<strong>EuGH: Sonderkündigungsschutz für Datenschutzbeauftragte europarechtskonform</strong>

EuGH: Sonderkündigungsschutz für Datenschutzbeauftragte europarechtskonform

EuGH Urteil vom 22.6.2022 – C-534/20

Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft viele Unternehmen. Eine deutsche Besonderheit ist dabei der besondere Kündigungsschutz des internen betrieblichen Datenschutzbeauftragen. Zur Vereinbarkeit dieses Kündigungsschutzes mit europarechtlichen Vorgaben hat nun der EuGH entschieden.

Besonderer Schutz des Datenschutzbeauftragten

Der betriebliche und behördliche Datenschutzbeauftragte wird aufgrund seiner Funktion besonders geschützt. Nach Art. 38 III 2 DSGVO dürfen Datenschutzbeauftragte vom Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Allerdings geht der nationale Gesetzgeber in § 6 Abs. 4 BDSG noch einen Schritt weiter und regelt arbeitsrechtliche Vorschriften in Form von einem strengeren Kündigungsschutz – auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt, sondern aus anderen Gründen erfolgt. Die Rechtmäßigkeit eines solch starken Kündigungsschutzes ist in der deutschen Fachliteratur stark umstritten, insbesondere ob es sich nur um eine rein arbeitsrechtliche Regelung handelt oder aber gegen EU-Recht verstößt.

Daher befasste sich der EuGH im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 AEUV mit der Frage, ob der stringentere Kündigungsschutz für Datenschutzbeauftragte in Deutschland vereinbar sei mit dem datenschutzrechtlichen Europarecht.

Zulässigkeit einer betriebsbedingten Kündigung des internen Datenschutzbeauftragten

Im konkreten Fall ging es um eine betriebsbedingte Kündigung eines betrieblichen Datenschutzbeauftragten. Dabei berief sich der Arbeitsgeber eines privatrechtlich organisierten Unternehmens auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Datenschutzbeauftragte geführt habe. Die Funktion der Datenschutzbeauftragten sollte ausgelagert werden und durch einen Externen wahrgenommen werden. Daraufhin erhob die Datenschutzbeauftragte eine Kündigungsschutzklage, mit der sie die Unwirksamkeit der Kündigung geltend machte. Die Instanzgerichte gaben der Datenschutzbeauftragten Recht, denn aus den speziellen deutschen Datenschutzregelungen in § 38 II iVm § 6 IV 2 BDSG ergibt sich, dass verpflichtend bestellte Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund nach § 626 BGB gekündigt werden können. Dagegen wandte sich das Unternehmen mit seiner Revision beim BAG.

Der EuGH hat eine solche schärfere, schützende Regelung als grundsätzlich mit der DSGVO für vereinbar erklärt. Allerdings schränkt er dies damit ein, dass diese schärfere Regelung nur gelte, solange sie die Zwecke des europäischen Datenschutzes nicht beeinträchtigt. Dies begründet der EuGH im Wesentlichen mit dem Telos des Datenschutzes sowie der jeweiligen Gesetzgebungskompetenz. In der DSGVO ist in Art. 38 III 2 DSGVO nicht geregelt, wie ein Datenschutzbeauftragter gekündigt werden kann. Art. 16 II AEUV bildet nur eine Datenschutzrechtsgrundlage. Hier hat Deutschland seine arbeitsrechtliche Kompetenz genutzt, um den Kündigungsschutz auszuweiten. Denn im Bereich der Sozialpolitik hat die EU keine spezifische Kompetenz, sondern bestehen geteilte Zuständigkeiten. Die EU hat gem. Art. 2 II, 4 II b), 153 AEUV beschränkte Richtlinienkompetenzen. Nach Art. 153 II b) AEUV hat die EU lediglich eine Richtlinienkompetenz für Mindestvorschriften. Nach dem Kohärenzprinzip müssen sich die Mitgliedstaaten an den europarechtlichen Rahmen halten, allerdings ist gegen strengere mitgliedstaatliche Regelungen kein Einwand zu erheben. Somit scheidet mangels entsprechender EU-Gesetzgebungskompetenz eine Kollision von EU-Recht und deutschem Sonderkündigungsschutz aus.

Weiterhin müsse laut EuGH auf die Systematik und Telos der Datenschutzvorschriften abgestellt werden. Aspekte des Arbeitsverhältnisses sind kein direktes Regelungsziel der DSGVO, sondern allenfalls am Rande betroffen, um die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Aus Art. 38 DSGVO sowie den Erwägungsgründen 97 und 10 DSGVO folgt, dass die EU als Zweck der Vorschrift Art. 38 III DSGVO die funktionelle Unabhängigkeit der Datenschutzbeauftragten sichergestellt werden soll. Erwägungsgrund 10 der DSGVO deutet an, welches hohe Harmonisierungsniveau mit der DSGVO erzielt werden soll und infolgedessen das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten gleichwertig sein sollte. Auch der Kündigungsschutz dient der funktionellen Unabhängigkeit eines Datenschutzbeauftragten. Dabei bleibt jedoch die Frage, ob ein derart strenger Kündigungsschutz wie es im deutschen BDSG vorgesehen ist, wirklich erforderlich ist.

Schließlich schränkt der EuGH die Anwendbarkeit des Sonderkündigungsschutzes im BDSG dahingehend ein, dass der Datenschutz damit nicht ausgehebelt werden darf. Ein stärkerer Kündigungsschutz darf nicht bedeuten, dass ein Datenschutzbeauftragter unabhängig von datenschutzrechtlichen Zwecken unkündbar ist und die Kündigung per se verhindert werden kann, wenn ein Datenschutzbeauftragter nicht mehr für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder die Aufgaben nicht im Einklang mit der DSGVO erfüllt. Dies zeigt abermals auf, dass es sich beim Datenschutz von Natur aus um eine Querschnittsmaterie handelt und deren Regelungen unvermeidlich auf andere Rechtsbereiche ausstrahlt.

Es ist somit in jedem Einzelfall durch die nationalen Gerichte neu zu prüfen, ob ein wichtiger Kündigungsgrund iSv § 626 BGB vorliegt. Dabei bildet die Europarechtskonformität den übergeordneten Auslegungsmaßstab. Diese Wechselwirkung mit den datenschutzrechtlichen Pflichten nach der DSGVO müssen auch die deutschen Arbeitsgerichte bei ihren Entscheidungen zwingend berücksichtigen. Beispielsweise könnten Interessenkonflikte aus Gründen wie der Wahrnehmung verschiedener Rollen in einer Organisation zu einem anderen Ergebnis im Rahmen einer Abwägung führen.

Der externe Datenschutzbeauftragte als bessere Alternative? Praktisch bedeutet diese EuGH-Entscheidung, dass die relativ starke Stellung und Unabhängigkeit interner Datenschutzbeauftragten bestätigt und bestärkt wurde. Damit bleibt es für Arbeitgeber weiterhin schwierig, sich von internen Datenschutzbeauftragten zu trennen, sofern eine gesetzliche Benennungspflicht vorliegt. Letztlich muss der Verantwortliche bzw. der Auftragsverarbeiter unter Abwägung aller Gesichtspunkte entscheiden, ob er aus Gründen der Flexibilität Externe statt eigene Beschäftige zu betrieblichen Datenschutzbeauftragten bestellen. Eine Möglichkeit für interne Datenschutzbeauftragte könnte eine befristete Benennung sein. Teilweise wird, aus Gründen der Verhinderung des Unterlaufens der gesetzlichen Vorgaben für die Abberufung eines Datenschutzbeauftragten, dazu ein sachlicher, angemessener Grund verlangt.

Autor

Carsten Gerlach
Carsten Gerlach

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht

TCI Rechts­an­wäl­te Ber­lin

  • Twitter
  • LinkedIn