Sie befinden sich hier:

Ein interner Datenschutzbeauftragter darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden

Der EuGH hat in einem Vorabentscheid entschieden, dass die Regelung des BDSG, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt, rechtens ist.

Sachverhalt

Das Bundesarbeitsgericht (BAG) hatte beim Europäischen Gerichtshof (EuGH) ein Vorabentscheidungsersuchen betreffend die Auslegung und Gültigkeit von Art. 38 Abs. 3 Satz 2 DSGVO eingereicht. Dabei ging es um einen Rechtsstreit zwischen einem Unternehmen und einem Mitarbeiter, der in diesem Unternehmen die Aufgaben der Datenschutzbeauftragten wahrnahm und dem wegen einer Umstrukturierungsmaßnahme – die zur Auslagerung der internen Rechtsberatungstätigkeit und der Datenschutzabteilung geführt hatte – der Arbeitsvertrag gekündigt wurde. Stattdessen sollte ein externer Datenschutzbeauftragte berufen werden.

Der Arbeitnehmer war der Meinung, dass seine Abberufung als Datenschutzbeauftragter gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG unrechtmäßig war, hatte daher gegen seine Kündigung geklagt und in erster Instanz Recht bekommen. Der Arbeitgeber war hiergegen in Berufung gegangen und hatte schließlich Revision eingelegt.

Die mit der Anfechtung der Wirksamkeit der Kündigung befassten Gerichte entschieden, dass die Kündigung unwirksam sei, da der Kläger als Datenschutzbeauftragter gemäß § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne. Die beschriebene Umstrukturierungsmaßnahme stelle keinen wichtigen Grund dar.

Das mit der von dem Unternehmen eingelegten Revision befasste Gericht (BAG) weist darauf hin, dass die Kündigung nach deutschem Recht gemäß den vorgenannten Bestimmungen und § 134 BGB nichtig sei. Die Anwendbarkeit von § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG hänge jedoch davon ab, ob nach Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig sei, durch die die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft sei. Wäre dies nicht der Fall, wäre die Revision erfolgreich. Daher setzte das BAG das Verfahren aus und legte dem EuGH folgende Fragen zur Vorabentscheidung vor:

  1. Ist Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG, entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?
  2. Falls die erste Frage bejaht wird: Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?
  3. Falls die erste Frage bejaht wird: Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Urteil des EuGH

„Zur ersten Frage

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt.

Nach ständiger Rechtsprechung sind bei der Auslegung von Unionsvorschriften nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 22. Februar 2022, Stichting Rookpreventie Jeugd u. a., C‑160/20, EU:C:2022:101, Rn. 29 und die dort angeführte Rechtsprechung).

Was als Erstes den Wortlaut der in Rede stehenden Bestimmung betrifft, so darf nach Art. 38 Abs. 3 Satz 2 DSGVO „[d]er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden“.

Hierzu ist zunächst festzustellen, dass in der DSGVO die Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ aus Art. 38 Abs. 3 Satz 2 nicht definiert werden.

Doch bedeutet erstens nach dem gewöhnlichen Sprachgebrauch das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, wie es der Generalanwalt in den Nrn. 24 und 26 seiner Schlussanträge im Wesentlichen ausgeführt hat.

Eine solche Entscheidung könnte in der vom Arbeitgeber ausgesprochenen Kündigung eines Datenschutzbeauftragten liegen, mit der das Arbeitsverhältnis zwischen diesem und dem Arbeitgeber und damit auch die Stellung des Datenschutzbeauftragten im betreffenden Unternehmen beendet würden.

Zweitens gilt Art. 38 Abs. 3 Satz 2 DSGVO gemäß Art. 37 Abs. 6 DSGVO gleichermaßen für Datenschutzbeauftragte, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind und für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen.

Daher gilt Art. 38 Abs. 3 Satz 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter, und zwar unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses.

Drittens wird in dieser Bestimmung eine Grenze gezogen, mit der, wie der Generalanwalt in Nr. 29 seiner Schlussanträge im Wesentlichen ausgeführt hat, die Kündigung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird; zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DSGVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten.

Was als Zweites das mit Art. 38 Abs. 3 Satz 2 DSGVO verfolgte Ziel betrifft, ist erstens darauf hinzuweisen, dass nach dem 97. Erwägungsgrund der DSGVO die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten. Diese Unabhängigkeit muss es ihnen notwendigerweise ermöglichen, diese Aufgaben im Einklang mit dem Ziel der DSGVO auszuüben, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 207 sowie die dort angeführte Rechtsprechung).

Zweitens ergibt sich das in Art. 38 Abs. 3 Satz 2 DSGVO genannte Ziel, die unabhängige Stellung des Datenschutzbeauftragten zu gewährleisten, auch aus Art. 38 Abs. 3 Satz 1 und 3, wonach der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält und unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet, sowie aus Art. 38 Abs. 5, wonach der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist.

Mit Art. 38 Abs. 3 Satz 2 DSGVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden. Mit dieser Bestimmung wird hingegen nicht bezweckt, insgesamt das Arbeitsverhältnis zwischen einem Verantwortlichen oder einem Auftragsverarbeiter und dessen Beschäftigten zu regeln; dieses ist allenfalls beiläufig betroffen, soweit dies für die Erreichung dieser Ziele unbedingt erforderlich ist.

Als Drittes wird diese Auslegung durch den Regelungszusammenhang der Bestimmung und insbesondere durch die Rechtsgrundlage bestätigt, auf der der Unionsgesetzgeber die DSGVO erlassen hat.

Laut der Präambel der DSGVO wurde diese nämlich auf der Grundlage von Art. 16 AEUV erlassen. Nach Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat der Europäischen Union gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften zum einen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr.

Mit Ausnahme des besonderen Schutzes des Datenschutzbeauftragten nach Art. 38 Abs. 3 Satz 2 DSGVO geht es bei der Festlegung von Vorschriften zum Kündigungsschutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten hingegen weder um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten noch um den freien Datenverkehr, sondern um Sozialpolitik.

In diesem Bereich haben die Union und die Mitgliedstaaten nach Art. 4 Abs. 2 Buchst. b AEUV hinsichtlich der im AEU-Vertrag genannten Aspekte eine geteilte Zuständigkeit im Sinne von Art. 2 Abs. 2 AEUV. Außerdem unterstützt und ergänzt die Union nach Art. 153 Abs. 1 Buchst. d AEUV die Tätigkeit der Mitgliedstaaten auf dem Gebiet des Arbeitnehmerschutzes bei Beendigung des Arbeitsverhältnisses (vgl. entsprechend Urteil vom 19. November 2019, TSN und AKT, C‑609/17 und C‑610/17, EU:C:2019:981, Rn. 47).

Allerdings können das Parlament und der Rat hierzu nach Art. 153 Abs. 2 Buchst. b AEUV nur durch Richtlinien Mindestvorschriften erlassen, die nach der Rechtsprechung des Gerichtshofs im Hinblick auf Art. 153 Abs. 4 AEUV die Mitgliedstaaten nicht daran hindern, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den Verträgen vereinbar sind (vgl. entsprechend Urteil vom 19. November 2019, TSN und AKT, C‑609/17 und C‑610/17, EU:C:2019:981, Rn. 48).

Daraus folgt, wie der Generalanwalt in Nr. 44 seiner Schlussanträge im Wesentlichen ausgeführt hat, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.

Insbesondere darf, wie der Generalanwalt in den Nrn. 50 und 51 seiner Schlussanträge ausgeführt hat, ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

Zur zweiten und zur dritten Frage

Angesichts der Antwort auf die erste Frage brauchen die zweite und die dritte Frage nicht beantwortet zu werden.“

Fundstelle: Urteil des EuGH vom 22. Juni 2022, Aktenzeichen C‑534/20 – abrufbar im Internet beispielsweise unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=10013034&s=03

nach oben