Skip to content

BAG: Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG verstößt nicht gegen Vorgaben der DSGVO

BAG
Urteil vom 25.08.2022
2 AZR 225/20

Das BAG hat entschieden, dass der Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten gemäß § 6 Abs. 4 Satz 2 BDSG nicht gegen die Vorgaben der DSGVO verstößt. Damit setzt das BAG die Entscheidung des EuGH um (siehe dazu EuGH: Vorgaben der DSGVO stehen deutscher Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegen).

Aus den Entscheidungsgründen:

I. Die von der Beklagten ausgesprochene ordentliche Kündigung ist gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG, § 134 BGB nichtig. Der Klägerin konnte als zum Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten nur außerordentlich aus wichtigem Grund gekündigt werden. Der durch das BDSG normierte Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten ist mit Unionsrecht und nationalem Verfassungsrecht vereinbar.

1. Die Voraussetzungen des Sonderkündigungsschutzes nach § 6 Abs. 4 Satz 2 BDSG liegen vor. Die Klägerin war im Zeitpunkt des Kündigungszugangs verpflichtend bestellte Datenschutzbeauftragte der Beklagten iSv. § 38 Abs. 1 Satz 1 und Abs. 2 BDSG. Für das Eingreifen des Sonderkündigungsschutzes ist es ohne Bedeutung, dass die Kündigung während der im Arbeitsvertrag vereinbarten Probezeit von sechs Monaten sowie der Wartezeit (§ 1 Abs. 1 KSchG) zugegangen ist (vgl. zur Probezeit: ErfK/Franzen 22. Aufl. BDSG § 38 Rn. 10; zur Wartezeit: Schaub ArbR-HdB/Rinck 19. Aufl. § 145 Rn. 7). Anderes wäre weder mit dem Wortlaut der Regelung vereinbar, der insoweit keine Einschränkungen vorsieht, noch mit dem Zweck des Sonderkündigungsschutzes, durch den die „Position“ des Datenschutzbeauftragten gestärkt werden soll (vgl. BT-Drs. 16/12011 S. 30 zu § 4f Abs. 3 Satz 5 BDSG aF).

2. Aufgrund der teilweisen Rücknahme der Revision durch die Beklagte im Termin vom 30. Juli 2020 steht inzwischen rechtskräftig fest, dass die Stellung der Klägerin als Datenschutzbeauftragte nicht aufgrund der Abberufung durch die Beklagte am 13. Juli 2018 beendet wurde, was von der Klägerin ebenfalls mit ihrer Klage angegriffen worden war. Unabhängig davon könnte sich die Klägerin anderenfalls auf den nachwirkenden Kündigungsschutz gemäß § 6 Abs. 4 Satz 3 BDSG berufen.

3. Dem durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG bewirkten Sonderkündigungsschutz des betrieblichen Datenschutzbeauftragten steht Art. 38 Abs. 3 Satz 2 DSGVO, der nur ein Abberufungs- und Benachteiligungsverbot des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“ vorsieht, nicht entgegen.

a) Der Gerichtshof der Europäischen Union hat mit Urteil vom 22. Juni 2022 (- C-534/20 – [Leistritz]) aufgrund des Vorlagebeschlusses des Senats vom 30. Juli 2020 (- 2 AZR 225/20 (A) -) entschieden, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

b) Durch die Kündigungsschutzbestimmungen in § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG wird die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

aa) Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“ (EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28). Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 34). Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35).

bb) Durch § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG werden die Ziele der DSGVO nicht beeinträchtigt. Die Kündigung – wie auch die Abberufung – des Datenschutzbeauftragten ist nach nationalem Recht zwar an besondere Anforderungen geknüpft, da jeweils die Schwelle des „wichtigen Grundes“ erreicht werden muss. Damit werden die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, erhöht, jedoch ist ihm dies weder unmöglich noch unzumutbar erschwert. Insbesondere ist auch nach nationalem Recht nicht „jede“ Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (so ausdrücklich EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35), verboten. Die personen- oder verhaltensbedingten Gründe müssen nur die Erheblichkeitsschwelle des „wichtigen Grundes“ erreichen. Die Möglichkeit eines Abberufungsverlangens durch die Aufsichtsbehörden der Länder nach § 40 Abs. 6 Satz 2 BDSG unterstreicht, dass Datenschutzbeauftragte, die ihre Aufgaben nicht im Einklang mit der DSGVO erfüllen, nach nationalem Recht nicht vor jedem Verlust ihrer Rechtsstellung geschützt werden. Zur Sicherung der Ziele der DSGVO wird es im Übrigen in der Regel – neben der Abberufung des Datenschutzbeauftragten – nicht erforderlich sein, dessen Arbeitsverhältnis zu kündigen (vgl. APS/Greiner 6. Aufl. DSGVO Art. 38 Rn. 30).

cc) Eine Beeinträchtigung der Ziele der DSGVO durch die Sonderkündigungsschutznorm des § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ist auch vorliegend nicht gegeben. Der dazu gehaltene pauschale Vortrag der Beklagten, wonach es sich nach kurzer Zeit herausgestellt habe, dass die anfallenden Aufgaben von einer internen Datenschutzbeauftragten nicht hätten erledigt werden können, viele Aufgaben unbearbeitet geblieben seien und diese auch nicht zeitnah und termingerecht „von einer einzigen Datenschutzbeauftragten“ hätten erbracht werden können, ist nicht geeignet, eine unzulässige Beeinträchtigung der Ziele der DSGVO allein durch den Fortbestand des Arbeitsverhältnisses aufgrund der nationalen Kündigungsschutzregelung aufzuzeigen.

4. Entgegen der von der Beklagten zuletzt vertieften Auffassung verstößt die normative Ausgestaltung des Sonderkündigungsschutzes von betrieblichen Datenschutzbeauftragten nicht gegen ihre Grundrechte aus Art. 12 Abs. 1, Art. 14 Abs. 1 sowie Art. 3 Abs. 1 GG.

a) Eine grundrechtliche Prüfung der Sonderkündigungsschutznorm für den betrieblichen Datenschutzbeauftragten gemäß § 38 Abs. 1 Satz 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG und ihrer Anwendung ist primär am Maßstab der Grundrechte des Grundgesetzes vorzunehmen (vgl. BVerfG 6. November 2019 – 1 BvR 16/13 – [Recht auf Vergessen I] Rn. 42, BVerfGE 152, 152). Es handelt sich hierbei um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union bestehen hinsichtlich datenschutzrechtlicher Regelungen und den diese ergänzenden arbeitsrechtlichen Regelungen „geteilte Zuständigkeiten“ der Union und der Mitgliedstaaten (vgl. EuGH 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 30 ff.). Die DSGVO enthält zahlreiche Öffnungsklauseln, mit denen sie die Normsetzungskompetenz ausdrücklich auf die Mitgliedstaaten überträgt, wodurch sie sich von einer klassischen Verordnung unterscheiden und in die Nähe einer Richtlinie rücken lässt (so ausdrücklich die Schlussanträge des Generalanwalts de la Tour vom 27. Januar 2022 – C-534/20 – [Leistritz] Fn. 28).

b) In Bezug auf das Grundrecht aus Art. 14 Abs. 1 GG ist schon der Schutzbereich nicht berührt. Die Eigentumsgarantie schützt das Erworbene, also die Ergebnisse geleisteter Arbeit, Art. 12 Abs. 1 GG dagegen den Erwerb, mithin die Betätigung selbst. Da sich die Beklagte gegen Regelungen wendet, die ihre Erwerbs- und Leistungstätigkeit als Unternehmerin beeinträchtigen (können), ist allein der Schutzbereich der Berufsfreiheit berührt (vgl. BVerfG 30. Juli 2008 – 1 BvR 3262/07 ua. – zu B I 1 a der Gründe, BVerfGE 121, 317). Die Begrenzung der Innehabung und Verwendung vorhandener Vermögensgüter, für die der Schutz des Art. 14 GG grundsätzlich in Betracht kommt, sind dabei nur mittelbare Folgen der angegriffenen Handlungsbeschränkung; Art. 14 Abs. 1 GG wird daher von Art. 12 Abs. 1 GG als dem sachnäheren Grundrecht verdrängt (vgl. BVerfG 8. Juni 2010 – 1 BvR 2011/07 ua. – zu B II 1 der Gründe, BVerfGE 126, 112).

c) Hinsichtlich des Eingriffs in den Schutzbereich von Art. 12 Abs. 1 GG (vgl. BVerfG 30. Juli 2003 – 1 BvR 792/03 – zu B II 1 a der Gründe) ist die gesetzliche Regelung gemessen an der Regelungsabsicht eine geeignete, erforderliche wie auch angemessene Einschränkung der Berufsfreiheit, die im Wesentlichen dem Sonderkündigungsschutz für Betriebsräte (§ 15 Abs. 1 KSchG) oder Immissionsschutzbeauftragte (§ 58 Abs. 2 BImSchG) entspricht.

aa) Der Sonderkündigungsschutz ist dazu geeignet, dass betriebliche Datenschutzbeauftragte ihre sich aus § 7 BDSG ergebenden Aufgaben und Befugnisse selbstbewusst gegenüber dem Arbeitgeber durchführen und einfordern sowie ihre Unabhängigkeit im Interesse eines effektiven Datenschutzes zu stärken (vgl. BAG 5. Dezember 2019 – 2 AZR 223/19 – Rn. 45 f., BAGE 169, 59; zu den Zielen des Sonderkündigungsschutzes nach dem BDSG aF, die der Gesetzgeber in der Neufassung der Sache nach fortgeschrieben hat, vgl. BT-Drs. 18/11325 S. 82). Soweit die Beklagte diese Zielsetzung unter Bezugnahme auf die Entscheidung des Gerichtshofs der Europäischen Union vom 22. Juni 2022 (- C-534/20 – [Leistritz] Rn. 31) nicht mehr für maßgeblich hält, verkennt sie, dass der Gerichtshof nicht zur Auslegung des nationalen Rechts berufen ist (vgl. EuGH 6. März 2018 – C-52/16 und C-113/16 – [SEGRO und Horváth] Rn. 98).

(1) Das verfassungsrechtliche Geeignetheitsgebot verlangt keine vollständige Zielerreichung, sondern lediglich eine Eignung zur Förderung des legislativen Ziels. Der Gesetzgeber verfügt in der Beurteilung der Eignung einer Regelung über eine Einschätzungsprärogative. Verfassungsrechtlich genügt es grundsätzlich, wenn die Möglichkeit der Zweckerreichung besteht. Eine Regelung ist erst dann nicht mehr geeignet, wenn sie die Erreichung des Gesetzeszwecks in keiner Weise fördern kann oder sich sogar gegenläufig auswirkt (vgl. BVerfG 7. April 2022 – 1 BvL 3/18 ua. – Rn. 300; 8. Juli 2021 – 1 BvR 2237/14 ua. – Rn. 131 mwN, BVerfGE 158, 282).

(2) Durch den Sonderkündigungsschutz wird der Datenschutzbeauftragte vor einem Arbeitsplatzverlust bewahrt, der ihm – und sei es in verschleierter Form – wegen der Ausübung seiner Tätigkeit drohen kann. Durch den besonderen Kündigungsschutz wird seine Unabhängigkeit bei der Erledigung der gesetzlichen Aufgaben geschützt, was der Durchsetzung der Ziele des BDSG und der DSGVO zugutekommt. Eine solche Sicherstellung der Amtsausübung hält sich jedenfalls im Rahmen der gesetzgeberischen Einschätzungsprärogative.

bb) Der besondere Kündigungsschutz des betrieblichen Datenschutzbeauftragten ist für die vom Gesetzgeber erstrebten Ziele erforderlich.

(1) Grundrechtseingriffe dürfen nicht weitergehen, als es der Schutz des Gemeinwohls erfordert. Daran fehlt es, wenn ein gleich wirksames Mittel zur Erreichung des Gemeinwohlziels zur Verfügung steht, das den Grundrechtsträger weniger und Dritte und die Allgemeinheit nicht stärker belastet. Dem Gesetzgeber steht grundsätzlich auch für die Beurteilung der Erforderlichkeit ein Einschätzungsspielraum zu (vgl. BVerfG 23. März 2022 – 1 BvR 1187/17 – Rn. 125; 19. November 2021 – 1 BvR 781/21 ua. – Rn. 204).

(2) Der Gesetzgeber hat sich mit der Frage der Erforderlichkeit des Sonderkündigungsschutzes für Datenschutzbeauftragte ausdrücklich beschäftigt und angenommen, dass sich das bis zum Jahr 2009 bestehende gesetzliche Benachteiligungsverbot sowie die erschwerte Möglichkeit der Abberufung des Datenschutzbeauftragten als in der Praxis nicht ausreichend erwiesen habe, vor allem dann, wenn die Aufgabe des Datenschutzbeauftragten – was der Regelfall sei – nur als Teilaufgabe wahrgenommen werde (vgl. BT-Drs. 16/12011 S. 30). Dass eine das Grundrecht der Beklagten aus Art. 12 Abs. 1 GG weniger belastende, aber sachlich in jeder Hinsicht gleichwertige Regelung zur Zweckerreichung des gesetzgeberischen Ziels möglich wäre, ist – auch angesichts des Einschätzungsspielraums des Gesetzgebers – nicht zu erkennen. Insbesondere ist nicht offensichtlich, dass ein Sonderkündigungsschutz, der – ähnlich wie das Benachteiligungsverbot – allein an die „Erfüllung der Aufgaben des Datenschutzbeauftragten“ anknüpfte, dieselbe Wirksamkeit hätte.

cc) Der Sonderkündigungsschutz für Datenschutzbeauftragte ist auch verhältnismäßig im engeren Sinne.

(1) Die Angemessenheit und damit die Verhältnismäßigkeit im engeren Sinne erfordert, dass der mit der Maßnahme verfolgte Zweck und die zu erwartende Zweckerreichung nicht außer Verhältnis zu der Schwere des Eingriffs stehen. Es ist Aufgabe des Gesetzgebers, die entgegenstehenden verfassungsrechtlich geschützten Rechtsgüter unter Ausnutzung seines Einschätzungs-, Wertungs- und Gestaltungsspielraums gegeneinander abzuwägen und in einen Ausgleich zu bringen (vgl. BVerfG 27. April 2022 – 1 BvR 2649/21 – Rn. 203; 23. März 2022 – 1 BvR 1187/17 – Rn. 134 mwN).

(2) Der Eingriff in das durch Art. 12 Abs. 1 GG geschützte Interesse der Beklagten, in ihrem Unternehmen nur Mitarbeiter zu beschäftigen, die ihren Vorstellungen entsprechen, und deren Zahl auf das von ihr bestimmte Maß zu beschränken, ist durchaus erheblich. Die Möglichkeit einer ordentlichen Kündigung des Arbeitsverhältnisses wird dem Arbeitgeber genommen, selbst wenn der Kündigungssachverhalt nichts mit der Tätigkeit als Datenschutzbeauftragter zu tun hat. Hinzu kommt, dass der Arbeitgeber der Sache nach an das einmal gewählte Konzept eines betriebsinternen Datenschutzbeauftragten gebunden bleibt, da auch die Abberufung nach § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig ist. Eine organisatorische Änderung, nach der der betriebliche Datenschutz zukünftig durch einen externen statt durch einen internen Datenschutzbeauftragten gewährleistet werden soll, rechtfertigt den Widerruf der Bestellung aus wichtigem Grund nicht (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 18 ff.). Dadurch wird die Kündigung des Arbeitsverhältnisses in besonderer Weise erschwert und zwar bereits in der Wartezeit (§ 1 Abs. 1 KSchG), während der das Arbeitsverhältnis regelmäßig unter erleichterten Bedingungen beendet werden kann.

(3) Dem stehen aber die vom Gesetzgeber als besonders wichtig angesehenen Ziele des Datenschutzes gegenüber, dessen Effizienz von einem unabhängigen Datenschutzbeauftragten besonders gefördert werden kann. Das BDSG dient der Umsetzung der DSGVO und soll ein reibungsloses Zusammenspiel mit ihr ermöglichen (vgl. BT-Drs. 18/11325 S. 1). Die DSGVO hebt in Erwägungsgrund 1 hervor, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist (vgl. Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und Art. 16 Abs. 1 AEUV). Angesichts dieser Bedeutung des Datenschutzes, die sich der deutsche Gesetzgeber zu eigen gemacht hat, können auch erhebliche Eingriffe in die Berufsausübungsfreiheit von Grundrechtsträgern als verhältnismäßig angesehen werden. Dabei ist es von besonderer Bedeutung, dass von dem Verantwortlichen nichts Unzumutbares verlangt wird. Die Kündigung (und auch die Abberufung) des Datenschutzbeauftragten ist zwar erschwert, aber an den Maßstab des § 626 Abs. 1 BGB („wichtiger Grund“) gebunden, der gerade auf die Unzumutbarkeit der Beschäftigung bis zum Ablauf der (ordentlichen) Kündigungsfrist abstellt.

(a) Insoweit geht die Beklagte zu Unrecht davon aus, sie könne einem internen Datenschutzbeauftragten „auf Lebenszeit“ nicht mehr betriebsbedingt kündigen. Vielmehr kommt nach der Senatsrechtsprechung eine auf betriebliche Gründe gestützte außerordentliche Kündigung in Betracht, wenn die Möglichkeit einer ordentlichen Kündigung ausgeschlossen ist und dies dazu führt, dass der Arbeitgeber den Arbeitnehmer anderenfalls trotz Wegfalls der Beschäftigungsmöglichkeit noch für Jahre vergüten müsste, ohne dass dem eine entsprechende Arbeitsleistung gegenüberstünde (vgl. BAG 27. Juni 2019 – 2 AZR 50/19 – Rn. 13; 18. Juni 2015 – 2 AZR 480/14 – Rn. 30, BAGE 152, 47).

(b) Darüber hinaus hat sich die Beklagte freiwillig dafür entschieden, ihre gesetzlichen Aufgaben auf einen betrieblichen Datenschutzbeauftragten zu übertragen, dessen Arbeitsverhältnis während dieser Zeit einem besonderen Kündigungsschutz unterliegt. Bei der erstmaligen Benennung eines Datenschutzbeauftragten kann eine nichtöffentliche Stelle frei entscheiden, ob sie einen internen oder externen Datenschutzbeauftragten benennen will (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 19). Davon unterscheidet sich der ähnlich starke Sonderkündigungsschutz eines Betriebsratsmitglieds in § 15 Abs. 1 KSchG (der durch das Erfordernis der Zustimmung des Betriebsrats nach § 103 BetrVG sogar noch verstärkt wird). Wenn der Arbeitgeber hingegen von seinem Wahlrecht Gebrauch macht und sich für einen internen Datenschutzbeauftragten entscheidet, ist der in diesem Zusammenhang bereits feststehende Sonderkündigungsschutz nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht unverhältnismäßig, sondern beruht ebenso auf einer freien Entscheidung des Verantwortlichen wie die Benennung eines Arbeitnehmers zum internen Datenschutzbeauftragten, der sich noch in der gesetzlichen Wartezeit nach § 1 Abs. 1 KSchG befindet.

d) Die Beklagte beruft sich ohne Erfolg auf einen Verstoß gegen Art. 3 Abs. 1 GG. Der Gesetzgeber hat mit dem Kündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nicht gegen den allgemeinen Gleichheitssatz verstoßen (vgl. zu Letzterem BVerfG 8. Juni 2016 – 1 BvR 3634/13 – Rn. 16 mwN; 26. Januar 1993 – 1 BvL 38/92 ua. – zu B I 1 der Gründe, BVerfGE 88, 87). Selbst wenn wegen des Rechts der Beklagten aus Art. 12 Abs. 1 GG vorliegend nicht nur eine bloße Willkürkontrolle, sondern eine Verhältnismäßigkeitsprüfung durchzuführen wäre (vgl. dazu BVerfG 21. März 2015 – 1 BvR 2031/12 – Rn. 6 ff.), läge keine Verletzung des allgemeinen Gleichheitssatzes des Art. 3 Abs. 1 GG vor.

aa) Soweit die Beklagte auf eine ungleiche Behandlung von Arbeitgebern, die (interne) Datenschutzbeauftragte beschäftigen und solchen, die (interne) Immissionsschutzbeauftragte (vgl. § 58 Abs. 2 BImSchG; sh. zB auch Gewässerschutzbeauftragte (§ 66 WHG iVm. § 58 Abs. 2 BImSchG), Störfallbeauftragte (§ 58d iVm. § 58 Abs. 2 BImSchG) oder Abfallbeauftragte (§ 60 Abs. 3 KrWG iVm. § 58 Abs. 2 BImSchG)) beschäftigen, abstellt, liegt eine „wesentlich ungleiche“ Behandlung der betroffenen Arbeitgebergruppen hinsichtlich der Beachtung eines Sonderkündigungsschutzes der jeweiligen „Beauftragten“ nicht vor. Vielmehr ist der Sonderkündigungsschutz sogar „gleich“ ausgestaltet. Es kommt nach § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG ebenso wie nach § 58 Abs. 2 Satz 1 BImSchG nur eine außerordentliche Kündigung des Arbeitsverhältnisses aus wichtigem Grund iSv. § 626 Abs. 1 BGB in Betracht.

bb) Der von der Beklagten in diesem Zusammenhang in den Vordergrund gerückte, unterschiedlich ausgestaltete Abberufungsschutz von Datenschutzbeauftragten und – beispielsweise – Immissionsschutzbeauftragten, ist für die grundrechtliche Beurteilung des Sonderkündigungsschutzes ohne Bedeutung. Selbst wenn die Abberufung der Klägerin wegen einer „Unwirksamkeit“ der Regelung in § 6 Abs. 4 Satz 1 BDSG ohne jeden Grund und mit sofortiger Wirkung gleichzeitig mit der Kündigung vom 13. Juli 2018 oder sogar unmittelbar nach ihrer Bestellung möglich gewesen wäre, stünde der Klägerin der nachwirkende Sonderkündigungsschutz aus § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 3 BDSG zu, der ebenfalls nur eine außerordentliche Kündigung aus wichtigem Grund zulässt. Auch dieser ist wie für die anderen „Beauftragten“ (vgl. § 58 Abs. 2 Satz 2 BImSchG) beziehungsweise für Betriebsratsmitglieder (vgl. § 15 Abs. 1 Satz 2 KSchG) ausgestaltet, so dass insoweit keine „wesentlich ungleiche“, sondern sogar eine „wesentlich gleiche“ Behandlung vorliegt.

cc) Soweit die Beklagte eine Gruppenbildung der Datenschutzbeauftragten vornimmt (interner Datenschutzbeauftragter gegenüber externem Datenschutzbeauftragten) und ein Defizit beim Kündigungsschutz des Dienstvertrags des externen Datenschutzbeauftragten sieht, wodurch dessen Abberufungsschutz in § 6 Abs. 4 Satz 1 BDSG „unterlaufen“ werde, ist schon nicht erkennbar, welche für sie günstigen Rechtsfolgen daraus abgeleitet werden sollen. Unabhängig davon verkennt die Beklagte, dass sich das Arbeitsverhältnis eines internen Datenschutzbeauftragten gemäß § 611a BGB vom freien Dienstverhältnis eines externen Datenschutzbeauftragten nach § 611 BGB „wesentlich“ unterscheidet, wie schon die prinzipiell freie Kündbarkeit des letzteren (§ 620 Abs. 2 BGB) zeigt (vgl. zur wesentlichen Ungleichheit sogar von Arbeitnehmern und arbeitnehmerähnlichen Personen BAG 8. Mai 2007 – 9 AZR 777/06 – Rn. 25 ff.). Die Beklagte wendet sich darüber hinaus auch hier der Sache nach gegen die Abberufungsvorschriften, die sie als belastend empfindet. Deren Wirksamkeit spielt aber – wie in Rn. 37 ausgeführt – vorliegend keine Rolle.

5. § 6 Abs. 4 Satz 2 BDSG erlaubt allein eine außerordentliche Kündigung aus wichtigem Grund. Dem genügt die von der Beklagten ausgesprochene ordentliche Kündigung vom 13. Juli 2018 nicht.

a) Nach § 6 Abs. 4 Satz 2 BDSG ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, die zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Damit greift der Gesetzgeber die Formulierung aus § 15 Abs. 1 Satz 1 KSchG auf, die sich wiederum an § 626 Abs. 1 BGB anlehnt, wo der Fall einer außerordentlichen Kündigung geregelt ist.

b) Für die Wirksamkeit einer solchen außerordentlichen Kündigung reicht es nicht aus, dass ein wichtiger Grund für sie „objektiv“ vorgelegen hat, wenn nur eine ordentliche Kündigung ausgesprochen wurde (vgl. BAG 19. Juni 1980 – 2 AZR 660/78 – zu 3 a der Gründe, BAGE 33, 220). Auch zu § 15 Abs. 1 KSchG ist anerkannt, dass allein das Bestehen eines wichtigen Grundes für eine außerordentliche Kündigung nicht ausreicht, sondern eine solche auch ausgesprochen sein muss (vgl. BAG 23. April 1981 – 2 AZR 1112/78 – zu II 2 a der Gründe; 5. Juli 1979 – 2 AZR 521/77 – zu III 2 der Gründe).

c) Mit dem Schreiben vom 13. Juli 2018 hat die Beklagte nur eine ordentliche und keine außerordentliche Kündigung ausgesprochen. Das folgt nicht nur aus der gewählten Frist für eine ordentliche Kündigung, sondern aus der ausdrücklichen Bezeichnung als „ordentliche“ Kündigung in Absatz 1 des Schreibens.

d) Ob die Umdeutung der von der Beklagten erklärten ordentlichen Kündigung in eine außerordentliche Kündigung mit notwendiger oder sozialer Auslauffrist nach § 140 BGB überhaupt möglich ist, kann dahinstehen. Vorliegend kommt dies jedenfalls deshalb nicht in Betracht, weil nach den Ausführungen des Landesarbeitsgerichts kein wichtiger Grund für die Kündigung vorliegt. Dies lässt weder revisionsrechtlich erhebliche Fehler erkennen noch hat die Beklagte diesbezügliche Rügen erhoben.


Den Volltext der Entscheidung finden Sie hier:

BlnBDI: 525.00 EURO Bußgeld gegen Berliner E-Commerce-Konzern nach vorheriger Verwarnung wegen Verstoßes gegen DSGVO durch Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.00 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.

Die Pressemitteilung der BlnBDI:
Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.

Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

EuGH: Vorgaben der DSGVO stehen deutscher Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegen

EuGH
Urteil vom 22.06.2022
C‑534/20
Leistritz AG gegen LH


Der EuGH hat entschieden, dass die Vorgaben der DSGVO der strengeren deutschen Regelung zum Kündigungsschutz des Datenschutzbeauftragten im BDSG nicht entgegenstehen.

Tenor der Entscheidung:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

Den Volltext der Entscheidung finden Sie hier:

LG Hamburg: Kein Anspruch Dritter gegen Hamburger Datenschutzbeauftragten auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M

LG Hamburg
Beschluss vom vom 28.10.2021
625 Qs 21/21 OWi


Das LG Hamburg hat entschieden, dass Dritte keinen Anspruch gegen den Hamburger Datenschutzbeauftragten (HmbBfDI ) auf Herausgabe des teilweise anonymisierten datenschutzrechtlichen Bußgeldbescheids gegen H&M haben.

Aus den Entscheidungsgründen:
Der Antrag auf gerichtliche Entscheidung ist zulässig und hat auch in der Sache überwiegend Erfolg. Auf die mit Bescheid des HmbBfDI vom 28. Januar 2021 beabsichtigte umfassende Herausgabe des teilweise anonymisierten Bußgeldbescheids vom 30. September 2020 haben die vier Antragssteller keinen Anspruch. Ihnen ist lediglich hinsichtlich der Passage „Zumessung der Geldbuße“, Seite 9 des Bußgeldbescheids bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“ Auskunft zuzubilligen.
[...]
Der Antrag auf gerichtliche Entscheidung hat in der Sache überwiegend Erfolg. Den vier auskunftssuchenden Antragsstellern steht kein Anspruch auf die Übermittlung des Bußgeldbescheids vom 30. September 2020 in der vom HmbBfDI teilanonymisierten Form, die dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügt war, und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 des Bescheids vom 28. Januar 2021nach § 475 Abs. 1 und 4 StPO zu.

Gemäß § 475 Absatz 1 und 4 StPO können Privatpersonen Auskünfte aus Akten erteilt werden, soweit diese hierfür ein berechtigtes Interesse darlegen. Sie sind zu versagen, wenn der hiervon Betroffene ein schutzwürdiges Interesse an der Versagung hat. Im Übrigen soll Akteneinsicht grundsätzlich nur in dem Umfang erfolgen, als dies zur Wahrnehmung des berechtigten Interesses der Privatperson erkennbar erforderlich ist (vgl. LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04).

Zwar haben alle auskunftssuchenden Antragssteller ein berechtigtes Interesse darlegt; deren Auskunftsinteresse der Antragsteller stehen aber die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskünfte jedenfalls in Form der Übersendung des vom HmbBfDI lediglich geringfügig geschwärzten Bußgeldbescheids gemäß Anlage 1 und des Dokuments „ 2./2020 – Bußgeldzumessung unter Anwendung des DSK-Konzepts“ gemäß Anlage 2 zum Bescheid vom 28. Januar 2021 entgegen.

a. Berechtigtes Interesse der Antragssteller

Das „berechtigte Interesse“ i. S. d. § 475 StPO wird weit ausgelegt. Darunter fällt grundsätzlich jedes verständige, durch die Sachlage gerechtfertigte Interesse tatsächlicher, wirtschaftlicher oder ideeller Art, sofern es von dem jeweiligen Antragssteller schlüssig dargelegt wird; eine Glaubhaftmachung oder gar ein Beweis sind nicht erforderlich (BeckOK StPO/Wittig, 40. Ed. 1. Juli 2021, § 475 Rn. StPO, Rn. 9 f.).

Bei Anwendung dieser Maßstäbe habe alle vier Antragssteller ihr berechtigtes Interesse hinreichend dargelegt. Die Antragsteller 2 bis 4 haben angegeben, dass sie als (Syndikus-) Anwälte im Bereich Datenschutzrecht tätig sind. Antragssteller 2 und 3 haben ausgeführt, dass sie die Entscheidung für ihre berufliche Tätigkeit, d. h. in der Beratung ihrer Mandanten im Datenschutzrecht, nutzen wollen. Der Antragsteller zu 2 hat ferner ein Interesse daran dargelegt, zu erfahren, anhand welcher Kriterien die Adressatenauswahl und die Bußgeldberechnung erfolgt sei. Die Antragssteller 1, 3 und 4 haben weiter erklärt, dass sie beabsichtigten, einen wissenschaftlichen Aufsatz zu schreiben, der unter anderem den Bußgeldbescheid zum Gegenstand hat.

Diese Interessen sind grundsätzlich als ein berechtigtes Interesse anzuerkennen, denn dabei handelt es sich um verständige und durch die Sachlage gerechtfertigte Interessen.

b. Schutzwürdigen Interessen der Betroffenen

Dem Auskunftsinteresse der Antragssteller an der Übersendung des Bußgeldbescheids in der vom HmbBfDI teilgeschwärzten Fassung gemäß Anlage 1 zum Bescheid vom 28. Januar 2021 stehen jedoch die schutzwürdigen Interessen der Betroffenen an der Versagung der Auskunft entgegen (§ 475 Abs. 1 S. 2 StPO).

Im Unterschied zur ähnlich gelagerten Regelung des § 406e Abs. 2 StPO kommt es im Rahmen des § 475 StPO nicht auf ein „Überwiegen” der einer Auskunft entgegenstehenden schutzwürdigen Interessen an. Es genügt, dass ein schutzwürdiges Interesse an der Versagung besteht (LG Bochum, Beschluss vom 10.11.2004 – 1 AR 16/04, NJW 2005, 999). Ob die Interessen der Betroffenen i.S.d. § 475 Abs. 1 Satz 2 StPO schutzwürdig sind, ist dabei im Wege einer umfassenden Abwägung zwischen dem Informationsinteresse der Antragsteller und den entgegenstehenden Interessen der Betroffenen zu ermitteln. Entscheidend ist dabei, wie hoch das Informationsinteresse der Antragsteller an der begehrten Auskunft zu bewerten und wie stark der Eingriff in die Rechte der Betroffenen durch die Offenlegung der begehrten Informationen im Einzelfall zu gewichten ist. Je geringer der Eingriff in das Recht des Betroffenen, desto geringere Anforderungen sind an das Informationsinteresse der Antragsteller zu stellen; je intensiver und weitergehend die begehrte Auskunft reicht, desto gewichtiger muss das Informationsinteresse sein (vgl. VGH Baden-Württemberg DVBl 2014, 101 m.w.Nw, LG München, Beschluss vom 24.03.2015 – 7 Qs 5/15, ZD 2015, 483).

Ob eine Verletzung schutzwürdiger Interessen vorliegt, ist daher anhand des zu beurteilenden Einzelfalls festzustellen. Diese Abwägung geht hier zugunsten der Betroffenen aus:

Wie der HmbBfDI in dem angefochtenen Bescheid vom 28. Januar 2021 zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids vom 30. September 2020 für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid vom 30. September 2020 enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und –organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren. Insoweit wird ergänzend auf die diesbezüglichen Ausführungen des Bescheids vom 28. Januar 2021 Bezug genommen, denen sich die Kammer anschließt.

bb. Darüber hinaus steht dem Auskunftsinteresse der Antragsteller auch die durch Art. 12 Abs. 1 GG geschützte Berufsfreiheit der Betroffenen entgegen.

Art. 12 Abs. 1 GG gewährt das Recht der freien Berufswahl und -ausübung und ist gemäß Art. 19 Abs. 3 GG auch auf juristische Personen anwendbar, soweit sie - wie hier die Betroffenen - eine Erwerbszwecken dienende Tätigkeit ausüben, die ihrem Wesen und ihrer Art nach in gleicher Weise einer juristischen wie einer natürlichen Person offensteht. In der bestehenden Wirtschaftsordnung umschließt das Freiheitsrecht des Art. 12 Abs. GG das berufsbezogene Verhalten der Unternehmen am Markt nach den Grundsätzen des Wettbewerbs (Vgl. BVerfG, Beschlüsse vom 21. März 2018 - 1BVF113 1 BvF 1/13 - BVerfGE 148, Seite 40 = juris, Rn. 26 und vom 26. Juni 2002 - 1 BvR 558/91 -, BVerfGE 105, Seite 252 = juris, Rn. 41; OVG Münster Beschl. v. 17.5.2021 – 13 B 331/21, BeckRS 2021, 11654 Rn. 11).

Die in dem Bußgeldbescheid vom 30. September 2020 enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern. Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten. Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat. Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken. Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden. Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten.

Diese Erwägungen gelten auch unter Berücksichtigung der Art des geltend gemachten Interesses der Antragssteller und der grundsätzlichen Beschränkung der Verwendung der durch Akteneinsicht erlangten personenbezogenen Daten lediglich für die Zwecke, für die Akteneinsicht gewährt wurde, §§ 46, 49b OWIG i.V.m. § 479 Abs. 6 StPO i.V.m. § 32f Abs. 5 S. 2 StPO. Zwar haben die Antragssteller 2 und 3 geltend gemacht, den Bußgeldbescheid vorrangig für die Mandantenberatung nutzen zu wollen. Dies beinhaltet jedoch nicht ausschließbar auch, wesentliche Inhalte des Bescheids, insbesondere im Zusammenhang mit der Herleitung der Haftung der Betroffenen zu 2 für Verstöße der Betroffenen zu 1, im Rahmen eines Kanzlei-Newsletters über die Internetseite einer unbestimmten Anzahl an Personen zugänglich zu machen. Soweit die Antragsteller 1, 3 und 4 den Bußgelbescheid zudem in Publikationen bzw. Fachaufsätzen verarbeiten zu wollen, begehren die Antragssteller die Übermittlung des Bußgeldbescheids – entgegen der anderweitigen Auffassung des HmbBfDI – sehr wohl zum Zweck der (wissenschaftlichen) Veröffentlichung. Diese Veröffentlichungsform ist auch geeignet, die oben beschriebenen Verletzungen der Rechte der Betroffenen zu intensivieren. Auch hier erlangt eine unbekannte Anzahl Dritter Kenntnis über den Inhalt des Bußgeldbescheids. Zudem ist zu erwarten, dass die Publikationen in anderen Printmedien zitiert werden oder sonst wie weiterverbreitet werden. Hierbei ist auch zu berücksichtigen, dass die Übermittlungen zu wissenschaftlichen oder beruflichen Zwecken auch keine konkreten Vorgaben beinhalten, wie mit dem Bußgeldbescheid umzugehen ist. Auch eine Veröffentlichung zu wissenschaftlichen Zwecken könnte demnach freizugänglich im Internet erfolgen. Daneben ist zu erwarten, dass der Bußgeldbescheid oder dessen Inhalt auf anderen Medien – und wahrscheinlich auch unabhängig von einer etwaigen Publikation – öffentlich verbreitet werden. Dafür spricht auch, dass – so von den Betroffenen vorgetragen und anhand eines Screenshots belegt – der Antragssteller 1, S. H. auf seinem Twitter-Account bereits seine bisherige Kommunikation mit dem HmbBfDI betreffend den Bußgeldbescheid gegen die Betroffenen im Internet veröffentlicht hat (vgl. Tweet des Twitter Accounts @ s. h. vom 24. Februar 2021; https:// t..com/ s._ h./status/ ). In der Gesamtschau ist daher bei der Herausgabe des Bußgeldbescheids von einem Eingriff bzw. einer Intensivierung des Eingriffs (siehe nachfolgend, cc) in die Rechte der Betroffenen auszugehen.

cc. Das schutzwürdige Interesse der Betroffenen entfällt auch nicht dadurch, dass bereits Informationen über den Bußgeldbescheid in der Pressemitteilung vom 01. Oktober 2020 veröffentlicht wurden und die Vorgänge sowohl vor als auch nach Veröffentlichung der Pressemitteilung mehrfach Gegenstand von Presseberichterstattungen in Deutschland waren.
[...]
Insgesamt ist daher von einem Überwiegen der schutzwürdigen Interessen der Betroffenen aus Art. 12 GG auszugehen.

3. Daraus folgt, dass weite Teile des Bußgeldbescheids von der Akteneinsicht auszunehmen wären. Durch die Herausgabe eines geschwärzten Bußgeldbescheids in der bislang vom HmbBfDI vorgesehenen Form würde den schutzwürdigen Interessen der Betroffenen nicht hinreichend Rechnung getragen werden. Eine die Interessen der betroffenen wahrende Schwärzung des Bußgeldbescheides vom 30. September 2020 würde dazu führen, dass der Rest des Bußgeldbescheides überwiegend aus abstrakten Rechtssätzen, Normenketten und allgemeinen Ausführungen bestünde, die einer Nichtübermittlung des Bußgeldbescheides gleichkommen würden.


Den Volltext der Entscheidung finden Sie hier:


LAG Mecklenburg-Vorpommern: Recht des Arbeitnehmers sich auf Unwirksamkeit des Widerrufs der Bestellung zum Datenschutzbeauftragten zu berufen kann verwirken

LAG Mecklenburg-Vorpommern
Urteil vom 07.12.2021
5 Sa 113/21

Das LAG Mecklenburg-Vorpommern hat entschieden, dass das Recht des Arbeitnehmers, sich auf die Unwirksamkeit des Widerrufs der Bestellung zum Datenschutzbeauftragten zu berufen, verwirken kann.

Aus den Entscheidungsgründen:
Die ordentliche Kündigung des Klägers ist nicht aufgrund seiner früheren Stellung als Datenschutzbeauftragter der Beklagten ausgeschlossen.

Nach § 6 Abs. 4 Satz 2, § 38 Abs. 2 BDSG ist die Kündigung eines Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, welche den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass der Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist (§ 6 Abs. 4 Satz 3, § 38 Abs. 2 BDSG).

Zum Zeitpunkt des Zugangs der Kündigung war der Kläger nicht mehr Datenschutzbeauftragter der Beklagten. Der nachwirkende einjährige Kündigungsschutz war ebenfalls ausgelaufen. Die Beklagte hat die Bestellung des Klägers zum Datenschutzbeauftragten mit Schreiben vom 19.02.2018 widerrufen. Dieser Widerruf ist wirksam geworden. Es kann dahinstehen, ob seinerzeit gemäß § 4f Abs. 3 Satz 4 BDSG in der bis zum 24.05.2018 geltenden Fassung ein wichtiger Grund in entsprechender Anwendung des § 626 BGB für einen Widerruf vorlag. Der Kläger hat jedenfalls das Recht, die Unwirksamkeit des Widerrufs geltend zu machen, unter Berücksichtigung der besonderen Umstände des Einzelfalls verwirkt. Ist die Abberufung als Datenschutzbeauftragter wirksam geworden, ist diese Arbeitsaufgabe nicht mehr Bestandteil der vertraglich geschuldeten Leistung. Es bedarf dann keiner Teilkündigung mehr (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 30, juris = ZTR 2011, 561).

Die Verwirkung ist ein Sonderfall der unzulässigen Rechtsausübung (§ 242 BGB). Mit ihr wird die illoyal verspätete Geltendmachung von Rechten ausgeschlossen. Sie beruht auf dem Gedanken des Vertrauensschutzes und trägt dem Bedürfnis nach Rechtssicherheit und Rechtsklarheit Rechnung. Die Verwirkung verfolgt nicht den Zweck, den Schuldner bereits dann von seiner Verpflichtung zu befreien, wenn dessen Gläubiger seine Rechte längere Zeit nicht geltend gemacht hat (Zeitmoment). Der Berechtigte muss vielmehr unter Umständen untätig geblieben sein, die den Eindruck erweckten, dass er sein Recht nicht mehr geltend machen wolle, so dass der Verpflichtete sich darauf einstellen durfte, nicht mehr in Anspruch genommen zu werden (Umstandsmoment). Hierbei muss das Erfordernis des Vertrauensschutzes auf Seiten des Verpflichteten das Interesse des Berechtigten derart überwiegen, dass ihm die Erfüllung des Anspruchs nicht mehr zuzumuten ist

(z. B. BAG, Urteil vom 22. Juli 2021 – 2 AZR 6/21 – Rn. 26, juris = NZA 2021, 1405).

Die Beklagte durfte spätestens bei Zugang der Kündigung vom 28.05.2020 davon ausgehen, dass der Kläger ihr gegenüber eine evtl. Unwirksamkeit des Widerrufs seiner Bestellung zum Datenschutzbeauftragten nicht mehr geltend machen werde. Der Kläger hat sich zwar gegen die beiden außerordentlichen Kündigungen der Beklagten gewehrt. Die Abberufung als Datenschutzbeauftragter hat er ihr gegenüber jedoch weder gerichtlich noch in anderer Weise ausreichend geltend gemacht. Soweit der Kläger die Beklagte im Nachgang zur Kündigung mit Schreiben vom 22.07.2020 aufgefordert hat, seinen Status als Datenschutzbeauftragter anzuerkennen, ist diese Aufforderung für die rechtliche Bewertung der Kündigung nicht von Bedeutung, da hierfür allein der Zeitpunkt des Kündigungszugangs maßgeblich ist. Gerichtlich geltend gemacht hat der Kläger die Unwirksamkeit des Widerrufs seiner Bestellung zum Datenschutzbeauftragten durch die Beklagte lediglich gegenüber der Universitätsmedizin A-Stadt. Das Urteil des Landesarbeitsgerichts hierzu vom 25.02.2020 (Aktenzeichen 5 Sa 108/19) bindet nur die Universitätsmedizin A-Stadt, nicht aber die Beklagte, was im Übrigen auch insoweit gilt, als das Arbeitsgericht die Klage – u. a. hinsichtlich des Widerrufs der Beklagten – rechtskräftig abgewiesen hat. Das Vertrauen der Beklagten in die Wirksamkeit der Abberufung ist schutzwürdig. Der Kläger hat ihr gegenüber mehr als zwei Jahre lang eine evtl. Unwirksamkeit des Widerrufs nicht geltend gemacht. Die Beklagte durfte davon ausgehen, nunmehr über den Arbeitsplatz des Klägers betrieblich disponieren zu können.

Den Volltext der Entscheidung finden Sie hier:

VG Köln: Anordnung der Abberufung eines Datenschutzbeauftragten durch Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig

VG Köln
Beschluss vom 10.11.2021
13 L 1707/21


Das VG Köln hat entschieden, dass die Anordnung der Abberufung eines Datenschutzbeauftragten durch di Datenschutzbehörde jedenfalls nach summarischer Prüfung unzulässig ist.

Aus den Entscheidungsgründen:

Der zulässige – sinngemäß gestellte - Antrag nach § 80 Abs. 5 der Verwaltungsgerichtsordnung (VwGO),Gründe

die aufschiebende Wirkung der Klage des Antragstellers (13 K 5069/21) gegen Ziffern 2. und 3. der Anweisungsverfügung des Antragsgegners vom 27. September 2021wiederherzustellen,

hat in der aus dem Tenor ersichtlichen Form Erfolg.

Dabei ist zunächst die Anordnung der sofortigen Vollziehung schon formell rechtswidrig. Insoweit genügt bereits die Begründung der Anordnung der sofortigen Vollziehung in dem Bescheid des Antragsgegners vom 27. September 2021 nicht den maßgeblichen Anforderungen.

Gemäß § 80 Abs. 3 Satz 1 VwGO ist bei der Anordnung der sofortigen Vollziehung das besondere Interesse an der sofortigen Vollziehung schriftlich zu begründen. Dies soll den Betroffenen in die Lage versetzen, in Kenntnis dieser Gründe seine Rechte wirksam wahrzunehmen und die Erfolgsaussichten des Rechtsbehelfs abzuschätzen. Der Behörde wird zugleich der Ausnahmecharakter der Vollziehungsanordnung verdeutlicht und eine besonders sorgfältige Prüfung des Vollzugsinteresses auferlegt. Diese Warnfunktion soll zu einer sorgfältigen Prüfung des Interesses an der sofortigen Vollziehung veranlassen. Der Betroffene wird über die Gründe, die für die behördliche Entscheidung maßgebend gewesen sind, unterrichtet; er kann danach die Erfolgsaussichten eines Aussetzungsantrags gemäß § 80 Abs. 5 Satz 1 VwGO abschätzen. Dem Gericht erlaubt die Kenntnis der verwaltungsbehördlichen Erwägungen für die sofortige Vollziehbarkeit eine ordnungsgemäße Rechtskontrolle und ermöglicht gleichzeitig bei der eigenständig vom Gericht zu treffenden Ermessensentscheidung das Erkennen der gegebenenfalls maßgeblichen Parameter.

Notwendig ist dafür eine auf die Umstände des konkreten Falles bezogene Darlegung des besonderen Interesses gerade an der sofortigen Vollziehbarkeit des Verwaltungsakts. Insbesondere muss die Vollziehbarkeitsanordnung erkennen lassen, dass sich die Behörde des rechtlichen Ausnahmecharakters der Anordnung bewusst ist. Formelhafte, also für beliebige Fallgestaltungen passende Wendungen, formblattmäßige oder pauschale Argumentationsmuster oder die bloße Wiederholung des Gesetzestextes genügen nicht. Ebenso wenig reicht es aus, dass sich die Begründung erst aus dem Gesamtzusammenhang eines Bescheids ermitteln lässt, sofern nicht ausnahmsweise die den Erlass des Verwaltungsakts rechtfertigenden Gründe zugleich die Dringlichkeit der Vollziehung belegen. Das besondere Vollziehbarkeitsinteresse ist vielmehr gesondert zu begründen. Aus ihr muss hervorgehen, dass und warum die Verwaltung im konkreten Fall dem sofortigen Vollziehbarkeitsinteresse Vorrang vor dem Aufschubinteresse des Betroffenen einräumt,

vgl. nur Schoch in: Schoch/Schneider/Bier, VwGO, 41. EL Juli 2021, § 80 Rdn. 247 m.w.N.

Gemessen an diesen Grundsätzen genügt die Begründung des Sofortvollzuges der Ziffer 2 und 3 in der angegriffenen Anweisungsverfügung vom 27. September 2021 den Anforderungen des § 80 Abs. 3 Satz 1 VwGO nicht:

Zwar wird aus der Begründung, die sich ausführlich zu der abstrakten Frage verhält, ob die Aufsichtsbehörde überhaupt – entgegen § 20 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) - die sofortige Vollziehung gegenüber einer Behörde anordnen darf, hinreichend deutlich, dass sich der Antragsgegner des Ausnahmecharakters der Anordnung der sofortigen Vollziehung bewusst gewesen ist. In der Folge werden in der Begründung jedoch keinerlei konkrete Umstände des Einzelfalles in den Blick genommen. Zudem wird sodann lediglich einseitig das öffentliche Interesse an einer sofortigen Vollziehung hervorgehoben, ohne dass eine Abwägung mit den Interessen des Antragstellers an der aufschiebenden Wirkung der Klage erfolgte. Etwaige Interessen des Antragstellers werden vielmehr nicht einmal bezeichnet.

Dieses Vorgehen genügt nach den aufgezeigten Maßstäben nicht den Anforderungen des § 80 Abs. 3 Satz 1 VwGO, weil bereits die Parameter für die Interessenabwägung nicht benannt werden.

Der Aussetzungsantrag hat mit der Maßgabe Erfolg, dass die aufschiebende Wirkung der Klage 13 K 5069/21, soweit Ziffern 2. und 3. der Anweisungsverfügung vom 27. September 2021 in Rede stehen, festzustellen war.

Es steht nämlich im Ergebnis ein so genannter Fall der „faktischen“ Vollziehung in Rede, d.h. einer Vollziehung, die unter Missachtung der aufschiebenden Wirkung eines Rechtsbehelfs erfolgt,

vgl. hierzu: W.-R. Schenke in: Kopp/Schenke, VwGO, 27. Auflage 2021, § 80 Rdn. 20.

Dies ergibt sich aus Folgendem:

Nach § 20 Abs. 7 BDSG darf die Aufsichtsbehörde gegenüber einer Behörde oder deren Rechtsträger nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.

Dies hat der Antragsgegner im Hinblick auf den Anwendungsvorrang des Unionrechts dennoch getan, weil er § 20 Abs. 7 BDSG für unanwendbar hält.

Es kann dahinstehen, ob die europarechtlichen Bedenken, die gegen die Regelung des § 20 Abs. 7 BDSG geltend gemacht werden,

vgl. hierzu statt Vieler: Schoch, a.a.O., § 80 Rdn. 222a,

zutreffen:

Zwar kann gerade bei Rechtsverletzungen im Datenschutzrecht mitunter schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten sein. Im Konfliktfall mag daraus die Unanwendbarkeit der innerstaatlichen Bestimmung bei Maßnahmen der Aufsichtsbehörde nach Art. 58 der Datenschutzgrundverordnung (DSGVO),

Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Abl. L 119),

folgen,

vgl. Schoch, a.a.O.

Dass aber hier ein solcher Konfliktfall vorläge bzw. schnelles aufsichtsbehördliches Handeln zur Vermeidung irreversibler Folgen geboten wäre, ist vom Antragsgegner nicht dargelegt worden. Eine solche Konstellation ist auch sonst nicht ersichtlich, zumal der Antragsteller derzeit über einen behördlichen Datenschutzbeauftragten (Herrn C. F. ) verfügt.

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des § 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind.

Nach der genannten Norm darf die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

„Verarbeitung“ im Sinne der DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Abs. 2 DSGVO.

Dabei stellen die – allenfalls als einschlägig heranzuziehende - Organisation und das Ordnen von Daten Vorgänge dar, durch die Möglichkeiten zur Auffindung und Auswertung dieser Daten vereinfacht oder verbessert werden, etwa indem sie in einer in bestimmter Weise aufgebauten Datei gespeichert werden. Das Ordnen stellt einen Unterfall des allgemeineren Begriffs der Organisation dar; der Begriff des Ordnens stellt auf ein bestimmtes Kriterium ab, nach dem jeweils die Daten geordnet werden (z.B. nach alphabetischer oder numerischer Reihenfolge).

vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DSGVO Art. 4 Abs. 2 Rdn. 23.

Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.


Den Volltext der Entscheidung finden Sie hier:




OLG München: Kein Verstoß gegen DSGVO durch Einladung zur Eigentümerversammlung unter namentlicher Nennung von Wohneinheiten mit Legionellenbefall

OLG München
Urteil vom 27.10.2021
20 U 7051/20


Das OLG München hat entschieden, dass kein Verstoß gegen die DSGVO durch Einladung zur Eigentümerversammlung unter namentlicher Nennung von Wohneinheiten mit Legionellenbefall vorliegt.

Aus den Entscheidungsgründen:

"Die zulässige Berufung des Klägers hat in der Sache keinen Erfolg. Das Landgericht hat zutreffend geurteilt, dass den Beklagten kein Verstoß gegen Vorschriften der DSGVO zur Last fällt. Die Berufung des Klägers war daher zurückzuweisen.

1. Die DSGVO ist - anders als die Beklagten behaupten - auf den hier zu entscheidenden Fall anwendbar. Denn gemäß Art. 2 Abs. 1 DSGVO gilt sie auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Dabei ist ein Dateisystem jede geordnete manuelle Datensammlung (beckOK, DSG-VO, Art. 2 Rn. 4). Dass der Name des Klägers bei der Beklagten zu 1) nicht in einer Datei, sondern nur zusammenhanglos auf losen Zetteln zu finden wäre, ist schwer vorstellbar und wird von den Beklagten auch nicht behauptet. Gemäß Art. 4 DSGVO stellt bereits die Verwendung der gespeicherten Daten eine „Verarbeitung“ im Sinne der Verordnung dar.

2. Entgegen der Ansicht des Klägers war die Verarbeitung seiner Daten in der mit der Einladung zur Eigentümerversammlung verschickten Tagesordnung (K 1, dort Ziffer 22) rechtmäßig, Art. 6 DSGVO.

a) Der vom Kläger behauptet gegen die DSGVO verstoßende Tagesordnungspunkt 22 „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ enthält die Information, welche zur Miteigentümergemeinschaft gehörenden Häuser und konkrete Einheiten mit welcher Intensität von dem festgestellten Legionellenbefall betroffen sind, wobei die Nachnamen der Eigentümer genannt werden.

b) Entgegen dem Dafürhalten des Klägers war die Verwendung auch der jeweiligen Eigentümernamen im konkreten Fall rechtmäßig, Art. 6 Abs. 1 lit c), lit f).

aa) Die Beklagte zu 1), die damalige Hausverwaltung, war ebenso wie die Wohnungseigentümergemeinschaft selbst für die Instandhaltung des Gemeinschaftseigentums und die Überprüfung der Leitungen rechtlich verantwortlich (vgl. Bärmann/Seuß, Praxis des Wohnungseigentums, § 111. TrinkwasserVerordnung Rn. 42). Die Beklagte zu 1) war der Wohnungseigentümergemeinschaft darüber hinaus vertraglich zur ordnungsgemäßen Verwaltung verpflichtet.

bb) Die Angabe der Namen der einzelnen Eigentümer in der verschickten Tagesordnung war auch erforderlich. Nur so konnte die Beklagte zu 1) sicherstellen, dass die eingeladenen Miteigentümer über alle für die durchzuführende „Aussprache und Beschlussfassung über weitergehende Maßnahmen zum Legionellenbefall und deren Finanzierung“ erforderlichen Informationen verfügten und die „Aussprache und Beschlussfassung“ vollständig durchführen konnten (vgl. BeckOK, Datenschutzrecht, Art. 6 DSGVO Rn. 17). Denn nur bei Kenntnis, wer von den Teilnehmern der Eigentümerversammlung von dem Legionellenbefall betroffen war, konnten die übrigen Miteigentümer die einzelnen Redebeiträge zutreffend einordnen und Nachfragen an die betroffenen Eigentümer stellen etwa zum Umfang der Arbeiten in den betroffenen Wohnungen oder an den im Sondereigentum stehenden Wasserarmaturen (vgl. VGH 20 CS 14.1663), oder zu - auch vom Kläger selbst behaupteten - angekündigten Mietminderungen des betroffenen Mieters, und mit den betroffenen Eigentümern über etwaige Ansprüche der Miteigentümergemeinschaft oder die Verteilung der entstandenen und noch anfallenden Kosten diskutieren.

cc) Dass - wie der Kläger behauptet - die einzelnen Miteigentümer seinen Namen auch anhand der Wohnungsnummer in Erfahrung bringen hätten können, trifft in dieser Allgemeinheit nicht zu. Denn aus der von ihm angeführten Teilungserklärung ergibt sich der Name der Käufer der einzelnen Wohnungen gerichtsbekannt nicht. Eine als Anhang zur Teilungserklärung vorhandene Eigentümerliste kann keine Aktualität beanspruchen, so dass die einzelnen Eigentümer sich, um die Identität des derzeitigen Eigentümers einer betroffenen Wohnung zu erfahren, wiederum an die Hausverwaltung, die hiesige Beklagte zu 1) wenden hätten müssen. Dies zeigt im Umkehrschluss, dass die Namensnennung bereits in der Tagesordnung erforderlich war. Eine bloße Unbequemlichkeit der Informationsbeschaffung, wie vom Kläger behauptet, liegt gerade nicht vor.

dd) Dass die Interessen des Klägers an der Nichtnennung seines Namens überwiegen würden, ist angesichts der vorstehenden Ausführungen nicht ersichtlich; die Beklagte zu 1) und die Wohnungseigentümergemeinschaft waren zum Vorteil des Klägers zur endgültigen Unterbindung des Legionellenbefalls in der klägerischen Wohnung tätig. Auch ist die Wohnungseigentümergemeinschaft keine anonyme Gemeinschaft (vgl. OLG München, 32 Wx 177/06, juris Rn. 9).

Die unsubstantiierte Behauptung des Klägers, dass ein potentieller Käufer „abgesprungen“ sei, führt nicht zu einer anderen Beurteilung; im Gegenteil wäre ein erst kürzlich beseitigter Legionellenbefall im Verkaufsobjekt dem potentiellen Käufer gegenüber unzweifelhaft vom Kläger selbst zu offenbaren gewesen.

3. Die Weitergabe der Mailadresse des Klägers hat das Landgericht - von der Berufung unangegriffen - ebenfalls zutreffend für rechtmäßig gehalten. Auf die Begründung im landgerichtlichen Urteil wird Bezug genommen. Gleiches gilt für den erstinstanzlich behaupteten Anspruch wegen der Sichtbarkeit der Mailadresse in einem Anschreiben des Beklagtenvertreters.

4. Unabhängig von Vorstehendem scheidet ein Anspruch gegen den Beklagten zu 2) schon deshalb aus, weil dieser nicht „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist. Aus der E-Mail des Beklagten zu 2) vom 9. August 2019 (Anlagen K 5 - K 8) kann der Kläger nichts für sich herleiten, weil der Beklagte zu 2) dort zwar einen Verstoß des Beklagten zu 1) gegen die DSGVO eingeräumt, selbst allerdings keine Leistung versprochen oder in irgendeiner Weise eine Verpflichtung für seine Person geschaffen oder eine bestehende Schuld bestätigt hat. Wie im vergleichbaren Fall von Erklärungen eines Schädigers im Straßenverkehr („Schuldbekenntnis“ des Unfallfahrers) fehlt es - wie im Regelfall - an einem Rechtsbindungswillen des Erklärenden (vgl. Palandt, BGB, § 781 Rn. 9 mwN)."


Den Volltext der Entscheidung finden Sie hier:


BAG legt EuGH vor: Stehen Anforderungen des BDSG an Abberufung eines betrieblichen Datenschutzbeauftragten mit DSGVO im Einklang ?

BAG
Beschluss vom 27.04.2021 - 9 AZR 383/19 (A)
Beschluss vom 27.04.2021 - 9 AZR 621/19 (A)


Das BAG hat dem EuGH zu Entscheidung vorgelegt, ob die Anforderungen des BDSG an die Abberufung eines betrieblichen Datenschutzbeauftragten mit den Vorgaben der DSGVO in Einklang stehen.

Die Pressemitteilung des Gerichts:

Abberufung eines Beauftragten für Datenschutz

Zur Klärung der Frage, ob die Anforderungen des Bundesdatenschutzgesetzes (BDSG) an die Abberufung eines betrieblichen Datenschutzbeauftragten im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) stehen, hat der Neunte Senat des Bundesarbeitsgerichts ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet.

Der Kläger ist der von der Arbeit teilweise freigestellte Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Mit Wirkung zum 1. Juni 2015 wurde er zusätzlich zum betrieblichen Datenschutzbeauftragten der Beklagten und - parallel dazu - drei weiterer Konzernunternehmen bestellt. Die Beklagte berief den Kläger (ebenso wie die drei weiteren Konzernunternehmen) mit Schreiben vom 1. Dezember 2017 und - nach Inkrafttreten der DSGVO - mit weiterem Schreiben vom 25. Mai 2018 als Datenschutzbeauftragten ab. Mit seiner Klage hat der Kläger geltend gemacht, seine Rechtsstellung als Datenschutzbeauftragter bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, es drohten Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei. Dies führe zu einer Unvereinbarkeit beider Ämter, die einen wichtigen Grund zur Abberufung des Klägers darstelle.

Die Vorinstanzen haben der Klage stattgegeben. Für die Entscheidung, ob die Beklagte den Kläger wirksam von seinem Amt als betrieblicher Datenschutzbeauftragter abberufen hat, kommt es auf die Auslegung von Unionsrecht an, die dem Gerichtshof der Europäischen Union vorbehalten ist. Das nationale Datenschutzrecht regelt in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG, dass für die Abberufung eines betrieblichen Datenschutzbeauftragten ein wichtiger Grund iSv. § 626 BGB vorliegen muss. Damit knüpft es die Abberufung eines Datenschutzbeauftragten an strengere Voraussetzungen als das Unionsrecht, nach dessen Art. 38 Abs. 3 Satz 2 DSGVO die Abberufung lediglich dann nicht gestattet ist, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird. Einen wichtigen Grund zur Abberufung verlangt das europäische Recht nicht.

Der Neunte Senat des Bundesarbeitsgerichts hält unter Zugrundelegung der bisherigen Rechtsprechung vorliegend keinen wichtigen Abberufungsgrund für gegeben. Deshalb hat er sich nach Art. 267 AEUV mit der Frage an den Gerichtshof gewandt, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die - wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG - die Möglichkeit der Abberufung eines Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken. Sollte der Gerichtshof

die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, hält der Senat es zudem für klärungsbedürftig, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO führt.

Bundesarbeitsgericht, Beschluss vom 27. April 2021 - 9 AZR 383/19 (A) -
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 - 9 Sa 268/18

Der Senat hat mit weiterem Beschluss vom 27. April 2021 den Gerichtshof in der Sache - 9 AZR 621/19 (A) - mit teilweise gleichgelagerten Fragen um Vorabentscheidung ersucht.



LG Bonn: Bußgeld gegen 1&1 wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert

LG Bonn
Urteil vom 12.11.2020
29 OWi 1/20 LG


Das LG Bonn hat entschieden, dass das Bußgeld gegen 1&1 (Siehe dazu: BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline) wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert wird.

Die Pressemitteilung des Gerichts:

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.




BAG legt EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO vor

BAG
Beschluss vom 30.7.2020
2 AZR 225/20 (A)


Das BAG hat dem EuGH Fragen zur ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten und der Vereinbarkeit von §§ 6 Abs. 4 Satz 2, 38 BDSG mit Art. 38 DSGVO zur Entscheidung vorgelegt.

Leitsätze des BAG:

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?


Den Volltext der Entscheidung finden Sie hier:

Hamburger Datenschutzbeauftragter: DSGVO - 35,3 Millionen Euro Bußgeld gegen H&M wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro wegen datenschutzwidriger Mitarbeiterüberwachung im Servicecenter von H&M verhängt.

35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

LAG Nürnberg: Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund - §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar

LAG Nürnberg
Urteil vom 19.02.2020
2 Sa 274/19

Das LAG Nürnberg hat entschieden, dass die Abberufung und Kündigung des internen Datenschutzbeauftragten aus wichtigem Grund möglich ist. §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG ist insoweit mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar.

Aus den Entscheidungsgründen:

Die Beklagte zu 1) bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DS-GVO.

1. Auch die Abberufung des Datenschutzbeauftragten ist in der DS-GVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DS-GVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Der Arbeitsvertragsinhalt ändert sich (BAG 23.03.2011 - 10 AZR 652/09 - Rn 30; 13.03.2007 - 9 AZR 612/05 - Rn 23). Die Abberufung als interner Datenschutzbeauftragter zielt damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel (a.A. Kühling/Buchner/Kühling/Sackmann, 2. Aufl., 2018, BDSG § 38 Rn 20; Ehmann/Sehmayr/Heberlein, 2.Aufl., 2018, DS-GVO Art. 38 Rn 28), da die europarechtliche Kompetenznorm sich insoweit in Art. 153 Abs. 1 lit. b AEUV („Arbeitsbedingungen“) findet. In diesem Bereich wird die EU jedoch nicht durch Verordnung, sondern durch Richtlinien tätig und hindert strengere Schutzmaßnahmen der Mitgliedstaaten nicht (Art. 153 Abs. 4, 2. Spiegelstrich). Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DS-GVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DS-GVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.

Mit dem Bundesgesetzgeber (BT-Drs. 18/11326, 82) vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DS-GVO auch im BDSG n. F. beibehalten werden kann (LAG Sachsen 19.08.2019 - 9 Sa 268/18 Rn 49; ErfK/Franzen, 20. Aufl., 2020, BDSG § 38 Rn 7; BeckOK DatenschutzR/Moos BDSG § 38 Rn 18; Pauly in Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, § 38 BDSG Rn 17; Körffer in Paal/Pauly, a.a.O § 6 BDSG, Rn 3).

2. Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Dies hat das Arbeitsgericht überzeugend unter Bezugnahme auf die Entscheidung des BAG vom 23.03.2011 - 10 AZR 562/09 herausgearbeitet. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.

3. Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten zu 1), dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DS-GVO stand. Die Beklagte zu 1) beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.

Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DS-GVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte zu 1) nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.

Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte zu 1) hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Dies gilt erst recht vor dem Hintergrund des behaupteten Wegfalls anderer Arbeitsaufgaben auf Grund der unternehmerischen Entscheidung. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DS-GVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam (Kühling/Buchner/Bergt, 2. Aufl., 2018, DS-GVO Art. 38 Rn 30).

Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DS-GVO festgehalten ist (vgl. hierzu EuArbRK/Franzen 3. Aufl., 2020, DS-GVO Art. 38, Rn 4).


Den Volltext der Entscheidung finden Sie hier:



BFH: Rechtsanwalt als externer Datenschutzbeauftragter übt gewerbliche Tätigkeit aus und ist gewerbesteuerpflichtig

Bundesfinanzhof
Urteil vom 14.01.2020
VIII R 27/17


Der BFH hat entschieden, dass ein Rechtsanwalt, der als externer Datenschutzbeauftragter tätig ist, eine gewerbliche Tätigkeit ausübt und somit gewerbesteuerpflichtig ist.

Leitsätze des BFH:

1. Ein externer Datenschutzbeauftragter übt auch dann, wenn er zugleich als Rechtsanwalt tätig ist, keinen in § 18 Abs. 1 Nr. 1 EStG genannten Katalogberuf aus.

2. Da ein Datenschutzbeauftragter ohne eine akademische Ausbildung tätig werden kann, übt er auch keine dem Beruf des Rechtsanwalts ähnliche Tätigkeit i.S. des § 18 Abs. 1 Nr. 1 Satz 2 EStG aus (Anschluss an BFH-Urteile vom 05.06.2003 - IV R 34/01, BFHE 202, 336, BStBl II 2003, 761; vom 26.06.2003 - IV R 41/01, BFH/NV 2003, 1557).

3. Die Tätigkeit des externen Datenschutzbeauftragten ist auch nicht den sonstigen selbständigen Tätigkeiten i.S. des § 18 Abs. 1 Nr. 3 EStG zuzuordnen.

Die Pressemitteilung des Bundesfinanzhofs:

Externe Datenschutzbeauftragte sind gewerbliche Unternehmer

Ein externer Datenschutzbeauftragter ist gewerblicher Unternehmer, auch wenn er zugleich als Rechtsanwalt tätig ist. Wie der Bundesfinanzhof (BFH) mit Urteil vom 14.01.2020 (VIII R 27/17) entschieden hat, liegt keine freiberufliche Tätigkeit i.S.d. § 18 Abs. 1 EStG vor. Der externe Datenschutzbeauftragte ist daher gewerbesteuerpflichtig und - bei Überschreiten bestimmter Gewinngrenzen – auch buchführungspflichtig.

Im Streitfall war der Kläger als selbständiger Rechtsanwalt im Bereich des IT-Rechts tätig. Daneben arbeitete er für verschiedene größere Unternehmen als externer Datenschutzbeauftragter. Das Finanzamt sah diese Tätigkeit als gewerblich an. Es setzte Gewerbesteuer fest und forderte den Kläger als gewerblichen Unternehmer gem. § 141 AO auf, ab dem Folgejahr Bücher zu führen und Abschlüsse zu machen. Der gegen diese Aufforderung aus dem Jahr 2012 gerichtete Einspruch des Klägers blieb ebenso wie die nachfolgende Klage vor dem Finanzgericht ohne Erfolg.

Der BFH hat die Vorentscheidung jetzt bestätigt. Als Datenschutzbeauftragter übe der Kläger keine dem Beruf des Rechtsanwaltes vorbehaltene Tätigkeit aus. Vielmehr werde er in einem eigenständigen, von seiner Anwaltstätigkeit abzugrenzenden Beruf tätig. Der Datenschutzbeauftragte berate in interdisziplinären Wissensgebieten. Hierfür müsse er zwar neben datenschutzrechtlichem Fachwissen auch Fachwissen in anderen Bereichen (z.B. der Informations- und Kommunikationstechnik und der Betriebswirtschaft) besitzen. Eine spezifische akademische Ausbildung müsse er aber – anders als der Rechtsanwalt - nicht nachweisen. Aus diesem Grunde sei der Kläger als Datenschutzbeauftragter auch nicht in einem dem Rechtsanwalt ähnlichen Beruf tätig. Schließlich sei – so der BFH – auch keine sonstige selbständige Arbeit i.S.d. § 18 Abs. 1 Nr. 3 EStG anzunehmen. Es fehle an der erforderlichen Vergleichbarkeit mit den dort genannten Regelbeispielen.


Den Volltext der Entscheidung finden Sie hier:




BAG: Sonderkündigungsschutz des Datenschutzbeauftragten endet mit Absinken der Beschäftigtenzahl unter Schwellenwert - es gilt nachwirkender Sonderkündigungsschutz

BAG
Urteil vom 05.12.2019
2 AZR 223/19


Das BAG hat entschieden, dass der Sonderkündigungsschutz des Datenschutzbeauftragten mit Absinken der Beschäftigtenzahl unter den Schwellenwert endet. Es gilt dann der nachwirkende Sonderkündigungsschutz.

Leitsatz des BAG:

Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.

Den Volltext der Entscheidung finden Sie hier:



BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.