In Deutschland genießt ein einmal benannter interner Datenschutzbeauftragter einen besonderen Kündigungsschutz. Dieser wurde nun vom Europäischen Gerichtshof (EuGH) in einem Urteil bestätigt – Arbeitgeber sollten sich darauf einstellen.
Der Inhalt im Überblick
Kündigungsschutz Datenschutzbeauftragter: Wie ist die Rechtslage?
Es gibt im modernen Datenschutz mehrere rechtlichen Systeme nebeneinander. Bekannt ist heutzutage insbesondere die DSGVO, die eine Verordnung auf EU-Ebene ist. Daneben gibt es auch das deutsche Datenschutzrecht aus dem BDSG und anderen Gesetzen. Beide Rechtsquellen kennen Regelungen zum Schutz vor willkürlichen Kündigungen eines Datenschutzbeauftragten.
Regelung nach dem BDSG
Wer einmal zum Datenschutzbeauftragten eines Unternehmens benannt wurde – intern, also als Arbeitnehmer des verantwortlichen Unternehmens – ist durch § 6 Absatz 4 Satz 2 BDSG besonders geschützt. Dort heißt es:
„Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.“
Diese Regelung wird über den § 38 Abs. 2 BDSG auch für den verpflichtend bestellten Datenschutzbeauftragten von nicht-öffentlichen Stellen als anwendbar erklärt. So weit, so klar, so eindeutig. Doch die DSGVO als europäische Verordnung hat zwei Besonderheiten: Sie soll einen einheitlichen Standard in der gesamten EU festlegen, der Alleingänge der einzelnen Mitgliedsstaaten verhindert. Und sie genießt sogenannten Anwendungsvorrang. Wenn also ein Mitgliedsstaat der EU ein Gesetz erlässt, dass dem europäischen Recht widerspricht, muss das europäische Recht vorrangig angewendet werden. Die nationale Regelung wird davon zwar nicht aufgehoben, aber sie darf nicht mehr entscheidend sein.
Rechtslage in der EU – Was sagt die DSGVO?
Die DSGVO sagt zum Schutz des Datenschutzbeauftragten in Artikel 38 Absatz 3 folgendes:
„Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“
Hier gibt es also nur eine Vorschrift, die besagt, dass ein Datenschutzbeauftragter nicht „wegen“ der Erfüllung seiner Aufgaben gekündigt werden darf. Diese Vorgabe ist nicht so streng wie die deutsche Regelung. Daher stellte sich nun die Frage, ob die deutsche Regelung so bestehen bleiben darf.
Der Fall: Austausch des internen durch einen externen DSB
Zu dieser Frage wurde dem EuGH nun aber eine Entscheidung abverlangt – das Urteil erging am 22. Juni 2022 unter dem Aktenzeichen C‑534/20.
Wenn es einen Konflikt zwischen nationalen Gesetzen und EU-Gesetzen gibt, ist der Europäische Gerichtshof für die Auslegung des EU-Rechts zuständig und kann dabei ggf. einen Anwendungsvorrang des europäischen Rechts feststellen. Gerichte können daher Fragen zur Auslegung von EU-Recht, in Fällen bei denen deren Beantwortung eine Rolle spielt, an den EuGH vorlegen. Ohne einen konkreten Fall entscheidet der Europäische Gerichtshof nicht abstrakt über solche Fragen.
Bei dem nun dem EuGH vorgelegten Fall ging es um eine Arbeitnehmerin, die im Januar 2018 für die Rechtsabteilung eines Unternehmens mit mehr als 50 Arbeitnehmern angestellt worden war. Im Februar 2018 wurde sie zu dessen Datenschutzbeauftragter ernannt. Zum August 2018 erfolgte die Kündigung, da eine Restrukturierung geplant war. Die Tätigkeit der Datenschutzbeauftragten sollte fortan durch einen externen Datenschutzbeauftragten erfüllt werden.
Die Arbeitnehmerin klagte gegen ihre Kündigung. Nach § 6 Absatz 4 BDSG durfte sie nicht gekündigt werden, da sie Datenschutzbeauftragte war. Die ersten Instanzen gaben ihr Recht, der Arbeitgeber zog hiergegen aber in Berufung und schließlich Revision. Einerseits wurde darüber gestritten, ob die Restrukturierung nicht ggf. ein „wichtiger Grund“ war, der trotzdem zu einer Kündigung berechtigte. Andererseits wurde auch auf die Vorschrift der DSGVO verwiesen, die nur eine Kündigung „wegen“ der Erfüllung der Aufgaben ausschloss – und hier lag der Grund nur in der Umstrukturierung.
Der Fall wurde zunächst vom Arbeitsgericht und Landesarbeitsgericht Nürnberg behandelt. Letztlich landete er beim Bundesarbeitsgericht, welches Fragen an den EuGH über die Auslegung der DSGVO vorlegte.
Die Entscheidung des EuGH
Der Europäische Gerichtshof hatte zu entscheiden, ob die deutsche Vorschrift zum Kündigungsschutz eines internen Datenschutzbeauftragten im Widerspruch zur Regelung der DSGVO steht. Dabei kommt es auch darauf an, ob ein sich ggf. ergebender Widerspruch überhaupt in den Aufgabenbereich der EU fallen würde. Die EU hat nur in bestimmten, ganz genau benannten Bereichen die Kompetenz, Recht zu setzen. Die Mitgliedsstaaten haben ihr insofern Kompetenzen übertragen. Sobald es aber um andere Belange geht, liegt die Kompetenz für die Festlegung von Gesetzen wieder allein bei den Mitgliedsstaaten.
Regelungen zum Kündigungsschutz betreffen die Sozialpolitik. Die DSGVO selbst dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr. Die Regelung der Artikel 38 DSGVO unterstützt dieses Ziel, indem die mit dem Datenschutz betrauten Mitarbeiter nicht für die Erfüllung ihrer gesetzlichen Aufgaben – die Überwachung der Einhaltung der DSGVO durch ihren Arbeitgeber – gekündigt werden können.
Die Kündigungsschutzregelung des deutschen Rechts reicht aber in den Bereich der Sozialpolitik hinein. Hier hat die EU nur eine sehr begrenzte Kompetenz. Es besteht nur eine Richtlinienkompetenz, die zum Setzen von Minimalstandards ermächtigt. Bei dieser Minimalkompetenz ist die EU aber gerade nicht befugt, den Mitgliedsstaaten ein höheres Schutzniveau zu verbieten. Sind die Regelungen in einem Mitgliedsstaat strenger, ist dies erlaubt.
Das war letztlich dann auch ein ausschlaggebender Punkt, warum die deutsche Regelung zum Kündigungsschutz nicht beanstandet wurde. Der deutsche Gesetzgeber ist insofern frei, die Regelung so festzulegen. Die DSGVO steht dem nicht entgegen.
Die Feststellungen der vorherigen Instanzen, dass es sich bei der Restrukturierung des Unternehmens nicht um einen wichtigen Grund zur Kündigung handelte, wurden vom EuGH nicht behandelt. Diese waren für die Vorlagefrage unerheblich. Der EuGH entscheidet nur darüber, ob und wie das EU-Recht im Verhältnis zu den Vorschriften der Mitgliedsstaaten auszulegen und anzuwenden ist.
Bedeutung des Urteils für Arbeitgeber
Der Kündigungsschutz für angestellte Datenschutzbeauftragte ist somit weiterhin streng in Deutschland. Sich von einem einmal benannten Datenschutzbeauftragten zu trennen, ist nicht so einfach. Die Kündigung ist und bleibt nur zulässig, wenn es einen wichtigen Kündigungsgrund gibt, einfache betriebliche Gründe reichen nicht. Es ist möglich, die Stellung zu beendigen, aber nicht einfach durch eine Kündigung.
Bei externen Datenschutzbeauftragten ist die Situation anders. Diese sind keine Arbeitnehmer des Verantwortlichen, sie unterfallen damit nicht dem Kündigungsschutz nach § 6 Abs. 4 BDSG. Sie dürfen dennoch nicht wegen unliebsamer Maßnahmen in ihrer Funktion als Datenschutzbeauftragte gekündigt werden. Es gilt Artikel 38 DSGVO, der eine Abberufung oder Benachteiligung wegen der Erfüllung der Aufgaben verbietet.
Interessant wäre die Frage, ob ein in der Probezeit befindlicher, offiziell gemeldeter DSB, den besonderen Kündigungsschutz nach § 6 Absatz 4 BDSG genießt und sich damit eine Kündigung während der Probezeit verbietet?
Zu diesem Sachverhalt haben sowohl das ArbG Dortmund (Az.: 10 Ca 4800/12) als auch das LAG Nürnberg (Az.: 2 Sa 274/19) entschieden, dass der Abberufungs- und Kündigungsschutz mit Aufnahme der Tätigkeit als Datenschutzbeauftragter und nicht erst nach Ablauf einer Probezeit in Kraft tritt.
Danke für diesen Beitrag. Interessant wird es jedoch dann, wenn Datenschutzbeauftragte bei der Muttergesellschaft angestellt sind und bei den Töchtern benannt und bestellt wurden. Diese gelten m.E. ebenfalls als Externe und genießen nicht gesonderten Kündigungsschutz.
Also vorweg, ich bin kein Anwalt und vielleicht entgeht mir daher etwas, aber macht das BDSG in den §§ 5 ff. nicht lediglich Regelungen für öffentliche Stellen wie Behörden und eben nicht für nicht-öffentliche Stellen wie Unternehmen?
Richtig, aber über den § 38 Abs. 2 BDSG werden § 6 Abs. 4, 5 Satz 2 und Abs. 6 auch für Datenschutzbeauftragte von Unternehmen als anwendbar erklärt. Wir haben den Beitrag entsprechend um diese Information ergänzt.
Wie sieht es denn mit dem Kündigungsschutz für interne Datenschutzbeauftragte aus, die vor der Änderung des §38 BDSG Abs.1, Satz 1 (Erhöhung von 10 auf 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) bestellt wurden und die Bestellpflicht damit wegfällt?
Hier sieht § 38 Absatz 2 vor, dass nur bei einer Bestellungspflicht der Kündigungsschutz gilt. Da nach aktueller Rechtslage die Bestellungspflicht erst ab einer Anzahl von 20 dauerhaft Beschäftigen gilt, ist auch nur diese Grenze maßgeblich. Bei einer optionalen Bestellung eines Datenschutzbeauftragten ist der strenge Kündigungsschutz nicht anzuwenden.
Ich bin sehr froh über diese Urteil auch wenn es für die betroffene Person nicht immer etwas nützt. Man muss es aushalten können, dann in diesem Unternehmen weiterarbeiten zu können, wenn AN dazu angehalten werden, nicht mit dem DSB zusammenzuarbeiten. Um Sorge um den eigenen Arbeitsplatz wird dies auch so umgesetzt. Um nicht krank zu werden, bin ich einen Vergleich eingangen. Leider habe ich auch die Erfahrung gemacht, dass es keinerlei Unterstützung von den Datenschützern des Landes gab, auch auf Anfragen habe ich bis heute keine Rückmeldung erhalten. Danke an die Klägerin, die das Durchhaltevermögen aufgebracht hat und die Kosten nicht gescheut hat. Ich wünsche ihr alles Gute! Danke auch an die Macher dieser Seite, auf die ich immer wieder gerne zurückgreife.
Nun gibt es ja immer wieder interne Datenschutzbeauftragte, die nur mit einem Anteil ihrer Stelle diese Funktion ausüben. Gehe ich richtig in der Annahme, dass sich der Kündigungsschutz dann auch nur auf diesen Teil der Stelle erstreckt?
Hier ist mir die Konstellation nicht klar. Eine Kündigung liegt nur vor, wenn das Arbeitsverhältnis beendet wird. Eine dauerhafte Veränderung der Arbeitszeiten, wie es hier impliziert wird, ist meines Wissens nach nur durch eine Kündigung in Verbindung mit einem neuen Angebot möglich.
Das Kündigungsverbot unterscheidet aber nicht zwischen Teilzeit- und Vollzeitbeschäftigten. Zudem ist es kritisch zu betrachten, wenn ein Arbeitgeber den Datenschutzbeauftragten, wie hier impliziert wird, nur für ein bestimmtes Stundenkontingent seiner Arbeitszeit am Datenschutz arbeiten lassen will. Dies kann bereits eine anderweitig unzulässige Beschränkung der Tätigkeit sein.
Der als Arbeitnehmer beschäftigte Datenschutzbeauftragte ist im Bestand seines Arbeitsplatzes geschützt, sodass eine Kündigung nicht ausgesprochen werden kann.
Ich denke meine Firma hat ein ähnliches Konstrukt wie Olaf: Jede Abteilung hat einen eigenen, bestätigten Datenschutzbeauftragten, der sich um alle Belange des Datenschutzes für einen eingeschränkten Bereich kümmert. Das ist aber keine Vollzeitaufgabe. Der offizielle Datenschutzbeauftragte delegiert praktisch ALLE Aufgaben und ist nur in Ausnahmefällen involviert. Er wird aber nach außen als einziger als Datenschutzbeauftragter benannt. Mich würde dazu die Rechtslage interessieren.
Dabei wäre im Einzelfall anhand Punkten wie Entscheidungsbefugnis, Weisungsgebundenheit, Fachkunde usw. abzugrenzen, ob es sich um Datenschutzbeauftragte oder Datenschutzkoordinatoren (Stellung, Aufgaben, Vor- und Nachteile und Aufgaben und Zeitmanagement) handelt. Nur der Datenschutzbeauftragte genießt den Sonderkündigungsschutz des § 6 Abs. 4 BDSG.