28.07.2022

Kündigungsschutz für Datenschutzbeauftragte: Das sagt der EuGH

Das BDSG gewährt allen betrieblichen Datenschutzbeauftragten (DSB) einen besonderen Schutz vor Kündigung. Die DSGVO schweigt zu diesem Thema. Darf das BDSG dann einen besonderen Kündigungsschutz überhaupt vorsehen? Der Europäische Gerichtshof (EuGH) gibt darauf eine eindeutige Antwort, mit einer überraschenden Differenzierung ganz am Ende.

Kündigungsschutz für Datenschutzbeauftragte: Das sagt der EuGH
WIE IST DAS VERHÄLTNIS VON DSGVO UND BDSG?
Ausgangsfall: Kündigung einer Datenschutzbeauftragten wegen Umstrukturierung

Die Leistritz AG ist nach § 38 Abs. 1 Bundesdatenschutzgesetz (BDSG) – nicht jedoch nach Art. 37 Abs. 1 Datenschutz-Grundverordnung (DSGVO) – verpflichtet, eine(n) Datenschutzbeauftragte(n) zu bestellen. Frau X war ab dem 15.1.2018 „Teamleiterin Recht“ und ab dem 1.2.2018 DSB der Leistritz AG. Mit Schreiben vom 13. Juli 2018 kündigte die Leistritz AG Frau X ordentlich zum 15. August 2018. Im Rahmen einer Umstrukturierung seien die interne Rechtsberatung und der Datenschutz aus dem Unternehmen ausgelagert worden. Diese Umstrukturierung rechtfertige die ordentliche Kündigung.

Die Arbeitsgerichte stehen auf Seiten der DSB

Gegen diese Kündigung wehrte sich Frau X mit einer Kündigungsschutzklage. Arbeitsgericht und Landesarbeitsgericht sahen die Kündigung als unwirksam an. Aus dem BDSG ergebe sich, dass ein Datenschutzbeauftragter nur aus wichtigem Grund gekündigt werden könne. Die Umstrukturierung sei jedoch kein wichtiger Grund. Deshalb betrachteten beide Gerichte die Kündigung als unwirksam (Unwirksamkeit gemäß § 38 Abs.2 BDSG in Verbindung mit § 6 Abs. 4 Satz 2 BDSG).

Das Bundesarbeitsgericht ist sich unsicher, was den Kündigungsschutz für Datenschutzbeauftragte angeht

Dagegen legte die Leistritz AG Revision zum Bundesarbeitsgericht (BAG) ein. Das BAG legte dem Europäischen Gerichtshof (EuGH) die Frage vor, ob ein Mitgliedstaat in seinem Recht strengere Voraussetzungen für die Kündigung eines Datenschutzbeauftragten vorsehen kann als es die DSGVO tut. Diese Frage sei umstritten:

  • Die Mehrheit der Rechtsliteratur vertrete die Auffassung, dass der Kündigungsschutz für DSB eine rein arbeitsrechtliche Regelung darstelle und dass die EU deshalb dafür überhaupt keine Gesetzgebungskompetenz habe.
  • Einige Autoren würden jedoch die Auffassung vertreten, dass ein solcher besonderer Kündigungsschutz für einen Datenschutzbeauftragten gegen das Unionsrecht verstoße.

WICHTIG

Die Kernfrage: Verstößt der besondere Kündigungsschutz gegen die DSGVO?

Nach Auffassung des EuGH geht es im Kern um die Frage, ob der besondere Kündigungsschutz für DSB, den das BDSG vorsieht, gegen Art. 38 Abs. 3 Satz 2 DSGVO verstößt oder nicht. Diese Regelung lautet wie folgt: „Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“

 

Das BDSG geht beim Kündigungsschutz über die DSGVO hinaus

Das BDSG sieht einen Kündigungsschutz für Datenschutzbeauftragte auch dann vor, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als DSB zusammenhängt, sondern aus ganz anderen Gründen erfolgt. Insofern gibt das BDSG den Datenschutzbeauftragten einen stärkeren Schutz, als es die DSGVO vorschreibt.

Der EuGH legt die DSGVO anhand von drei Kriterien aus

Ob ein solcher weitergehender Kündigungsschutz mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar ist oder nicht, muss der EuGH durch Auslegung dieser Regelung herausfinden. Dabei orientiert er sich an drei Kriterien:

  1. Wortlaut der Regelung
  2. Ziele der Regelung
  3. systematischer Zusammenhang der Regelung

1.    Der Wortlaut der Regelung zielt auf den Schutz von DSB

Bezüglich des Wortlauts der Regelung hält der EuGH zunächst fest, dass die DSGVO die dort verwendeten Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ nicht definiert. Dennoch ist der Sinn dieser Begriffe aus seiner Sicht eindeutig. Hierzu hält er drei Punkte fest:

  • Aus dem Verbot, Datenschutzbeauftragte „abzuberufen“ oder „zu benachteiligen“ folgt, dass DSB vor jeder Entscheidung zu schützen sind, mit der ihr Amt beendet würde. Eine vom Arbeitgeber ausgesprochene Kündigung kann als eine solche Entscheidung einzustufen sein.
  • Dieser Schutz gilt unabhängig davon, ob ein Datenschutzbeauftragter auf der Basis eines Arbeitsvertrags tätig ist (als interner Datenschutzbeauftragter) oder auf der Basis eines Dienstleistungsvertrags (als externer Datenschutzbeauftragter). Das ergibt sich daraus, dass Art. 37 Abs. 6 DSGVO beide Arten von DSB für zulässig erklärt.
  • Die Regelung will Datenschutzbeauftragte davor schützen, dass der Verantwortliche ihnen aus Gründen kündigt, die sich auf die Erfüllung der Aufgaben von DSB beziehen. Zu diesen Aufgaben gehört insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften (siehe Art. 39 Abs. 1 Buchst. b DSGVO).

2.    Ziel der Regelung ist, die Unabhängigkeit von DSB zu gewährleisten

Das Ziel der Regelung besteht nach Auffassung des EuGH darin, die funktionelle Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Das ergibt sich nach Auffassung des EuGH aus zwei Aspekten:

  • Der 97. Erwägungsgrund der DSGVO hält fest, dass DSB ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten.
  • Die DSGVO selbst hält fest, dass DSB keine Anweisungen bezüglich der Ausübung ihrer Aufgaben erhalten (Art. 38 Abs. 3 Satz 1 DSGVO), dass sie unmittelbar der höchsten Managementebene berichten (Art. 38 Abs. 3 Satz 3 DSGVO) und dass sie bei der Erfüllung ihrer Aufgaben die Geheimhaltung und Vertraulichkeit wahren (Art. 38 Abs. 5 DSGVO).

WICHTIG

Die DSGVO verfolgt keine arbeitsrechtlichen Ziele

Das Ziel der Regelung besteht dagegen nicht darin, Fragen rund um das Arbeitsverhältnis von Datenschutzbeauftragten zu regeln. Es ist allenfalls beiläufig betroffen, soweit dies unbedingt erforderlich ist, um die Unabhängigkeit von DSB zu gewährleisten.

3.    Für Kündigungsschutz gibt es keine EU-Kompetenz

Zum systematischen Zusammenhang der Regelung weist der EuGH darauf hin, dass es bei Vorschriften eines Mitgliedstaats zum Kündigungsschutz von Datenschutzbeauftragten um eine Frage der Sozialpolitik geht und nicht um etwas, das die Zielsetzungen der DSGVO berührt.

Die DSGVO gewährt Datenschutzbeauftragten Schutz gegen Abberufung und Benachteiligung in dem Umfang, den Art. 38 Abs. 3 Satz 2 DSGVO festlegt. Weitergehende Schutzregelungen für das Arbeitsverhältnis von DSB trifft sie nicht. Dies hätte sie auch gar nicht tun können, weil der Europäischen Union dafür die Gesetzgebungskompetenz fehlen würde. Das ergibt sich aus folgenden Überlegungen:

Sache der EU ist nur der Datenschutz

  • Die DSGVO insgesamt wurde auf der Grundlage von Art. 16 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) erlassen. Art. 16 Abs. 2 AEUV bildet eine rechtliche Basis lediglich für Regelungen, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten betreffen oder den freien Verkehr personenbezogener Daten. Regelungen über den Kündigungsschutz bei einem Arbeitsverhältnis lassen sich dagegen nicht auf diese Basis stützen.

Kündigungsschutz gehört aber zur Sozialpolitik

  • Solche Regelungen gehören nach der Systematik des EU-Rechts in das Gebiet der Sozialpolitik. Bei der Sozialpolitik ist die Zuständigkeit nach den Vorgaben des AEUV zwischen der Europäischen Union und den Mitgliedstaaten geteilt. Auf diesem Gebiet kann die Europäischen Union keine Verordnungen wie etwa die DSGVO erlassen, sondern lediglich Richtlinien, die Mindestvorschriften enthalten (siehe Art. 153 Abs. 2 Buchstabe b AEUV).

Damit ist er Sache der Mitgliedstaaten

  • EU- Richtlinien für den Kündigungsschutz von Datenschutzbeauftragten gibt es jedenfalls bisher nicht. Selbst wenn es sie gäbe, würden sie die Mitgliedstaaten nicht daran hindern, strengere Schutzmaßnahmen vorzusehen (siehe Art. 153 Abs. 4 AEUV: „Die aufgrund dieses Artikels erlassenen Bestimmungen … hindern die Mitgliedstaaten nicht daran, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den Verträgen vereinbar sind.“)

Ergebnis: Verstärkter Kündigungsschutz für DSB durch die Mitgliedstaaten ist zulässig

Wortlaut, Ziel und systematischer Zusammenhang von Art. 38 Abs. 3 Satz 2 DSGVO bestätigen: Es steht einem Mitgliedstaat frei, in Ausübung seiner Zuständigkeit besonderer, strengere Vorschriften für die arbeitgeberseitigen Kündigung von Datenschutzbeauftragten vorzusehen. Dies verstößt nicht gegen die DSGVO.

Der EuGH macht aber eine wichtige Einschränkung

Nicht überlesen sollte man eine Einschränkung, die der EuGH in Rn. 35 seiner Entscheidung macht. Demnach darf ein strenger Kündigungsschutz für Datenschutzbeauftragte durch die Mitgliedstaaten nicht so weit gehen, dass er die Verwirklichung der Ziele der Datenschutz-Grundverordnung beeinträchtigen würde.

Dies wirkt zunächst etwas seltsam. Wie sollte ein besonders strenger Schutz von DSB eine solche Folge nach sich ziehen können? Hierfür bietet der EuGH zwei Beispiele:

  • Wenn ein Datenschutzbeauftragter nicht mehr die „beruflichen Eigenschaften“ besitzt, die für die Erfüllung seiner Aufgaben erforderlich sind, muss eine Kündigung möglich sein.
  • Dasselbe gilt, wenn eine Datenschutzbeauftragte ihre Aufgaben nicht im Einklang mit der DSGVO erfüllt.

Unfähigkeit oder Faulheit von Datenschutzbeauftragten müssen Konsequenzen haben

Was das genau bedeutet, erläutert der EuGH nicht näher. Es liegt aber eigentlich auf der Hand: Ein DSB, der sich nicht fortbildet und deshalb seiner Aufgaben nicht mehr gewachsen ist, muss abberufen werden können.

Dasselbe gilt, wenn eine pflichtvergessene DSB sich nicht um den Datenschutz kümmert, obwohl sie dafür durchaus die erforderliche Zeit hätte. Auch ihre Abberufung muss möglich sein.

Quelle: Urteil des EuGH vom 22. Juni 2022 – C-534/20 (Leistritz AG gegen LH), abrufbar unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)