EuGH prüft strengen deutschen Kündigungsschutz für interne Datenschutzbeauftragte

Nach der deutschen Regelung im Bundesdatenschutzgesetz (BDSG) ist die ordentliche Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten unzulässig. Es kommt lediglich eine außerordentliche Kündigung aus wichtigem Grund in Betracht. Nach der EU-Datenschutz-Grundverordnung (DSGVO) wäre auch eine ordentliche Kündigung des Datenschutzbeauftragten möglich. Es wäre lediglich zu beachten, dass die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt.

Die erste Kammer des Europäische Gerichtshofs (EuGH) hatte nun darüber zu entscheiden, ob das Unionsrecht (DSGVO) der Bestimmung des nationalen Rechts (BDSG) zum Kündigungsschutz von Datenschutzbeauftragten entgegensteht, die strengere Voraussetzungen hat als die entsprechende Regelung der DSGVO (Urteil vom 22. Juni 2022, Az.: C-534/20).

Hintergrund des Gerichtsverfahrens

Auslöser war die betriebsseitige Kündigung einer Angestellten eines Nürnberger Maschinenbauunternehmens, die dort unter anderem als betriebliche Datenschutzbeauftragte tätig war. Der Arbeitgeber begründete die Kündigung mit einer Umstrukturierungsmaßnahme, bei der die Datenschutzabteilung ausgelagert wurde.

Daraufhin ging die betriebliche Datenschutzbeauftragte gegen diese Kündigung vor und bekam sowohl vor dem Arbeits- als auch dem Landesarbeitsgericht Nürnberg recht. Beide Gerichte kamen zu dem Ergebnis, dass die Kündigung unwirksam sei, da die Angestellte als Datenschutzbeauftragte gem. § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 2 BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne und eine Umstrukturierungsmaßnahme dafür nicht ausreiche.

Im Rahmen der Revision hegte das Bundesarbeitsgericht (BAG) Zweifel darüber, ob Art. 38 Abs. 3 Satz 2 DSGVO der Anwendung von § 38 Abs. 1 und 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 2 BDSG eventuell entgegenstehe, setzte das Verfahren aus und legte die Frage dem EuGH vor. Die Bedenken beruhten darauf, dass zum einen vertreten wird, bei § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 2 BDSG handle es sich um eine materiell-arbeitsrechtliche Regelung, für die der Union keine Gesetzgebungskompetenz zustehe, also eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO von vornherein ausscheide. Zum anderen sei die Verknüpfung dieses Schutzes nach der nationalen Vorschrift mit der Stellung des Datenschutzbeauftragten unionsrechtswidrig. Der wirtschaftliche Druck, einen benannten Datenschutzbeauftragten, zu behalten sei zu groß.

In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.

Der Urteilsspruch

In seinem Urteil verweist der EuGH zunächst auf den Wortlaut von Art. 38 Abs. 3 Satz 2 DSGVO, denn die darin enthaltenen Begrifflichkeiten „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ sind in der DSGVO nicht definiert, sodass sich das Verständnis am allgemeinen Sprachgebrauch zu orientieren hat. Danach ist die Vorschrift so zu verstehen, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist,

  • mit der sein Amt beendet würde,
  • durch die ihm ein Nachteil entstünde oder
  • die eine Sanktion darstelle.

Bei der Kündigung eines Datenschutzbeauftragten handelt es sich um eine solche Entscheidung, weil damit nicht nur das Arbeitsverhältnis, sondern auch die Stellung als Datenschutzbeauftragter beendet wird.

Die EuGH-Richter arbeiten zudem das verfolgte Ziel der Vorschrift heraus, und zwar die Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten bei der Ausübung seiner Aufgaben und Pflichten. Dies ergibt sich aus Erwägungsgrund 97 DSGVO. Nur so kann innerhalb der Union ein hohes Datenschutzniveau gewährleistet werden und unionsweit für eine gleichmäßige und einheitliche Anwendung der DSGVO gesorgt werden, wie es Erwägungsgrund 10 DSGVO vorsieht.

Mit Art. 38 Abs. 3 Satz 2 DSGVO wird die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt. Diese Vorschrift zielt nicht darauf ab, das Arbeitsverhältnis zwischen einem Verantwortlichen oder einem Auftragsverarbeiter und deren Angestellten insgesamt zu regeln.

Weiterhin heben die Richter hervor, dass diese Auslegung durch die Rechtsgrundlage, auf der die Unionsgesetzgeber die DSGVO erlassen haben, bestätigt wird. Die DSGVO basiert auf Art. 16 AEUV (Vertrag über die Arbeitsweise der Europäischen Union), wonach jede Person das Recht auf Schutz ihrer personenbezogenen Daten hat.

Diesem Schutz dienen die Vorschriften § 38 Abs. 1 und 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 2 BDSG gerade nicht. Abgesehen von Art. 38 Abs. 3 Satz 2 DSGVO dienen Vorschriften zum Kündigungsschutz nicht dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, sondern dem Schutz des Arbeitnehmers vor Kündigungen des Arbeitgebers. In dem Bereich des Arbeitnehmerschutzes, der mithin in die Sozialpolitik fällt, haben die Union und die Mitgliedstaaten die geteilte Zuständigkeit, siehe Art. 4 Abs. 2 lit. b und Art. 2 Abs. 2 AEUV.

Interne Datenschutzbeauftragte genießen einen umfangreichen Kündigungsschutz

Die Entscheidung der EuGH-Richter ist nicht überraschend, weisen die entsprechenden Bestimmungen der DSGVO und des BDSG doch evident unterschiedliche Schutzrichtungen auf.

Der Richterspruch stellt klar, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit Unionsrecht und insbesondere mit den Bestimmungen der DSGVO (insbesondere Art. 38 Abs. 3 Satz 2 DSGVO) vereinbar sind.

Für Unternehmen ist dieses Urteil des EuGHs insofern von Bedeutung, dass keine Unsicherheiten mehr darüber bestehen, wie ein interner Datenschutzbeauftragter gekündigt werden kann: Eine außerordentliche Kündigung aus wichtigem Grund gem. §§ 38 Abs. 2, 6 Abs. 4 Satz 2 BDSG ist die einzige Möglichkeit. Die Hürde für Unternehmen ist daher beträchtlich, die Alternative eines externen Datenschutzbeauftragten sollte daher dringend geprüft werden.

Herausforderungen beim Datenschutz?

Wir ermöglichen auch komplexe Datenverarbeitungen!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them. I have been informed about the processing of my data according to the privacy policy of activeMind.legal.