazu zählen die technischen Methoden der Verarbeitung personenbezogener Daten und die Art und Weise, wie ein Ergebnis oder Ziel erreicht wird ([X.] 169 S. 17).

(1) Die festzulegenden Mittel betreffen in erster Linie die Verarbeitung der Daten. Der Betriebsrat entscheidet dazu in technischer Hinsicht über die Organisation seiner Abläufe und befindet darüber, ob er konkrete Daten in analoger oder digitaler Form speichert, welche Software er konkret verwendet, welche Benutzerrechte er einräumt und welche Speicherfristen er setzt (Brink/[X.] NZA 2019, 1395, 1397; [X.]/[X.] BB 2020, 500, 501; [X.] [X.] 2019, 323, 325).

(2) Dem steht nicht entgegen, dass der Betriebsrat bei der Datenverarbeitung Sachmittel, insbesondere eine IT- und Kommunikationsinfrastruktur, einsetzt, die der Arbeitgeber ihm nach § 40 Abs. 2 [X.] zur Verfügung gestellt hat. Unabhängig davon, dass es für die Mittel der Verarbeitung nicht entscheidend darauf ankommt, welche - vom Arbeitgeber zur Verfügung gestellten - IT-Systeme oder Hardware der Betriebsrat zur Datenverarbeitung nutzt, obliegt die Prüfung, ob ein Sachmittel zur Erledigung von Betriebsratsaufgaben erforderlich und vom Arbeitgeber zur Verfügung zu stellen ist, dem Betriebsrat. Er hat bei seiner Entscheidung lediglich die Interessen der Belegschaft an einer sachgerechten Ausübung des Betriebsratsamts und berechtigte Interessen des Arbeitgebers, auch soweit sie auf eine Begrenzung der Kostentragungspflicht gerichtet sind, gegeneinander abzuwägen ([X.] 20. April 2016 - 7 [X.] - Rn. 16 mwN, [X.]E 155, 54).

c) Ein als Betriebsratsvorsitzender beteiligter Datenschutzbeauftragter, der seine Überwachungsaufgabe im Spannungsfeld seiner funktionalen Interessen und Aufgaben erfüllen muss, besitzt nicht die für eine Gewährleistung des gesetzlichen Datenschutzes erforderliche Unabhängigkeit. Als Beauftragter für den Datenschutz ist der Vorsitzende des Betriebsrats verpflichtet zu prüfen, ob die von ihm nach außen vertretene Beschlusslage des Betriebsrats mit den Bestimmungen des Datenschutzes im Einklang steht.

aa) In seiner betriebsverfassungsrechtlichen Funktion ist er zwar in erster Linie Betriebsratsmitglied wie die anderen [X.]. Er übt die gesetzlich zugewiesenen Befugnisse und Pflichten des Betriebsrats weder als Bevollmächtigter noch als gesetzlicher Vertreter an dessen Stelle aus (Fitting [X.] 31. Aufl. § 26 Rn. 21 f.). Gemäß § 26 Abs. 2 Satz 1 [X.] vertritt der Betriebsratsvorsitzende den Betriebsrat im Rahmen der von ihm gefassten Beschlüsse. Zudem ist er zur Entgegennahme von dem Betriebsrat gegenüber abzugebenden Erklärungen berechtigt (§ 26 Abs. 2 Satz 2 [X.]). Damit fungiert er nicht als Vertreter im Willen, sondern als Vertreter in der Erklärung ([X.] 8. Februar 2022 - 1 [X.] - Rn. 27; 19. März 2003 - 7 [X.] - zu II 2 b der Gründe, [X.]E 105, 311).

bb) Diese aufgabenbezogene Kommunikation des Betriebsratsvorsitzenden stellt die funktionelle Unabhängigkeit als Datenschutzbeauftragter und damit die Gewährleistung des Datenschutzes in Frage. Indem der Betriebsratsvorsitzende im Rahmen und aufgrund der Beschlüsse des Betriebsrats vom Arbeitgeber die Übermittlung personenbezogener [X.] verlangt und gegebenenfalls die Schutzvorkehrungen darlegt, die der Betriebsrat zur Wahrung berechtigter Interessen der betroffenen Arbeitnehmer beschlossen hat, vertritt er nach außen die Interessen des Betriebsrats. Bei gleichzeitiger Wahrnehmung der Funktion eines Datenschutzbeauftragten müsste er in identischer Angelegenheit - neutral und allein dem Datenschutz verpflichtet - überprüfen, ob Auskunftsersuchen und beschlossene Schutzvorkehrungen datenschutzrechtlichen Vorgaben genügen, und den Arbeitgeber insoweit uU datenschutzrechtlich beraten. Die dazu erforderliche Gewähr für Neutralität und Distanz zu dem Auskunftsverlangen des Betriebsrats weist er - strukturell bedingt - nicht auf, weil er einerseits durch den Beschluss des Betriebsrats gebunden und andererseits dem zwingenden Datenschutz verpflichtet ist. Dieser Interessenkonflikt beeinträchtigt die funktionelle Unabhängigkeit des Datenschutzbeauftragten und gefährdet die Wirksamkeit datenschutzrechtlicher Regelungen, sodass er den Arbeitgeber zum Widerruf der Bestellung berechtigt.

III. [X.] als Datenschutzbeauftragter vom 25. Mai 2018 gerichtete Klageantrag zu 2. fällt dem [X.] nicht zur Entscheidung an. Hierbei handelt es sich um einen unechten Hilfsantrag für den Fall, dass der vorrangige Widerruf der Bestellung zum Datenschutzbeauftragten vom 1. Dezember 2017 für unwirksam erachtet werden sollte.

IV. Als unterlegene [X.] hat der Kläger die Kosten des Rechtsstreits zu tragen (§ 91 Abs. 1 ZPO).