DSGVO – Urteil BAG Bundesarbeitsgericht 08/2022 & EuGH 06/2022 Datenschutzbeauftragte und der Kündigungsschutz & Abberufungsschutz

Die nationale Regelung, dass die Abberufung eines internen Datenschutzbeauftragten nur aus wichtigem Grund zulässig ist, steht im Einklang mit EU-Recht. Das entschied der Europäische Gerichtshof (EuGH). Nach dem EuGH-Urteil ist der strenge Schutz vor Kündigung und Abberufung für jeden internen Datenschutzbeauftragten gültig.

Wie sieht die Rechtslage bisher aus?

Im §38 Abs. 1 Datenschutz-Grundverordnung ist klar ersichtlich, warum ist der Kündigungs-Schutz Abberufungs-Schutz so wichtig. Dem DSB obliegt nicht nur die Information und Beratung von Beauftragten (Arbeitgebern) und Arbeitnehmern zum Thema Datenschutz. Außerdem überwacht er, dass die datenschutzrechtlichen Vorschriften eingehalten werden, kooperiert mit Aufsichtsbehörden und ist idealer Ansprechpartner bei aufkommenden Fragen. Damit wird klar, dass die Belange des Datenschutzes andere sind als die der IT-Sicherheit. Dieses gilt als Schutz von Unternehmensinformationen im Allgemeinen und IT-Sicherheit dient dem Schutz der IT-Infrastruktur. IT-Sicherheit und Informationssicherheit korrelieren mit dem Arbeitgeber-Interesse, Vorkehrungen gegen äußere Einflüsse zu treffen, nicht aber für den Datenschutz.

Im modernen Datenschutz gibt es mehrere Rechtsordnungen nebeneinander. Die Datenschutzgrundverordnung, eine Verordnung auf EU-Ebene, ist heute besonders bekannt. Darüber hinaus gibt es deutsche Datenschutzgesetze aus dem BDSG und weiteren Gesetzen. Beiden Rechtsquellen sind die Regelungen zum Schutz vor willkürlicher Kündigung durch einen DSB bekannt. Wer als betrieblicher Dienstleister (also als verantwortlicher Mitarbeiter des Unternehmens) benannt ist, ist mittels § 6 Abs. 4 Satz 2 BDSG besonders geschützt. Es sagt:

„Die Beendigung eines Arbeitsverhältnisses ist nur dann zulässig, wenn ein Ereignis vorliegt, das der Behörde erlaubt, das Arbeitsverhältnis aus einem wichtigen Grund ohne Einhaltung der Kündigungsfrist zu kündigen.“

Diese Regelung gilt gemäß § 38 Abs. 2 i.V.m. 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes BDSG auch für gesetzlich vorgeschriebene DSB von nicht-öffentlichen Einrichtungen. So weit so klar. Allerdings weist die Datenschutz-Grundverordnung als europäische Verordnung zwei Besonderheiten auf. Ziel ist es, EU-weit einheitliche Standards zu setzen, die ein Alleingang einzelner Mitgliedstaaten verhindern und genießen die sogenannte Bewerbungspriorität. Wenn also ein EU-Mitgliedstaat europarechtswidrige Rechtsvorschriften erlässt, muss europäisches Recht Vorrang haben. Dies bedeutet nicht, dass die nationale Regulierung abgeschafft wird, sollte aber nicht mehr maßgeblich sein.

Besteht auch ein gearteter Schutz zudem auch für externe Datenschutzbeauftragte?

Zum Schutz des DSB heißt es in § 38 Abs. 3 Datenschutz-Grundverordnung:

„Der Verantwortliche und der Auftragsverarbeiter müssen sicherstellen, dass der DSB im Rahmen der Wahrnehmung seiner Aufgaben keine Weisungen bezüglich der Wahrnehmung dieser Aufgaben erhält. Ein interner DSB darf von einem Verantwortlichen oder Auftragsverarbeiter aufgrund der Wahrnehmung seiner Aufgaben nicht entlassen oder benachteiligt werden. Der DSB berichtet direkt an die oberste Leitung des Verantwortlichen oder Auftragsverarbeiters.“

Daher die eine Bestimmung, dass der DSB nicht wegen der Erfüllung seiner Arbeit entlassen werden darf. Eine derartige Anforderung ist weniger streng als die deutschen Vorschriften. Nun kam die Frage zusätzlich auf, ob die deutschen Regelungen beibehalten werden sollten.

Als EU-Verordnung geht die Datenschutzgrundverordnung dem nationalen Recht vor. Das heißt, dass der deutsche Gesetzgeber, sofern die DSGVO keine „Anfangsklausel“ enthält, nationale Regelungen nicht benutzen kann, wenn sie mit europäischem Recht kollidieren. Durch die verschiedenen Inhalte der Regelungen zum DSB ist das BAG skeptisch, ob ein besonderer Kündigungsschutz nach dem § 38 Abs. 2 BDSG iVm § 6 Abs. 4 BDSG europarechtskonform ist. Aus BAG-Sicht war dahingehend zu klären, ob der Deutsche Bundestag die Kompetenz hat, strengere Regeln zum Schutz von DSB zu erlassen.

Austausch eines internen DSB durch einen externen Dienstleister

Das diesjähriges Urteil des Gerichtshofes der Europäischen Union EuGH Urteil vom 22.06.2022 – C 534/20:

Im Falle eines Konflikts zwischen nationalem und EU-Recht ist der Gerichtshof der Europäischen Gemeinschaft für die EU-Rechts-Auslegung und gegebenenfalls für die Feststellung des Vorrangs des EU-Rechts zuständig. Die Gerichte können dem EuGH aus diesem Grunde Fragen zur Auslegung des EU-Rechts in Fällen vorlegen, in denen die Antworten darauf eine bedeutende Rolle spielen. Mangels konkreter Fälle stellt der Europäische Gerichtshof solche Fragen nicht abstrakt.

Der dem EuGH vorausgegangene Fall betraf eine Mitarbeiterin, welche Anfang 2018 für die Rechtsabteilung eines Betriebes mit über 50 Mitarbeitern eingestellt wurde. Einen Monat später wurde sie zur DSB ernannt. Die Kündigung erfolgte im August 2018 im Rahmen eines Restrukturierungsplans. Die Arbeit des DSB soll künftig von einem außerbetrieblichen DSB wahrgenommen werden.

Die Mitarbeiterin hat gegen die Kündigung geklagt. Gemäß § 6 Abs. 4 BDSG ist die Kündigung nicht zulässig, da sie eine DSB ist. In der ersten Instanz bekam die Klägerin Recht. Daraufhin legte der Arbeitgeber Berufung ein und anschließend Revision. Zum einen ist sumstritten, ob eine Umstrukturierung ein „erheblicher Grund“ ist, der jedoch Kündigungen rechtfertigen kann. Andererseits gibt es auch eine Datenschutz-Grundverordnung-Vorschrift, das nur eine Kündigung „aufgrund“ der Erfüllung des Mandats ausschließt. In diesem Fall lag eine Umstrukturierung als Grund vor.

Der Fall wurde zunächst vor dem Arbeitsgericht und dem Landesarbeitsgericht Nürnberg bearbeitet. Er landete schließlich vor dem Bundesarbeitsgericht, das dem EuGH Fragen zur Datenschutz-Grundverordnung-Auslegung vorlegte.

So hat sich der EuGH entschieden

Der Europäische Gerichtshof hatte eine Entscheidung getroffen, ob die deutschen Regelungen zum Kündigungsschutz von betrieblichen DSB mit den Regelungen der Datenschutz-Grundverordnung unvereinbar sind. Es hängt davon ab, ob eventuell auftretende Konflikte in die Zuständigkeit der EU fallen. Die EU hat nur in bestimmten, genau definierten Bereichen Gesetzgebungsbefugnis. In dieser Hinsicht haben die Mitgliedstaaten ihr Befugnisse übertragen. Sobald es jedoch um andere Fragen geht, liegt die Gesetzgebungsbefugnis allein bei den Mitgliedstaaten.

Die Regeln zum Kündigungsschutz sind Sache der Sozialpolitik. Bei der Datenschutz-Grundverordnung selbst gilt der Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten sowie dem offenen Datenverkehr. Die Verordnung von § 38 Datenschutz-Grundverordnung unterstützt das Ziel, indem DSB nicht entlassen werden können, um ihre gesetzlichen Pflichten wie Überwachung und Einhaltung der Datenschutz-Grundverordnung zu erfüllen.

Allerdings erstreckt sich der Kündigungsschutz nach deutschem Recht auf den Bereich der Sozialpolitik. Die Kapazitäten der EU in diesem Bereich sind sehr begrenzt. Es gibt nur eine Richtungskapazität, die die Festlegung von Mindeststandards erlaubt. Mit dieser minimalen Befugnis darf die EU den Mitgliedstaaten jedoch nicht verbieten, ein höheres Schutzniveau anzubieten. Wenn die Vorschriften der Mitgliedstaaten strenger sind, ist dies zulässig.

Wichtig ist schließlich auch, dass die deutsche Regelung des Kündigungsschutzes nicht in Frage gestellt wird. Insofern steht es dem deutschen Gesetzgeber frei, eine passende Regelung zu definieren. Entgegen der Datenschutz-Grundverordnung steht nichts. Feststellungen aus früheren Verfahren, dass eine Unternehmensumstrukturierung kein erheblicher Kündigungsgrund sei, hat der EuGH nicht aufgegriffen. Diese standen in keinem Zusammenhang mit der genannten Frage. Der EuGH entscheidet lediglich, ob und wie das EU-Recht in Bezug auf mitgliedstaatliche Regelungen auszulegen und zu benutzen ist.

Das Urteil BAG Bundarbeitsgericht

Wann darf ein internen Datenschutzbeauftragte gekündigt oder abberufen werden? Der gesetzlich bestellte betriebliche DSB kann nur aus wichtigem Grund ausdrücklich abberufen werden. Die Restrukturierungsmaßnahmen des Unternehmens gehören nicht dazu. Dass dieser durch das Bundesdatenschutzgesetz (BDSG) normierte besondere Kündigungsschutz mit EU- und nationalem Recht vereinbar ist, hat unter dem Akteenzeichen 2 AZR 225/20 – Das Bundesarbeitsgericht BAG in August 2022 klargestellt. Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch.

Was bedeutet das Urteil für die Arbeitgeber konkret?

Der Kündigungsschutz von angestellten DSB ist daher in Deutschland nach wie vor streng. Die Abkehr vom einmal bestellten DSB ist etwas unkomplizierter. Eine Kündigung nur außerordentlich aus wichtigem Grund gilt als zulässig, wenn wichtige Kündigungsgründe vorliegen und eine einfache betriebliche Kündigung nicht ausreichend ist. Eine Beendigung der Arbeit ist zwar möglich, aber keinesfalls mithilfe einer Kündigung. Anders sieht es bei externen DSB aus. Da sie keine Mitarbeiter des Verantwortlichen sind, sind sie nach § 6 Abs. 4 BDSG nicht kündigungsgeschützt. Sie werden jedoch nicht durch eine unliebsame Handlungen von ihren Aufgaben als DSB entbunden. Es gilt § 38 Datenschutz-Grundverordnung, der die Kündigung oder Diskriminierung aufgrund der Aufgabenerfüllung verbietet.

Fazit:

Der EuGH stärkt mit seiner Entscheidung seine Position als interner DSB. Die Unabhängigkeit von DSB, die als Arbeitnehmer wirtschaftlich von ihren Arbeitgebern abhängig sind, wird durch einen besonderen Kündigungsschutz erleichtert, der als europarechtskonform bewertet wird. Es bleibt für Unternehmen schwierig, sich von ihren internen Datenschutzbeauftragten zu trennen. Vor allem die betriebsbedingte Abberufung des DSB ist regelmäßig ausgeschlossen. Wann soll interner oder externer Datenschutzbeauftragter einbestellt werden? Möchte ein Arbeitgeber hinsichtlich seines DSB flexibel bleiben, ist es ratsam, einen außerbetrieblichen DSB zu bestellen. Da der außerbetriebliche DSB kein Mitarbeiter des DSB ist, besteht kein besonderer Kündigungsschutz. Für einen außerbetrieblichen DSB gilt lediglich Artikel 38 Datenschutz-Grundverordnung, wobei eine Kündigung oder eine Benachteiligung zur Wahrnehmung von Aufgaben verboten ist.

Weitere News zur DSGVO:

DSGVO – Urteil VG Stuttgart & EUGH – Datenschutzbeauftragter unabhängig & besonders schutzwürdig

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/

DSGVO – Verantwortlicher und welche Verantwortung