Die früheren nationalen Regelungen, wonach ein interner Datenschutzbeauftragter nur aus wichtigem Grund gekündigt und nur aus wichtigem Grund von seinem Amt abberufen werden kann (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG-alt), sind mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar (LAG Nürnberg – 2 sa 274/19).
Sachverhalt
Eine Klägerin ist auf Grundlage eines Arbeitsvertrages seit 15.01.2018 bei der Beklagten als „Teamleiter Recht“ beschäftigt gewesen. Die Beklagte beschäftigt regelmäßig mehr als 10 Vollzeitarbeitnehmer ausschließlich der Auszubildenden.
Mitte Januar 2018 wurde die Klägerin von der Beklagten mit Wirkung vom 01.02.2018 zur betrieblichen Datenschutzbeauftragten (auch der Tochterunternehmen) bestellt. Die Beklagte war zur Bestellung eines betrieblichen Datenschutzbeauftragten nach § 38 Abs. 1 Satz 1 BDSG-alt verpflichtet.
Mit Schreiben vom 13.07.2018 wurde das Arbeitsverhältnis der Klägerin (noch während der Probezeit) durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.
Mit Klageschriftsatz vom 02.08.2018 begehrte die Klägerin gegenüber der Beklagten die Feststellung der Unwirksamkeit der Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses sowie die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.
Die Beklagte erklärte, aufgrund veränderter wirtschaftlicher und rechtlicher Rahmenbedingungen die Funktion des Zentralbereichsleiters im Teilbereich Recht zu streichen, den Bereich Datenschutz extern zu vergeben und die interne Rechtsberatung durch eine Stelle im Stile eines Brückenkopfs hin zu externen Anwälten auszugestalten und im Übrigen auf eine externe Kanzlei zu übertragen. Dies habe zu einem Wegfall des Beschäftigungsbedarfs der Klägerin geführt.
Die Klägerin könne sich auf keinen Sonderkündigungsschutz als Datenschutzbeauftragte berufen. Die Regelung in § 6 Abs. 4 Satz 2 BDSG-alt verstoße gegen Art. 38 DSGVO und sei daher unwirksam. Der Betriebsrat sei ebenfalls ordnungsgemäß angehört worden. Die Benennung eines Sonderkündigungsschutzes sei gerade nicht erforderlich gewesen.
Das Arbeitsgericht Nürnberg hat mit Endurteil vom 22.07.2019 den Klageanträgen stattgegeben und die Beklagte zur Weiterbeschäftigung als Teamleiterin Recht verurteilt. Hinsichtlich der Weiterbeschäftigung als betriebliche Datenschutzbeauftragte hat es die Klage abgewiesen.
Gegen dieses Urteil legte die Beklagte Berufung beim Landesarbeitsgericht Nürnberg ein.
Urteil
Das LAG Nürnberg erklärte die Berufung für unbegründet. Bezüglich der Kündigung als interne Datenschutzbeauftragte positionierte sich das Gericht wie folgt:
- Die Klägerin genoss zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 Satz 2 BDSG. Danach ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, die den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach einer wirksamen Abberufung als Datenschutzbeauftragter gilt dies noch für ein Jahr weiter (§§ 38 Abs. 2, 6 Abs. 4 Satz 3 BDSG-alt).
a) Die Klägerin war wirksam schriftlich zur Datenschutzbeauftragten nach § 4f Abs. 1 BDSG in der bis 24.05.2018 geltenden Fassung (BDSG aF) bestellt worden. Zum Zeitpunkt der Kündigung war die Beklagte unstreitig verpflichtet, einen Datenschutzbeauftragten zu bestellen (§ 38 Abs. 1 und 2, 2. HS BDSG in der vom 25.05.2018 – 25.11.2019 geltenden Fassung). Dieser Sonderkündigungsschutz gilt auch bereits in der Probezeit.
b) Dieser besondere Kündigungsschutz auf nationaler Ebene verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.
Eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, findet sich in der DSGVO nicht. Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.
Der Art. 38 DSGVO regelt die Stellung sowohl des intern als auch des extern bestellten Datenschutzbeauftragten allgemein. Im Bereich des Arbeitsrechts sind die Mitgliedstaaten nicht gehindert, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den EU-Verträgen vereinbar sind (Art. 153 Abs. 4, 2. Spiegelstrich AEUV). Dem nationalen Gesetzgeber ist es daher nicht verwehrt, spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten, der auf Grund eines Arbeitsvertrages als solcher tätig ist („interner Datenschutzbeauftragter“) zu erlassen, soweit sie den in Art. 38 Abs. 3 Satz 2 DSGVO gewährleisteten Abberufungs- und Benachteiligungsschutz nicht beeinträchtigen.
Hierfür spricht auch der Wortlaut des Art. 38 Abs. 3 Satz 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er darf deshalb also nicht gekündigt werden. Art. 38 Abs. 3 Satz 2 DSGVO enthält aber keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als Datenschutzbeauftragten zu gewährleisten. Dies dient dem in Erwägungsgrund 97 der DSGVO niedergelegten Ziel, dass der Datenschutzbeauftragte unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang.
c) Da die Beklagte keine außerordentliche, sondern eine ordentliche Kündigung ausgesprochen hat, ist die Kündigung schon deshalb gem. § 38 Abs. 2 iVm § 6 Abs. 4 Satz 2 bzw. Satz 3 BDSG unwirksam. Eine Umdeutung gem. § 140 BGB in eine außerordentliche Kündigung ggf. mit Auslauffrist ist nicht möglich. Auch wurde der Betriebsrat nicht zu einer außerordentlichen Kündigung angehört.
d) Darüber hinaus hat das Arbeitsgericht zu Recht und überzeugend begründet, dass ein wichtiger Grund für die Kündigung des Arbeitsverhältnisses nicht vorlag. Dem schließt sich das erkennende Gericht unter Bezugnahme auf das Urteil des Arbeitsgerichts an. Weiterer Ausführungen hierzu waren nicht veranlasst. - Die Beklagte bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO.
a) Auch die Abberufung des Datenschutzbeauftragten ist in der DSGVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Die Abberufung als interner Datenschutzbeauftragter zielt auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.
Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DSGVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DSGVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.
Mit dem Bundesgesetzgeber vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.
b) Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.
c) Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten, dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DSGVO stand. Die Beklagte beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.
Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DSGVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.
Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DSGVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam.
Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DSGVO festgehalten ist.
Fundstelle
Das Urteil ist beispielsweise abrufbar unter https://www.lag.bayern.de/imperia/md/content/stmas/lag/nuernberg/entscheidungen/2020/2_sa_274_19.pdf