Skip to content

LAG Hamm: Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG gilt nicht für freiwillig bestellten Datenschutzbeauftragten

LAG Hamm
Urteil vom 06.10.2022
18 Sa 271/22


Das LAG Hamm hat entschieden, dass der Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG nicht für einen freiwillig bestellten Datenschutzbeauftragten gilt.

Aus den Entscheidungsgründen:
1. Die Kündigung ist nicht unwirksam gemäß § 134 BGB i.V.m. § 6 Abs. 4 S. 2 BDSG.

§ 6 Abs. 4 S. 2 BDSG bestimmt, dass die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Die Vorschrift gilt jedoch nach ihrem Wortlaut und nach der Gesetzessystematik nur für öffentliche Stellen. Auf nicht öffentliche Stellen ist § 6 Abs. 4 S. 2 BDSG nur anwendbar, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (§ 38 Abs. 2 BDSG). Im Streitfall war die Beklagte indes nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Es bedarf daher keiner Entscheidung darüber, ob der Sonderkündigungsschutz dem Datenschutzbeauftragten bereits während der Wartezeit nach § 1 Abs. 1 KSchG oder während einer vertraglich vereinbarten Probezeit zusteht (wofür freilich Wortlaut und Sinn des gesetzlichen Sonderkündigungsschutzes sprechen, vgl. BAG, Urteil vom 25.08.2022 – 2 AZR 225/20; Greiner/Senk, NZA 2020, 201, 209; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: Juli 2022, Art. 37 DSGVO Rdnr. 113; Wahlers, jurisPR-ITR 12/2014, Anm. 5).


a) Maßgeblich ist, ob die Beklagte verpflichtet war, einen Datenschutzbeauftragten zu benennen.

Es kommt nicht darauf an, ob die beiden anderen Gesellschaften der Unternehmensgruppe, für die der Kläger ebenfalls als Datenschutzbeauftragter bestellt war, die Verpflichtung traf, einen Datenschutzbeauftragten zu bestellen. Denn der Sonderkündigungsschutz des Datenschutzbeauftragten nach § 6 Abs. 4 S. 2 KSchG bezieht sich auf das jeweilige Arbeitsverhältnis; der Sonderkündigungsschutz besteht ausschließlich für interne Datenschutzbeauftragte (Bergt/Schnebbe, in: Kühling/Buchner, 3. Aufl. 2020, § 6 BDSG Rdnr. 13; Greiner/Senk, NZA 2020, 201, 208).

b) Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten folgt für die Beklagte nicht aus Art. 37 DSGVO.

aa) Die Beklagte war nicht nach Art. 37 Abs. 1 Buchst. a DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen.

Diese Vorschrift setzt voraus, dass die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Bei der Beklagten handelt es sich aber weder um eine Behörde noch um eine öffentliche Stelle.

bb) Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich für die Beklagte nicht aus Art. 37 Abs. 1 Buchst. b DSGVO.

Die Beklagte führt keine Datenverarbeitungsvorgänge durch, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Überwachung von betroffenen Personen besteht in der Kontrolle ihres Verhaltens und nicht, wie der Kläger meint, in der Kontrolle von Daten. Das ergibt sich aus Erwägungsgrund 24 der DSGVO und aus der systematischen Zusammenschau mit Art. 3 Abs. 2 Buchst. b DSGVO. Die Überwachung von Menschen setzt ihre Beobachtung voraus (Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 18, 23; Heberlein, in: Ehmann/Selmayr, 2. Aufl. 2018, Art. 37 DSGVO Rdnr. 23; Moos, in: Beck OK Datenschutzrecht, Stand: 01.11.2019, Art. 37 DSGVO Rdnr. 28). Dem Vorbringen der Parteien lässt sich nicht entnehmen, dass die Beklagte Personen regelmäßig und systematisch beobachtet.

cc) Auch aus Art. 37 Abs. 1 Buchst. c DSGVO folgt für die Beklagte nicht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, denn die Kerntätigkeit der Beklagten besteht nicht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO.

(1) Zwar ist davon auszugehen, dass die Beklagte (auch) besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet.

Die Beklagte ist mit der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung für die gesamte C-Unternehmensgruppe befasst. Aus den Entgeltabrechnungen ergibt sich in der Regel die Konfessionszugehörigkeit des Arbeitnehmers. Die Mitgliedschaft in einer Religionsgesellschaft stellt ein Datum im Sinne des Art. 9 Abs. 1 DSGVO dar (Weichert, in: Kühling/Buchner, Art. 9 DSGVO Rdnr. 28). Die Beklagte verarbeitet auch Gesundheitsdaten. Sie erhält Kenntnis von Arbeitsunfähigkeitsbescheinigungen der Arbeitnehmer. Bei der Krankschreibung handelt es sich um ein Gesundheitsdatum (Weichert, a.a.O. Rdnr. 39). Die Beklagte hat die daraus hervorgehenden Daten im Rahmen der Berechnung der Entgeltfortzahlung und der Verpflichtung, gemäß § 167 Abs. 2 SGB IX ein betriebliches Eingliederungsmanagement durchzuführen, zu berücksichtigen. Der Kläger hat dies unwidersprochen vorgetragen.

(2) Die Verarbeitung dieser Daten ist aber nicht „umfangreich“.

Aus Erwägungsgrund 91 S. 1 der Datenschutzgrundverordnung ergibt sich, dass umfangreiche Datenverarbeitungsvorgänge, die ein hohes Risiko für die betroffenen Personen mit sich bringen, solche sind, bei denen große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten sind. Eine solche Datenverarbeitung führt die Beklagte nicht durch. Wenngleich sich Erwägungsgrund 91 primär auf Art. 35 DSGVO bezieht, ist er zur Vermeidung von Wertungswidersprüchen auch im Rahmen des Art. 37 DSGVO zu berücksichtigen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 34). Auch Art. 37 DSGVO verfolgt einen risikobasierten Ansatz (Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 31).

Geht man davon aus, dass eine umfangreiche Verarbeitung vorliegt, wenn Daten über eine große Zahl von betroffenen und/oder beträchtliche Datenmengen über einen längeren Zeitraum gesammelt werden (so Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11 m.w.N.) oder wenn die Verarbeitung das übliche Maß bei weitem übersteigt (so Paal, in: Paal/Pauly, 3. Aufl. 2021, Art. 37 DSGVO Rdnr. 9), so ist im Streitfall festzustellen, dass sich die Datenverarbeitung der Beklagten im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung lediglich auf eine Zahl von Arbeitnehmern erstreckt, die für ein kleineres mittelständisches Unternehmen typisch ist. Der Geschäftsführer der Beklagten hat nämlich im Termin zur mündlichen Verhandlung vor der erkennenden Kammer angegeben, in der Unternehmensgruppe seien insgesamt 76 Arbeitnehmer tätig. Dem ist der Kläger nicht entgegengetreten. Die Personaldatenverwaltung für eine solche Arbeitnehmerzahl ist jedoch nicht unüblich. Insoweit ist auch zu bedenken, dass eine Begrenzung der Datenverarbeitung dadurch eintreten kann, dass viele sensible Daten über wenige Betroffene oder aber wenige sensible Daten über eine große Anzahl Betroffener verarbeitet werden (Marschall/Müller, ZD 2016, 415, 417). Im Rahmen der Personaldatenverarbeitung sind nur wenige Daten im Sinne des Art. 9 Abs. 1 DSGVO betroffen. Der Umfang der Datenverarbeitung im Hinblick auf diese Daten bleibt im Streitfall jedenfalls deutlich zurück hinter den Beispielen, die üblicherweise im Zusammenhang mit einer umfangreichen Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO genannt werden, etwa die Datenverarbeitung in Altersheimen, Krankenhäusern, Arztpraxen, Auskunfteien und Krankenversicherungen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 33).

Verfehlt ist es demgegenüber, von einer „umfangreichen“ Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO bereits dann auszugehen, wenn der Arbeitgeber eine eigene Personalabteilung unterhält (so Bergt, in: Kühling/Buchner, Art. 37 DSGVO, Rdnr. 21). Diese Auffassung steht nicht im Einklang mit dem aus Erwägungsgrund 91 hervorgehenden restriktiven Verständnis und dehnt die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Hinblick auf die Personaldatenverarbeitung unangemessen in den Bereich kleinerer mittelständischer Unternehmen aus. Die Auffassung ist auch mit erheblichen Unsicherheiten behaftet und lädt zu Umgehungsstrategien ein. So ist es etwa zweifelhaft, ob eine „Personalabteilung“ bereits dann existiert, wenn ein einziger Mitarbeiter mit der Personalverwaltung und –abrechnung befasst ist und ob es einen Unterschied macht, wenn dieser Mitarbeiter teilzeitbeschäftigt ist und/oder auch noch anderen Arbeitsaufgaben wahrnimmt.

(3) Die Verarbeitung von Daten gemäß Art. 9 Abs. 1 DSGVO ist auch nicht als Kerntätigkeit der Beklagten anzusehen.

Aus Erwägungsgrund 97 der DSGVO ergibt sich, dass unter der „Kerntätigkeit“ die Haupttätigkeiten zu verstehen sind und nicht eine Verarbeitung personenbezogener Daten als Nebentätigkeit. Es muss sich um eine Tätigkeit handeln, die prägend für das Unternehmen ist (Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11). Der Anwendungsbereich der Vorschrift ist demgemäß gering (Greiner/Senk, NZA 2020, 201, 204 m.w.N.). Die Verarbeitung von Daten über eigene Mitarbeiter hat im Rahmen von Art. 37 DSGVO regelmäßig außer Betracht zu bleiben, weil es sich typischerweise nicht um die Haupttätigkeit des Unternehmens, sondern um einen bloßen Unterstützungsprozess handelt (Heberlein, in: Ehmann/Selmayr, Art. 37 DSGVO Rdnr. 26; Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 18; Auer-Reinsdorff/Conrad, IT-Recht-Handbuch, § 34 Rdnr. 365; Paal, in: Paal/Pauly, Art. 37 DSGVO Rdnr. 8a).

Im Streitfall besteht die Besonderheit, dass die Beklagte nicht nur Personaldatenverarbeitung für die bei ihr beschäftigten Mitarbeiter betreibt, sondern auch für zwei weitere Unternehmen. Das rechtfertigt es jedoch nicht, die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO derjenigen Arbeitnehmer, die in den beiden anderen Unternehmen tätig sind, als Kerntätigkeit der Beklagten anzusehen. Denn es lässt sich nicht feststellen, dass die Verarbeitung jener Daten für die Geschäftstätigkeit der Beklagten prägend ist. Selbst nach der unsubstantiierten Behauptung des Klägers stellen die Mitarbeiter in der „Personalverwaltung“ der Beklagten den geringeren Teil der Arbeitnehmerschaft dar. Die Kammer geht davon aus, dass die vom Kläger genannte Zahl überhöht ist und dass die Angaben des Geschäftsführers der Beklagten in der Berufungsverhandlung zutreffend sind, wonach die Beklagte insgesamt nur 6 Arbeitnehmer beschäftigt. Denn der Kläger ist diesen Angaben nicht entgegengetreten. Da die vom Geschäftsführer der Beklagten benannten zwei Vertriebsmitarbeiter und der weitere Arbeitnehmer, der mit Digitalisierungsaufgaben befasst ist, in anderen Bereichen tätig sind, bleiben für die Personaldatenverarbeitung nur 3 Arbeitnehmer (einschließlich des Klägers). Es ist nicht davon auszugehen, dass diese 3 Arbeitnehmer zum überwiegenden Teil ihrer Arbeitszeit mit der Personaldatenverarbeitung beschäftigt waren. Dazu ist die Zahl der insgesamt in der Unternehmensgruppe tätigen Arbeitnehmer zu gering. Die Beklagte hat in diesem Zusammenhang vorgebracht, die Erstellung von Lohnabrechnungen und die allgemeine Personalverwaltung seien nur mit 2 – 5 % der Gesamttätigkeit der Mitarbeiter zu veranschlagen. Der Kläger ist dem nicht entgegengetreten und auch keine anderen Zahlen genannt, obgleich ihm aus eigener Anschauung bekannt sein muss, welche Arbeitsaufgaben die beiden anderen kaufmännischen Mitarbeiter der Beklagten zu versehen haben. Der Kläger hat auch nicht in Abrede gestellt, dass die Beklagte als Holding-Gesellschaft auch noch andere Verwaltungsaufgaben wahrnimmt, die ich insbesondere auf die Vermögensgegenstände beziehen, die von den beiden anderen Unternehmen der C-Gruppe genutzt werden. Dass der Zeitaufwand für diese Verwaltungsaufgaben deutlich hinter dem Zeitaufwand für die Personaldatenverarbeitung zurückblieb, hat der Kläger nicht vorgetragen. Allein die Tatsache, dass überhaupt eine Personaldatenverarbeitung stattfindet, wie sie für ein mittelständisches Unternehmen typisch ist, rechtfertigt jedoch die Verpflichtung zur Benennung eines Datenschutzbeauftragten nicht (anderer Auffassung Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 21 für den Fall, dass eine Personalabteilung besteht). Insoweit wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.
Inwiefern die Vertriebsmitarbeiter, die für die Beklagten arbeiten, besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeiten, ist nicht ersichtlich. Der Kläger hat hierzu keine konkreten Angaben gemacht. Er hat insbesondere nicht näher dargelegt, inwiefern es sich bei den Kundendaten, mit deren Verarbeitung die Vertriebsmitarbeiter befasst sind, um Daten natürlicher Personen oder um Daten juristischer Personen handelt. Nur soweit es sich um natürliche Personen handelt, liegen überhaupt personenbezogene Daten vor (Art. 4 Nr. 1 DSGVO). Namen, Anschriften und Geburtsdaten von Kunden sind jedenfalls keine sensiblen personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO. Dass die Vertriebsmitarbeiter andere Daten dieser Art verarbeiten, lässt sich dem Vorbringen der Parteien nicht entnehmen.

c) Die Beklagte ist auch nach der Vorschrift des § 38 Abs. 1 BDSG nicht verpflichtet, einen Datenschutzbeauftragten zu benennen.

aa) Die Pflicht zur Benennung eines Datenschutzbeauftragten folgt für die Beklagte nicht aus § 38 Abs. 1 S. 1 BDSG.

Es lässt sich nämlich nicht feststellen, dass die Beklagte in der Regel mindestens 20 Personen beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Schon aus den Behauptungen des Klägers zur Arbeitnehmerzahl ergibt sich dies nicht; der Kläger bringt lediglich vor, in der „Personalabteilung“ der Beklagten seien mehr als 10 Arbeitnehmer tätig. Nach dem Vorbringen der Beklagten, dem der Kläger nicht konkret entgegengetreten ist, sind insgesamt nur 6 Arbeitnehmer bei ihr beschäftigt.

bb) Die Verpflichtung zur Benennung eines Datenschutzbeauftragten lässt sich nicht aus § 38 Abs. 1 S. 2, 1. Variante BDSG herleiten, denn die Beklagte ist nicht gemäß Art. 35 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.

(1) Die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung ergibt sich nicht aus Art. 35 Abs. 3 DSGVO.

Die Beklagte nimmt weder eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Art. 35 Abs. 3 Buchst. a) DSGVO) noch eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 Buchst. c) DSGVO) vor. Die Voraussetzungen, die Art. 35 Abs. 3 Buchst. b) DSGVO für die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung aufstellt, liegen nicht vor. Die Beklagte führt keine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO durch.

Insoweit kann offen bleiben, ob ein hohes Risiko im Sinne des Art. 35 Abs. 1 DSGVO für eine Verpflichtung zur Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 3 Buchst. b) DSGVO erforderlich ist (wofür allerdings Erwägungsgrund 91 und die Bezugnahme auf Abs. 1 in Art. 35 Abs. 3 DSGVO spricht). Es fehlt schon an Anhaltspunkten dafür, dass die Beklagte personenbezogene Daten im Sinne des Art. 10 DSGVO überhaupt verarbeitet. Dem Vorbringen der Parteien lassen sich hierfür keine Anhaltspunkte entnehmen. Im Hinblick auf personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO fehlt es jedenfalls an einer umfangreichen Verarbeitung. Die in Erwägungsgrund 91 angesprochene Datenverarbeitung auf regionaler, nationaler oder supernationaler Ebene liegt nicht vor. Im Übrigen wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.

(2) Die Beklagte ist nicht gemäß Art. 35 Abs. 1 S. 1 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.

57
Es ist nicht ersichtlich, dass die Datenverarbeitung, die die Beklagte durchführt, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Entgegen der Auffassung des Klägers führt die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO an sich noch nicht zu einem solchen hohen Risiko. Das ergibt sich aus Erwägungsgrund 91 und aus der Systematik des Art. 35 DSGVO. Art. 35 Abs. 3 Buchst. b) DSGVO verlangt für die Verpflichtung zur Datenschutz-Folgenabschätzung eine „umfangreiche“ Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO. Andere hohe Risiken für die Rechte und Freiheiten der Arbeitnehmer, die infolge der Datenverarbeitung eintreten könnten, sind nicht ersichtlich. Das Arbeitsgericht hat hierzu (auf S. 12 f. des erstinstanzlichen Urteils) ausgeführt, dass die Daten nur zum Zwecke der Durchführung der Arbeitsverhältnisse erhoben und verarbeitet werden, dass die Menge an Datensätzen nicht umfangreich ist und die Daten nur für einen überschaubaren Kreis von Berechtigten zur Verfügung stehen; diese Gesichtspunkte sprechen dagegen, dass ein hohes Risiko besteht. Die erkennende Kammer schließt sich dem an und macht sich die Ausführungen des Arbeitsgerichts zu Eigen (§ 69 Abs. 2 ArbGG). Auch im Hinblick auf die Verarbeitung von Kundendaten besteht, wie das Arbeitsgericht richtig erkannt hat, kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen; auf die Ausführungen des Arbeitsgerichts (S. 13 des erstinstanzlichen Urteils) wird Bezug genommen.

(3) Schließlich muss die Beklagte auch nach Art. 35 Abs. 4 S. 1 i.V.m. Abs. 1 S. 1 DSGVO keine Datenschutz-Folgenabschätzung vornehmen.

Die sogenannte Positivliste der Datenschutzkonferenz enthält keine Verarbeitungstätigkeiten, die mit der Verarbeitung von Personal- und Kundendaten, wie sie die Beklagte durchführt, vergleichbar ist. Insbesondere liegt im Streitfall keine umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten vor, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können.

cc) Die Beklagte ist nicht gemäß § 38 Abs. 1 S. 2, 2. Variante BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen.

Die Beklagte verarbeitet personenbezogene Daten nicht geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung. Die Zwecksetzung, die nach § 38 Abs. 1 S. 2, 2. Variante BDSG erforderlich ist, besteht nur dann, wenn die Datenverarbeitung von ihrer Zielrichtung für außenstehende Personen von Interesse ist und diesen Personen Daten übermittelt werden sollen (Kühling/Sackmann, in: Kühling/Buchner, § 38 BDSG Rdnr. 14). Damit sind etwa Auskunfteien, Adressverlage und Unternehmen der Meinungsforschung gemeint (Däubler, in: Däubler und andere, 2. Aufl. 2018, § 38 BDSG Rdnr. 7). Die bloße Übermittlung von Daten zwischen einem Auftragsverarbeiter und dem Verantwortlichen oder zwischen zwei Verantwortlichen ist nicht ausreichend. § 38 Abs. 1 S. 2, 2. Variante BDSG stellt eine eng auszulegende Ausnahmevorschrift dar. Der Anwendungsbereich würde unangemessen überdehnt, falls alle Fälle der Auftragsdatenverarbeitung zur verpflichtenden Benennung eines Datenschutzbeauftragten führten. Denn die Auftragsverarbeitung findet in der Regel „geschäftsmäßig“ statt.

Nach diesen Grundsätzen greift § 38 Abs. 1 S. 2, 2. Variante BDSG im Streitfall nicht ein. Zwar ist davon auszugehen, dass im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung (diese Tätigkeiten führt die Beklagte auch für die beiden anderen Gesellschaften der Unternehmensgruppe durch) eine Übermittlung von personenbezogenen Daten stattfindet. Nach dem unwidersprochen gebliebenen Vortrag des Klägers wird die Beklagte insoweit aufgrund eines Geschäftsbesorgungsvertrages für die beiden anderen Gesellschaften tätig. Es ist aber nicht ersichtlich, dass personenbezogene Daten von Arbeitnehmern oder von Kunden an außenstehende Dritte übermittelt werden oder übermittelt werden sollen. Insbesondere fehlt es an Anhaltspunkten dafür, dass die Beklagte sich vorbehält, verarbeitete Daten von Arbeitnehmern oder Kunden zukünftig (auch) an Unternehmen außerhalb der Hagelschuer-Gruppe oder an sonstige Dritte zu übermitteln.

d) Eine Verpflichtung zur Benennung eines Datenschutzbeauftragten lässt sich entgegen der Auffassung des Klägers auch nicht daraus herleiten, dass die Beklagte nicht intern dokumentierte, dass eine Benennungspflicht nicht besteht.

Der Kläger hat die Auffassung vertreten, wenn die fehlende Pflicht zur Benennung eines Datenschutzbeauftragten nicht offensichtlich sei, müsse der Verantwortliche intern dokumentieren, warum keine Benennungspflicht bestehe. Für eine solche Dokumentationspflicht gibt es keine gesetzliche Grundlage.

Den Volltext der Entscheidung finden Sie hier:


Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen