Betrieblicher Datenschutzbeauftragter – und seine Abberufung wegen eines Interessenkonflikts

Der in § 6 Abs. 4 Satz 1 BDSG normierte besondere Schutz des betrieblichen Datenschutzbeauftragten vor einer Abberufung ist mit Unionsrecht vereinbar.

Betrieblicher Datenschutzbeauftragter – und seine Abberufung wegen eines Interessenkonflikts

In dem hier vom Bundesarbeitsgericht entschiedenen Fall ging es um eine in Sachsen ansässige Körperschaft des öffentlichen Rechts, die als Dienstleisterin für Kommunen Bundesrecht ausführt. Der klagende Arbeitnehmer ist bei ihr seit dem 1.01.2002 als Mitarbeiter im Fachbereich Veranlagung beschäftigt. Zuletzt war er in der Funktion eines Anwendungsberaters mit einer Vergütung nach Entgeltgruppe 10 Stufe 5 TVöD tätig. Mit Schreiben vom 27.02.2004 bestellte die Arbeitgeberin den Arbeitnehmer zum Datenschutzbeauftragten. Für diese Tätigkeit, die zuletzt ungefähr die Hälfte seiner Arbeitszeit umfasste, zahlte die Arbeitgeberin dem Arbeitnehmer eine monatliche Stellenzulage in Höhe von 100, 00 € brutto.

Anlässlich des Inkrafttretens der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG1 (DSGVO) erteilte der Sächsische Landesdatenschutzbeauftragte Handlungsempfehlungen, in denen es u.?a. heißt: „… zur Herstellung vertragsrechtlicher bzw. dienstrechtlicher Rechtssicherheit sollten die Bestellungen der Datenschutzbeauftragten nach § 11 SächsDSG angepasst oder zum Ende des 24.05.2018 widerrufen werden und ggf. im Gegenzug Bestellungen zum 25.05.2018 nach der Datenschutz-Grundverordnung unter Beachtung der zivil- und dienstrechtlichen Besonderheiten vorgenommen werden.“ Mit Schreiben vom 15.08.2018 berief die Arbeitgeberin den Arbeitnehmer mit Wirkung zum 31.08.2018 als Datenschutzbeauftragten ab. Dessen außergerichtliche Aufforderung vom 29.08.2018, ihn über den 31.08.2018 hinaus als behördlichen Datenschutzbeauftragten zu beschäftigen, blieb erfolglos.

Der Arbeitnehmer hat die Auffassung vertreten, die Arbeitgeberin sei nicht berechtigt gewesen, ihn als Datenschutzbeauftragten abzuberufen. Dies setze einen wichtigen Grund iSv. § 626 Abs. 1 BGB voraus, der vorliegend nicht gegeben sei. Die gleichzeitige Tätigkeit als Anwendungsberater und Datenschutzbeauftragter führe zu keinem Interessenkonflikt. Zudem fehle es an der erforderlichen Teilkündigung des Arbeitsverhältnisses. Schließlich habe die Arbeitgeberin gegen das Benachteiligungsverbot des Art. 38 Abs. 3 Satz 2 DSGVO verstoßen.

Das erstinstanzlich hiermit befasste Arbeitsgericht hat die Klage abgewiesen, das Sächsische Landesarbeitsgericht die Berufung des Arbeitnehmers zurückgewiesen2. Auf die Revision des Arbeitnehmers hat das Bundesarbeitsgericht den Rechtsstreit zunächst ausgesetzt3 und den Gerichtshof der Europäischen Union um Vorabentscheidung ersucht, ob die Regelung in § 6 Abs. 4 Satz 1 BDSG, der zufolge die Abberufung eines Datenschutzbeauftragten das Vorliegen eines wichtigen Grundes im Sinne von § 626 Abs. 1 BGB voraussetzt, mit Art. 38 Abs. 3 Satz 2 DSGVO im Einklang steht4). Mit Urteil vom 09.02.2023 hat der Gerichtshof der Europäischen Union über das Vorabentscheidungsersuchen entschieden5. In Umsetzung dieser Vorabentscheidung des Unionsgerichtshofs hob das Bundesarbeitsgericht nunmehr das Berufungsurteil des Sächsischen Landesarbeitsgerichts auf und verwies die Sache zur neuen Verhandlung und Entscheidung an das Sächsische Landesarbeitsgericht, da das Bundesarbeitsgericht auf Grundlage der bisherigen Feststellungen des Sächsischen Landesarbeitsgerichts nicht abschließend beurteilen konnte, ob die zulässige Klage auch begründet ist:

Die Klage ist zulässig. Der Arbeitnehmer verlangt die Feststellung, dass seine Rechtsstellung als behördlicher Datenschutzbeauftragter der Arbeitgeberin nicht durch die „Abbestellung“ vom 15.08.2018 beendet worden ist und er über den 31.08.2018 hinaus behördlicher Datenschutzbeauftragter der Arbeitgeberin ist. Das Klagebegehren ist in einer allgemeinen Feststellungsklage gemäß § 256 Abs. 1 ZPO geltend zu machen6. Der Arbeitnehmer hat ein rechtliches Interesse daran, dass alsbald gerichtlich festgestellt wird, ob er weiterhin Datenschutzbeauftragter bei der Arbeitgeberin ist.

Weiterlesen:
Vorübergehende Übertragung einer höherwertigen Tätigkeit

Mit der Begründung des Landesarbeitsgerichts durfte die Berufung des Arbeitnehmers gegen das klageabweisende Urteil des Arbeitsgerichts nicht zurückgewiesen werden. Die Annahme des Landesarbeitsgerichts, die streitgegenständliche Abberufung sei nicht am Maßstab des § 6 Abs. 4 Satz 1 BDSG iVm. § 626 Abs. 1 BGB, sondern allein an der landesgesetzlichen Vorschrift des § 11 Abs. 2 SächsDSG aF zu messen, hält einer revisionsrechtlichen Prüfung nicht stand. Die streitentscheidende Norm ist § 6 Abs. 4 Satz 1 BDSG. Die Bestimmungen des SächsDSG aF galten zum maßgeblichen Zeitpunkt der Abberufung des Arbeitnehmers am 15.08.2018 nicht für die Arbeitgeberin, da diese nicht zu den in § 2 Abs. 1 und 2 SächsDSG aF enumerativ aufgezählten Behörden zählte.

Die Abberufung des Datenschutzbeauftragten, den öffentliche Stellen – wie die Arbeitgeberin – nach § 5 Abs. 1 Satz 1 BDSG zu benennen haben, ist gemäß § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig. Nach dieser Vorschrift ist eine Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist wirksam, wenn Tatsachen vorliegen, aufgrund deren dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann. Das BDSG gilt nach § 1 Abs. 1 Satz 1 Nr. 2 Buchst. a BDSG für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie Bundesrecht ausführen. Den Begriff „öffentliche Stellen der Länder“ definiert § 2 Abs. 2 BDSG als Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

Öffentliche Stellen der Länder sind – auch wenn sie Bundesrecht ausführen – von den Bestimmungen des BDSG ausgenommen, soweit der Datenschutz in den betreffenden Bundesländern durch landesdatenschutzrechtliche Bestimmungen geregelt ist7. Das BDSG hat damit den Charakter eines „Auffanggesetzes“8, das nur subsidiär zur Anwendung kommt9. Existiert landesspezifisches Datenschutzrecht, hat dieses Vorrang9. In diesen Fällen gilt für Landesbehörden primär Landesrecht, dessen Ausgestaltung den einzelnen Bundesländern entsprechend ihren Gesetzgebungskompetenzen obliegt10.

Das SächsDSG aF ist gemäß § 42 Satz 1 SächsDSG aF in der Fassung des Gesetzes zur Änderung des Sächsischen Datenschutzgesetzes vom 11.05.201911 mit Wirkung zum 31.12.2020 außer Kraft getreten. Nach der vom 25.05.2018 bis zum 31.05.2019 geltenden Fassung sah § 2 Abs. 1 SächsDSG aF – nach Inkrafttreten des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG vom 26.04.201812 – nur noch – drei Regelungsbereiche vor. Zum einen galt das SächsDSG aF für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, Gemeinden und Landkreise sowie sonstige der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts, soweit diese innerhalb des Anwendungsbereichs nach Art. 2 Abs. 1 und 2 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates13 tätig wurden (§ 2 Abs. 1 Satz 1 SächsDSG aF). Die in Bezug genommene Richtlinie (EU) 2016/680 gilt nach ihrem Art. 2 Abs. 1 – nur – für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Art. 1 Abs. 1 Richtlinie (EU) 2016/680 genannten Zwecken. Gemäß Art. 1 Abs. 1 Richtlinie (EU) 2016/680 dient die Richtlinie dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Zum anderen unterfielen den Bestimmungen des SächsDSG aF das Landesamt für Verfassungsschutz (§ 2 Abs. 1 Satz 1 SächsDSG aF) und der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung, sofern sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiteten (§ 2 Abs. 2 SächsDSG aF).

Weiterlesen:
Klageerweiterungen in der Revisionsinstanz vor dem Bundesarbeitsgericht

Die Arbeitgeberin fällt nicht in den Anwendungsbereich des SächsDSG aF. Sie ist zwar nach den von den Parteien nicht angefochtenen Feststellungen des Landesarbeitsgerichts eine öffentliche Stelle des Freistaats Sachsen, die Bundesrecht ausführt und dabei personenbezogene Daten verarbeitet. Als Dienstleisterin für Kommunen gehört sie jedoch weder zu den Behörden, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung und ähnlichem tätig sind, noch zum Landesamt für Verfassungsschutz oder zum Landtag respektive dessen Verwaltung.

Die angefochtene Entscheidung erweist sich nicht aus anderen Gründen als richtig (§ 561 ZPO).

Die Rechtsstellung des Arbeitnehmers als Datenschutzbeauftragter hat – wie das Landesarbeitsgericht zutreffend erkannt hat – nicht automatisch durch Inkrafttreten der DSGVO geendet. Weder die DSGVO, das BDSG noch das SächsDSG enthält eine Bestimmung, dass erfolgte Bestellungen zum Datenschutzbeauftragten durch die Novellierung des Datenschutzrechts ihre Gültigkeit verlieren. Hierfür bestand auch kein Grund, weil sich die Aufgaben des Datenschutzbeauftragten aus § 4g Abs. 1 Satz 4 BDSG in der bis zum 24.05.2018 gültigen Fassung und aus Art. 39 DSGVO im Wesentlichen decken. Dementsprechend geht auch der Sächsische Landesdatenschutzbeauftragte in seinen Handlungsempfehlungen nicht von einem gesetzlichen Automatismus aus, sondern regt eine Anpassung oder einen Widerruf der Bestellungen und damit ein aktives Handeln des Verantwortlichen an.

Die Abberufung des Arbeitnehmers als Datenschutzbeauftragter ist nicht allein deshalb gerechtfertigt, weil die Arbeitgeberin den Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten gefolgt wäre. Nach § 40 Abs. 6 Satz 2 BDSG können die nach Landesrecht zuständigen Aufsichtsbehörden die Abberufung des Datenschutzbeauftragten verlangen, wenn dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Art. 38 Abs. 6 DSGVO ein schwerwiegender Interessenkonflikt vorliegt. Den Aufsichtsbehörden obliegt es jedoch gemäß § 40 Abs. 1 BDSG lediglich, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Als öffentliche Stelle unterliegt die Arbeitgeberin dieser Kontrolle nicht. Darüber hinaus lassen sich die „allgemeinen“ Handlungsempfehlungen auch nicht als ein speziell an die Arbeitgeberin gerichtetes Verlangen der Aufsichtsbehörde verstehen. Bei diesen handelt sich es nicht um eine auf unmittelbare Rechtswirkung nach außen gerichtete Einzelfallentscheidung, sondern um bloße Ratschläge zur Vorgehensweise bei Inkrafttreten der DSGVO.

Der Rechtsstreit ist nicht zur Endentscheidung reif (§ 563 Abs. 3 ZPO).

Die Klage ist nicht bereits deshalb begründet, weil die Arbeitgeberin das Arbeitsverhältnis des Arbeitnehmers nicht teilweise gekündigt hat. Entgegen der Auffassung des Arbeitnehmers bedurfte seine wirksame Abberufung als Datenschutzbeauftragter keiner Teilkündigung14.

Weiterlesen:
Das vom Jobcenter verhängte Hausverbot gegen einen Rechtsanwalt

Teilkündigungen, mit denen der Kündigende einzelne Vertragsbedingungen gegen den Willen der anderen Vertragspartei einseitig ändern will, sind grundsätzlich unzulässig. Sie stellen einen unzulässigen Eingriff in das ausgehandelte Äquivalenz- und Ordnungsgefüge des Vertrags dar. Nur ausnahmsweise können Teilkündigungen zulässig sein, wenn dem Vertragspartner das Recht eingeräumt wurde und kein zwingender Kündigungsschutz umgangen wird15.

Die Abberufung des Arbeitnehmers erforderte keine Teilkündigung.

Mit der Bestellung zum internen Beauftragten für den Datenschutz tritt die damit verbundene Tätigkeit für die Dauer des Amtes zur (bisher) vertraglich geschuldeten Leistung des Arbeitnehmers hinzu. Das BDSG regelt nicht, welches Rechtsverhältnis mit der Bestellung zum Datenschutzbeauftragten begründet werden soll. § 5 Abs. 1 Satz 1 BDSG regelt nur die einseitige Bestellung. Davon ist die vertragliche Grundlage zu trennen, nach der sich der Beauftragte für den Datenschutz schuldrechtlich verpflichtet, diese Aufgabe zu übernehmen16.

Die Übertragung des Amtes und der damit verbundenen Aufgaben bedarf einer Vereinbarung der Arbeitsvertragsparteien, dass die Wahrnehmung des Amtes und der damit verbundenen Tätigkeit Teil der vertraglich geschuldeten Leistung werden soll. Sie kann regelmäßig nicht durch Ausübung des Direktionsrechts erfolgen. Die Vereinbarung kann konkludent geschlossen werden, indem der Arbeitnehmer das angetragene Amt annimmt. Mit welchem konkreten Inhalt der Arbeitsvertrag geändert und angepasst wird, ist durch Auslegung der Vereinbarung nach §§ 133, 157 BGB zu ermitteln. Regelmäßig wird bei einer Bestellung einzelner Arbeitnehmer zu Datenschutzbeauftragten im bestehenden Arbeitsverhältnis der Arbeitsvertrag nach Maßgabe der gesetzlichen Bestimmungen um die mit diesem Amt verbundenen Aufgaben für die Zeitspanne der Amtsübertragung entsprechend geändert und angepasst erweitert. Wird die Bestellung nach § 6 Abs. 4 Satz 1 BDSG wirksam widerrufen, ist die Tätigkeit des Beauftragten für den Datenschutz nicht mehr Bestandteil der vertraglich geschuldeten Leistung. Es bedarf dann keiner Teilkündigung17.

Danach bedurfte die Abberufung des Arbeitnehmers keiner Teilkündigung. Der als Anwenderberater tätige Arbeitnehmer wurde mit Schreiben der Arbeitgeberin vom 27.02.2004 zum Datenschutzbeauftragten bestellt. Aus diesem Schreiben ergibt sich weder ein Angebot auf eine dauerhafte Übertragung der Aufgabe eines betrieblichen Datenschutzbeauftragten noch eine dauerhafte Änderung des Arbeitsvertrags. Dieses Angebot hat der Arbeitnehmer mit seinem Einverständnis zur Bestellung als betrieblicher Datenschutzbeauftragter angenommen. Der Arbeitsvertrag ist demnach – lediglich – für die Dauer der Übertragung des Amts und der damit verbundenen Tätigkeit erweitert worden.

Auf der Grundlage der Feststellungen des Landesarbeitsgerichts kann das Bundesarbeitsgericht nicht feststellen, ob die Arbeitgeberin den Arbeitnehmer wirksam abberufen hat.

Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung von § 626 BGB und damit aus wichtigem Grund zulässig. Diesen besonderen Schutz des betrieblichen Datenschutzbeauftragten vor Abberufungen steht Art. 38 Abs. 3 Satz 2 DSGVO, der nur ein Abberufungs- und Benachteiligungsverbot des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“ vorsieht, nicht entgegen.

Der Gerichtshof der Europäischen Union hat mit Urteil vom 09.02.202318 aufgrund des Vorlagebeschlusses des Bundesarbeitsgerichts vom 27.04.202119 entschieden, Art. 38 Abs. 3 Satz 2 DSGVO sei dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.

Weiterlesen:
Schreibmaschine oder PC für den Betriebsrat?

Durch die Regelung § 6 Abs. 4 Satz 1 BDSG wird die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“20. Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden21. Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind22. Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt23.

Durch § 6 Abs. 4 Satz 1 BDSG werden die Ziele der DSGVO nicht beeinträchtigt. Die Abberufung – wie auch die Kündigung – des Datenschutzbeauftragten ist nach nationalem Recht zwar an besondere Anforderungen geknüpft, da jeweils die Schwelle des „wichtigen Grundes“ erreicht werden muss. Damit werden die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, erhöht, jedoch weder unmöglich noch unzumutbar erschwert. Insbesondere ist auch nach nationalem Recht nicht „jede“ Abberufung des Arbeitsverhältnisses eines Datenschutzbeauftragten, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt24, verboten. Die personen- oder verhaltensbedingten Gründe müssen nur die Erheblichkeitsschwelle des „wichtigen Grundes“ erreichen. Die grundsätzliche Möglichkeit eines Abberufungsverlangens durch die Aufsichtsbehörden der Länder nach § 40 Abs. 6 Satz 2 BDSG unterstreicht, dass Datenschutzbeauftragte, die ihre Aufgaben nicht im Einklang mit der DSGVO erfüllen, nach nationalem Recht nicht vor jedem Verlust ihrer Rechtsstellung geschützt werden25.

Aufgrund der Verweisung in § 6 Abs. 4 Satz 1 BDSG muss für die Abberufung ein wichtiger Grund vorliegen, der es dem Verantwortlichen aufgrund von Tatsachen und unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragspartner unzumutbar macht, die betreffende Person als betrieblichen Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen.

Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter. Auch die wirksame Beendigung des zugrundeliegenden Arbeitsverhältnisses kann ein wichtiger Grund für den Widerruf der Bestellung eines internen Beauftragten für den Datenschutz sein (vgl. zu § 4f Abs. 3 Satz 4 BDSG aF BAG 23.03.2011 – 10 AZR 562/09, Rn. 15 mwN).

Ein die Abberufung rechtfertigender wichtiger Grund kann begründet sein, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht (mehr) besitzt. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann infrage stehen, wenn Interessenkonflikte drohen. Eine Überschneidung von Interessenssphären kann die vom BDSG geforderte Zuverlässigkeit beeinträchtigen26. Ein abberufungsrelevanter Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat27. In einem solchen Fall ist die unabhängige Überwachung dieser Zwecke und Mittel durch den Datenschutzbeauftragten gefährdet, weil dieser seine in seiner weiteren Funktion vorgenommenen Handlungen und damit sich selbst kontrollieren müsste.

Weiterlesen:
Werkverträge oder Arbeitnehmerüberlassung im Konzern - der Stuttgarter Versuchsfahrer

Das Bundesarbeitsgericht kann nicht abschließend beurteilen, ob die Abberufung mangels wichtigen Grundes nach § 6 Abs. 4 Satz 1 BDSG iVm. § 626 Abs. 1 BGB unwirksam ist. Das Landesarbeitsgericht hat – von seinem Rechtsstandpunkt aus konsequent – weder Feststellungen getroffen, die auf einen wichtigen Grund für die Abberufung des Arbeitnehmers schließen lassen, noch die ihm als Tatsachengericht obliegende diesbezügliche Prüfung vorgenommen. Die bloße Benennung der Tätigkeit des Arbeitnehmers als „Mitarbeiter im Fachbereich Veranlagung“ bzw. „Anwendungsberater“ ist hierfür nicht ausreichend. Auch der Umstand, dass der Arbeitnehmer, der Finanzdaten von Bürgern unter Einhaltung datenschutzrechtlicher Vorschriften zu verarbeiten habe, als Datenschutzbeauftragter sich selbst insoweit zu kontrollieren habe, lässt für sich betrachtet noch nicht auf das Vorliegen eines wichtigen Grundes schließen.

Im fortgesetzten Berufungsverfahren wird das Landesarbeitsgericht erforderliche Tatsachenfeststellungen nachzuholen und die tatbestandlichen Voraussetzungen des § 626 Abs. 1 BGB zu prüfen haben.

Zunächst muss das Landesarbeitsgericht aufklären, welche genauen Tätigkeiten der Arbeitnehmer ausübt und ob diese einen Interessenkonflikt mit dem Amt des Datenschutzbeauftragten begründen, der als wichtiger Grund eine Abberufung rechtfertigen kann. Dabei ist insbesondere festzustellen, ob der Arbeitnehmer Zwecke und Mittel der Verarbeitung personenbezogener Daten bei der Arbeitgeberin festlegt. Außerdem wird es der Behauptung der Arbeitgeberin nachzugehen haben, dass dem Arbeitnehmer die für die Tätigkeit als Datenschutzbeauftragter erforderliche fachliche Eignung fehlt. Den Parteien wird in diesem Zusammenhang rechtliches Gehör zu gewähren und Gelegenheit zu geben sein, ihren Sachvortrag zu ergänzen bzw. zu konkretisieren.

Sofern ein abberufungsrelevanter Interessenkonflikt besteht oder eine fehlende fachliche Eignung vorliegt, ist zu beachten, dass ein wichtiger Grund für eine Abberufung nur vorliegt, wenn kein milderes Mittel zur Verfügung steht. Als milderes Mittel gegenüber der Abberufung kann eine Umorganisation der sonstigen Aufgaben und Pflichten des Datenschutzbeauftragten in Betracht kommen. Dies entspricht der in Art. 38 Abs. 6 DSGVO zum Ausdruck kommenden Wertung. Diese Bestimmung sieht ausdrücklich vor, dass der Datenschutzbeauftragte mit der Wahrnehmung anderer Aufgaben und Pflichten als denen betraut werden kann, die ihm nach Art. 39 DSGVO als Datenschutzbeauftragter obliegen. Bei der Übertragung weiterer Tätigkeiten ist jedoch die funktionelle Unabhängigkeit des Datenschutzbeauftragten zu wahren, damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet wird. Der Verantwortliche oder sein Auftragsverarbeiter muss deshalb sicherstellen, dass diese anderen Aufgaben und Pflichten nicht zu einem „Interessenkonflikt“ führen. Der Datenschutzbeauftragte darf nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten. Dies hat zur Folge, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Denn dem Datenschutzbeauftragten obliegt gerade die unabhängige Überwachung dieser Zwecke und Mittel28. Deshalb ist der Verantwortliche – soweit es ihm kraft Direktionsrecht möglich und auch zumutbar ist – gehalten, vor der Abberufung des Datenschutzbeauftragten dessen sonstigen Aufgaben und Pflichten so zu anzupassen, dass dessen funktionelle Unabhängigkeit gewährleistet ist.

Weiterlesen:
Die Schließung einer Betriebskrankenkasse - und ihre Arbeitnehmer

Ob die Arbeitgeberin mit der Abberufung des Arbeitnehmers gegen das Verbot des Art. 38 Abs. 3 Satz 2 DSGVO verstoßen hat, dem zufolge der Datenschutzbeauftragte von dem Verantwortlichen nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf, kann im Ergebnis offenbleiben. Bei Vorliegen eines wichtigen Grundes im Sinne von § 6 Abs. 4 Satz 1 BDSG ist die Abberufung unabhängig von einer Verletzung des Verbots in Art. 38 Abs. 3 Satz 2 DSGVO wirksam. Läge dagegen kein wichtiger Grund für die Abberufung vor, wäre die Abberufung ohnehin unwirksam, sodass ein (zusätzlicher) Verstoß gegen Art. 38 Abs. 3 Satz 2 DSGVO bzw. § 6 Abs. 3 Satz 3 BDSG keine weitere Auswirkung haben könnte.

Bundesarbeitsgericht, Urteil vom 6. Juni 2023 – 9 AZR 621/19

  1. ABl. L 119 vom 04.05.2016 S. 1[]
  2. Sächs. LAG 08.10.2019 – 7 Sa 128/19[]
  3. BAG Beschluss vom 27.04.2021 – 9 AZR 621/19[]
  4. BAG 27.04.2021 – 9 AZR 621/19 (A[]
  5. EuGH 9.02.2023 – C-560/21 – [KISA][]
  6. vgl. BAG 13.03.2007 – 9 AZR 612/05, Rn. 15, BAGE 121, 369[]
  7. vgl. Gola/Reif in Gola/Heckmann 3. Aufl. BDSG § 1 Rn. 6[]
  8. amtl. Begr. zu § 1 BDSG BT-Drs. 18/11325 S. 79[]
  9. vgl. Kühling/Buchner/Klar 3. Aufl. BDSG § 1 Rn. 9[][]
  10. vgl. Gusy/Eichenhofer in BeckOK DatenschutzR 44. Ed. BDSG § 1 Rn. 128[]
  11. SächsGVBl. S. 358[]
  12. SächsGVBl. S.198[]
  13. ABl. L 119 vom 04.05.2016 S. 89[]
  14. vgl. BAG 23.03.2011 – 10 AZR 562/09, Rn. 30; 29.09.2010 – 10 AZR 588/09, Rn. 16, BAGE 135, 327; anders noch 13.03.2007 – 9 AZR 612/05, Rn. 29, BAGE 121, 369[]
  15. BAG 23.03.2011 – 10 AZR 562/09, Rn. 27 mwN[]
  16. vgl. BAG 23.03.2011 – 10 AZR 562/09, Rn. 29; 13.03.2007 – 9 AZR 612/05, Rn. 21, BAGE 121, 369; Gola in Gola/Heckmann BDSG 3. Aufl. § 5 Rn. 9[]
  17. vgl. BAG 23.03.2011 – 10 AZR 562/09, Rn. 30; 29.09.2010 – 10 AZR 588/09, Rn. 15 f., BAGE 135, 327[]
  18. EuGH 09.02.2023 – C-560/21 – [KISA][]
  19. BAG 27.04.2021 – 9 AZR 621/19 (A) []
  20. EuGH 9.02.2023 – C-560/21 – [KISA] Rn.20; 22.06.2022 – C-534/20 – [Leistritz] Rn. 26 f.[]
  21. vgl. EuGH 9.02.2023 – C-560/21 – [KISA] Rn. 22; 22.06.2022 – C-534/20 – [Leistritz] Rn. 28[]
  22. vgl. EuGH 9.02.2023 – C-560/21 – [KISA] Rn. 25[]
  23. vgl. EuGH 9.02.2023 – C-560/21 – [KISA] Rn. 27; 22.06.2022 – C-534/20 – [Leistritz] Rn. 35[]
  24. so ausdrücklich EuGH 9.02.2023 – C-560/21 – [KISA] Rn. 27; 22.06.2022 – C-534/20 – [Leistritz] Rn. 35[]
  25. BAG 25.08.2022 – 2 AZR 225/20, Rn. 17[]
  26. BAG 23.03.2011 – 10 AZR 562/09, Rn. 24; 22.03.1994 – 1 ABR 51/93, zu B IV der Gründe, BAGE 76, 184[]
  27. so zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO: EuGH 9.02.2023 – C-453/21 – [X-FAB Dresden] Rn. 44, 46; zuvor bereits Art.-29-Datenschutzgruppe WP 243 rev. 01 S.19[]
  28. vgl. EuGH 9.02.2023 – C-453/21 – [X-FAB Dresden] Rn. 40 ff.[]

Bildnachweis: