Das Landesarbeitsgericht Nürnberg hat geurteilt, dass die Regelungen des BDSG, wonach ein Datenschutzbeauftragter nur aus wichtigem Grund gekündigt und nur aus wichtigem Grund von seinem Amt abberufen werden kann, nicht gegen die DSGVO verstoßen (LAG Nürnberg Urteil vom 19.02.2020 Az. 2 Sa 274/19).
1. Sachverhalt
Die Klägerin war mit Arbeitsvertrag vom Dezember 2017 seit dem 15.01.2018 bei der Beklagten zu 1) als „Teamleiterin Recht“ beschäftigt. Mit Schreiben vom 15.01.2018 bestellte die Beklagte zu 1) die Klägerin zur betrieblichen Datenschutzbeauftragten. Zur Bestellung eines betrieblichen Datenschutzbeauftragten war die Beklagte zu 1) verpflichtet. Mit Schreiben vom 13.07.2018 kündigte die Beklagte zu 1) das Arbeitsverhältnis der Klägerin mit Wirkung zum 15.08.2018, womit auch ihre Funktion als Datenschutzbeauftragte ende, und widerrief hilfsweise aus wichtigem Grund ihre Stellung als Datenschutzbeauftragte.
Mit Klage vom 02.08.2018 begehrte die Klägerin im Wesentlichen die Feststellung, dass sowohl die Abberufung als interne Datenschutzbeauftragte als auch die Kündigung rechtswidrig waren.
(Die Klägerin war auch zur externen Datenschutzbeauftragten für weitere Konzernunternehmen, den Beklagten zu 2) bis 5), bestellt worden. Die Abberufung nahm die Beklagte namens der weiteren Beklagten am 13.07.2018 allerdings ohne Vollmacht vor, was die Klägerin mit Schreiben vom 16.07.2018 rügte, so dass die Abberufungen in Anwendung von § 174 BGB unwirksam waren.)
2. DSGVO und BDSG
Die Klägerin und Berufungsbeklagte stützt ihre Rechtsposition auf §§ 38 Abs.2, 6 Abs.4 S.1 und 2 BDSG. Die Abberufung der oder des betrieblichen Datenschutzbeauftragten (im Folgenden „DSB“) ist nach BDSG nur in entsprechender Anwendung des § 626 BGB zulässig, also wenn ein wichtiger Grund zur fristlosen Kündigung vorliegt. Dasselbe gilt für die Kündigung des Arbeitsverhältnisses eines DSB: Auch sie ist nur möglich, wenn Tatsachen vorliegen, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Die DSGVO kennt diesen Kündigungsschutz und den Abberufungsschutz nicht in diesem Umfang. In Art.38 Abs.3 S.2 DSGVO heißt es lediglich, dass Datenschutzbeauftragte wegen ihrer Tätigkeit nicht abberufen oder benachteiligt werden dürfen.
Das BDSG enthält weitere Gesetze, die inhaltlich von den Rechtsvorschriften der DSGVO abweichen oder sie konkretisieren. Die DSGVO sieht das so vor. Sie enthält eine lange Reihe sogenannter Öffnungsklauseln, die es den Mitgliedsstaaten überlassen, Konkretisierungen oder Abweichungen zur DSGVO zu formulieren. (Es heißt dann z.B. „Die Mitgliedsstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen einführen oder aufrechterhalten, soweit die Verarbeitung …“ wie in Art.9 Abs.4 DSGVO für die Verarbeitung besonderer Kategorien von Daten.) Von einem einheitlichen europäischen Datenschutzrecht ist die DSGVO weit entfernt.
Eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, von Art 38 Abs.3 S.2 DSGVO abzuweichen, enthält die DSGVO allerdings nicht. Daher vertrat die Beklagte zu 1) und Berufungsklägerin die Auffassung, §§ 38 Abs.2, 6 Abs.4 S.1 und 2 BDSG seien unwirksam. Der nationale Gesetzgeber sei nicht ermächtigt, Datenschutzgesetze zu verabschieden, die Art.38 Abs.3 S.2 DSGVO zuwiderlaufen.
Dem folgte das Landesarbeitsgericht nicht.
a) Einschränkung der Kündbarkeit eines DSB durch das BDSG wirksam
Übereinstimmend mit der allgemein in der Fachliteratur vertretenen Auffassung ist das LAG der Rechtsmeinung, die Gesetzgebungskompetenz der Mitgliedsstaaten ergebe sich aus anderen europäischen Rechtsvorschriften, weil es sich bei dem besonderen Kündigungsschutz für Datenschutzbeauftragte um eine arbeitsrechtliche Regelung handele:
„Die Kompetenznorm für spezifisch arbeitsrechtliche Regelungen findet sich hingegen in Art. 153 AEUV und hier insbesondere für Arbeitsbedingungen in Abs. 1 lit. b und für den Schutz der Arbeitnehmer bei Beendigung des Arbeitsvertrags in Abs. 1 lit. d. Nach Abs. 2 der Vorschrift handelt die EU in diesem Bereich durch Richtlinien, nicht durch Verordnung. Dies spricht dafür, dass die DS-GVO keine genuinen abschließenden arbeitsrechtlichen Regelungen trifft …, jedenfalls nicht für das Arbeitsverhältnis, das der Tätigkeit als Datenschutzbeauftragtem zu Grunde liegt. So regelt Art. 38 DS-GVO die Stellung sowohl des intern als auch des extern bestellten Datenschutzbeauftragten allgemein. Im Bereich des Arbeitsrechts sind die Mitgliedstaaten nicht gehindert, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den EU-Verträgen vereinbar sind (Art. 153 Abs. 4, 2. Spiegelstrich AEUV). Dem nationalen Gesetzgeber ist es daher nicht verwehrt, spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten, der auf Grund eines Arbeitsvertrages als solcher tätig ist („interner Datenschutzbeauftragter“) zu erlassen, soweit sie den in Art. 38 Abs. 3 Satz 2 DS-GVO gewährleisteten Abberufungs- und Benachteiligungsschutz nicht beeinträchtigen.“ (Urteil B. I. 2., S.16)
Das LAG begründet seine Auslegung ferner mit dem Wortlaut des Art.38 DSGVO. Er enthalte nicht ausdrücklich Regeln des Kündigungsschutzes für Datenschutzbeauftragte, so dass es dem nationalen Gesetzgeber gestattet sei, den Kündigungsschutz zu gestalten.
Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses eines DSB während seiner Bestellung und für die Dauer eines Jahres danach stehe daher im Einklang mit der DSGVO.
b) Einschränkung der Abberufbarkeit eines DSB durch das BDSG wirksam
Dass die Abberufung eines Datenschutzbeauftragten von seinem Amt ebenfalls eine Sache der „Arbeitsbedingungen“ sei, und daher gemäß Art.153 Abs.1 Buchst.b) AEUV die EU-Mitgliedsstaaten die Gesetzgebungskompetenz haben, ist nicht so eindeutig und in der Fachliteratur nicht unumstritten. Das LAG hat aber keine Mühe, die Abberufung eines DSB als Frage der Arbeitsbedingungen zu qualifizieren, womit die Gesetzgebungskompetenz zur Regelung der arbeitsrechtlichen Voraussetzungen der Abberufung von DSB von ihrem Amt gemäß Art.153 Abs.1 Buchst.b) AEUV auch den Mitgliedstaaten zufalle, Art.153 Abs.4 2. Spiegelstrich AEUV. Eine Ermächtigung im Text der DSGVO brauche es hierfür nicht.
Zur Begründung führt das LAG aus: Mit der Bestellung zum DSB übertrage der Arbeitgeber seinem Arbeitnehmer die Aufgaben eines DSB als Teil seiner arbeitsvertraglichen Pflichten. Der Inhalt des Arbeitsvertrags werde dadurch geändert. Die Abberufung wiederum ziele daher ebenfalls auf eine Änderung des Arbeitsvertrags –den Wegfall der Pflichten eines DSB. Im Kern sei das also eine arbeitsrechtliche Angelegenheit. Vorausgesetzt, es gehe um die Abberufung eines internen DSB. Auf einen externen DSB könne die Überlegung nicht angewendet werden. Dieser befinde sich in keinem Arbeitsverhältnis mit dem datenschutzrechtlich Verantwortlichen. Seine Abberufung durch diesen sei daher keine Sache des Arbeitsrechts. (Urteil B.II.1., S.18)
Die Beschränkung der Abberufbarkeit eines internen Datenschutzbeauftragten sei eine Angelegenheit des Arbeitsrechts, wofür der nationale Gesetzgeber die durch Art.153 Abs.4 2. Spiegelstrich AEUV beschriebene Gestaltungsmacht behalten habe. Hiervon habe der deutsche Gesetzgeber in §§ 38 Abs.2, 6 Abs.4 S.1 BDSG Gebrauch gemacht. §§ 38 Abs.2, 6 Abs.4 S.1 BDSG verstießen daher nicht gegen die DSGVO. Die Voraussetzungen der §§ 38 Abs.2, 6 Abs.4 S.1 BDSG (wichtiger Grund) hätten vorliegen müssen, um die Klägerin von ihrer Position als interne DSB abzuberufen.
3. Wichtiger Grund zur Abberufung als interne Datenschutzbeauftragte
Nach Auffassung des LAG habe kein wichtiger Grund für die Abberufung der Klägerin als interne DSB vorgelegen. Die Vorinstanz und das LAG verwiesen zur Begründung auf das Urteil des BAG vom 23.11.2011, das noch zum mittlerweile aufgehobenen § 4f Abs.3 S.4 BDSG alter Fassung erging. Dort hieß es – wie jetzt in §§ 38 Abs.2, 6 Abs.4 S.2 BDSG – dass die Bestellung zum DSB in entsprechender Anwendung von § 626 BGB (wichtiger Grund) widerrufen werden kann (ein weiterer gesetzlicher Tatbestand des alten §4f BDSG a.F. – auf Verlangen der Aufsichtsbehörde – hat hier außer Betracht zu bleiben).
Den besonderen Abberufungsschutz genossen DSB bereits nach altem Datenschutzrecht. Er sollte dazu beitragen, dass ein DSB seine für den Arbeitgeber oder Auftraggeber nicht immer angenehmen Arbeiten weisungsfrei und ohne Furcht vor seiner Abberufung nachgehen kann. Eine Abberufung sollte nur dann möglich sein, wenn objektive und schwerwiegende Gründe sie rechtfertigen, so dass die Fortsetzung der Tätigkeit als DSB für das Unternehmen unzumutbar geworden ist.
Nach Auffassung des BAG müsse für eine Abberufung ein wichtiger Grund vorliegen, der es der abberufenden Stelle aufgrund von Tatsachen und unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragsteile unzumutbar macht, den DSB auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen. Wichtige Gründe seien insbesondere solche, die mit der Ausübung der Tätigkeit des DSB zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter. Eine unternehmerische Entscheidung, den betrieblichen Datenschutz in Zukunft durch einen externen DSB wahrzunehmen, rechtfertige den Widerruf der Bestellung eines internen DSB nicht (BAG Urteil RN 17, 18). Ansonsten würde der besondere Abberufungsschutz des internen DSB unterlaufen werden können (BAG Urteil RN 19). Im Übrigen würden dringende betriebliche Erfordernisse regelmäßig jeweils nur ordentliche Kündigungen rechtfertigen, nicht aber außerordentliche Kündigungen aus wichtigem Grund gemäß § 626 BGB (BAG Urteil RN 21). Kosten einsparen und konzernweit einheitliche Strukturen schaffen zu wollen, erlauben eine außerordentliche Kündigung aus wichtigem Grund nicht (BAG Urteil RN 22). Daher sei auch der Widerruf der Bestellung nicht erlaubt.
Ohne wichtigen Grund habe die Beklagte zu 1) die Klägerin von ihrer Stellung als interne DSB nicht abberufen können. Die Abberufung sei nach Auffassung des LAG daher rechtswidrig gewesen.
4. Wichtiger Grund zur Kündigung des Arbeitsverhältnisses
Gemäß §§ 38 Abs.2, 6 Abs.4 S.2 BDSG konnte die Beklagte zu 1) auch das Arbeitsverhältnis mit der Klägerin nur aus wichtigem Grund kündigen. Die Beklagte hatte keine fristlose Kündigung aus wichtigem Grund (= außerordentliche Kündigung) ausgesprochen, sondern eine ordentliche. Die angefochtene Kündigung war bereits daher unwirksam. Die Umdeutung einer ordentlichen Kündigung in eine außerordentliche ist nicht möglich.
Nach Auffassung des LAG habe im Übrigen kein wichtiger Grund für die Kündigung des Arbeitsverhältnisses vorgelegen. Auch insoweit verwies das LAG zur Begründung auf das Urteil des BAG vom 23.11.2011. Das BAG hatte entschieden, dass betriebliche Organisationsänderungen in der Regel keine wichtigen Gründe für eine außerordentliche Kündigung seien, dazu oben Ziffer 3. (Die vom BAG im weiteren angeführten Sachverhalte, etwa die Betriebsstillegung, die ausnahmsweise eine außerordentliche Kündigung infolge dringender betriebliche Gründe gestatten, haben im durch das LAG zu entscheidenden Fall nicht vorgelegen. Sie werden daher hier nicht weiter ausgeführt.)
Der Kündigungsschutz der Datenschutzbeauftragten greife bereits während der Probezeit (Urteil B.I.1., S.15).
5. Kernaussagen des Landesarbeitsgerichts
a) §§ 38 Abs.2, 6 Abs.4 BDSG, wonach ein interner Datenschutzbeauftragter nur aus wichtigem Grund gekündigt und nur aus wichtigem Grund von seinem Amt abberufen werden kann, verstoße nicht gegen Art.38 Abs.3 S.2 DSGVO.
b) Die unternehmerische Entscheidung, die Funktion des betrieblichen Datenschutzbeauftragten extern, also an einen Dritten außerhalb des Unternehmens, zu vergeben, sei kein wichtiger Grund, der die Abberufung eines internen Datenschutzbeauftragten bzw. die Kündigung seines Arbeitsvertrages rechtfertige.
6. Fazit
Drum prüfe, wer sich lange bindet …
Für die Besetzung der Position des betrieblichen Datenschutzbeauftragten durch unternehmenseigene Ressourcen wie für das Allokieren externer Spezialisten sprechen jeweils gute Gründe. Hat sich der Unternehmer aber einmal entschieden, kann er seine Entscheidung nicht nach eigenem unternehmerischen Ermessen revidieren.
Arbeitsrecht | Datenschutzrecht
§ 38 Abs.2, § 6 Abs.4 BDSG, Art.38 Abs.3 S.2 DSGVO