Datenschutzbeauftragte genießen nach deutschem Recht einen Sonderkündigungsschutz (wir berichteten). Für eine (fristlose) Kündigung muss schon ein wichtiger Grund vorliegen.
Klage eines Datenschutzbeauftragten gegen fristlose Kündigung
Mit dem Fall der fristlosen Kündigung eines internen Datenschutzbeauftragten hatte sich vor Kurzem das Arbeitsgericht Heilbronn (ArbG Heilbronn, Urteil vom 29.09.2022, Az. 8 Ca 135/22) zu befassen. Das ArbG Heilbronn kam zu dem Urteil, dass eine fristlose Kündigung eines Datenschutzbeauftragten aufgrund reiner Amtspflichtverletzungen unwirksam sei und allenfalls eine Abberufung des Beschäftigten als Datenschutzbeauftragter rechtfertigen könne.
Im konkreten Fall wollte der Arbeitgeber einen seiner Beschäftigten, den er im Dezember 2018 zum internen Datenschutzbeauftragten bestellt hatte, fristlos kündigen. Dieser wehrte sich vor dem Arbeitsgericht gegen die Kündigung.
Der Arbeitgeber warf dem Mitarbeiter, der seit fast 20 Jahren bei dem Unternehmen beschäftigt ist und dort zuletzt als Syndikusanwalt und Leiter der Rechtsabteilung tätig war, eine Arbeitsleistung vor, die „vollkommen unzureichend und geprägt von Verantwortungslosigkeit und Gleichgültigkeit gegenüber den berechtigten Interessen der Beklagten [des Arbeitgebers, Anm. d. Verf.]“ sei. Als Grund nannte der Arbeitgeber, dass der Beschäftigte seinen Aufgaben als interner Datenschutzbeauftragten nicht nachgekommen sei. Er verwies dabei auf das aktuelle Ergebnis einer Revisionsprüfung durch eine Wirtschaftsprüfungsgesellschaft. Demnach hätte kein dokumentiertes Datenschutz-Managementsystem bestanden, eine Datenschutzrichtlinie nur im Entwurf vorgelegen und ein E-Learning-Tool sei erst in Arbeit gewesen. Ebenso habe es keine Audits zur Überwachung des Datenschutzes, keine ausreichende Information der Beschäftigten zur Datenverarbeitung und kein Löschkonzept gegeben. Außerdem gab es Mängel auf der Website. Im Jahr 2021 war der Mitarbeiter bereits abgemahnt worden.
Der Beschäftigte wies darauf hin, dass er als Datenschutzbeauftragter eine Beratungs- und Kontrollfunktion habe. Es sei nicht seine Aufgabe als Datenschutzbeauftragter, die datenschutzrechtlichen Vorgaben strukturell umzusetzen.
Das Arbeitsgericht folgte der Auffassung des Beschäftigten. Zunächst unterschied das Gericht zwischen arbeitsvertraglichen Pflichten und der Amtsführung als betrieblicher Datenschutzbeauftragter. Komme es zu Verletzungen der Amtsführung, die nicht gleichzeitig eine Arbeitspflichtverletzung sind, komme eine Abmahnung oder Kündigung des Arbeitsverhältnisses gar nicht erst in Betracht. Da § 6 Abs. 4 BDSG i.V.m. Art. 38 Abs. 3 DSGVO eindeutig zwischen Abberufungs- und Kündigungsschutz unterscheide, sei eine Kündigung wegen Verletzung der Amtsführung unzulässig. Es käme daher allenfalls eine Abberufung des Datenschutzbeauftragten in Frage.
Verantwortlicher ist verantwortlich für den Datenschutz
Damit aber nicht genug. Das Arbeitsgericht zog in Zweifel, ob der Datenschutzbeauftragte überhaupt seine Amtsführung verletzt habe. Das Gericht las den Revisionsbericht so, dass über die Verantwortlichkeit der datenschutzrechtlichen Mängel keine Aussage getroffen wird. Daher kam das Gericht zu dem Schluss, dass der Arbeitgeber als Verantwortlicher nach Art. 4 Nr. 7 DSGVO organisatorisch zur Umsetzung von Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus verpflichtet ist, nicht der Datenschutzbeauftragte.
Fazit
Der Datenschutzbeauftragte hat eine Kontroll- und Überwachungsfunktion. Er kann aber nur Empfehlungen zur Verbesserung des Datenschutzniveaus abgeben und unterstützend tätig sein. Die Verantwortlichkeit zur Umsetzung liegt beim Unternehmen als Verantwortliche. Dies ergibt sich schon aus dem Wortlaut des Art. 24 DSGVO, wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen sicherzustellen hat, damit die Datenverarbeitung gemäß der DSGVO erfolgt. Zum Beispiel ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO vom Verantwortlichen zu führen, nicht vom Datenschutzbeauftragten.
Die Bestellung des Datenschutzbeauftragten entbindet ein Unternehmen daher nicht davon, die Umsetzung von Maßnahmen zum Datenschutz aktiv selbst zu betreiben.
Des Weiteren darf nicht übersehen werden, dass die Aufgaben des Datenschutzbeauftragten Zeit erfordern. Im beschriebenen Fall des ArbG Heilbronn waren dem Kläger die Aufgaben zusätzlich zu seinen arbeitsvertraglichen Tätigkeiten, welche bereits 40 Stunden pro Woche erforderten, übertragen worden. Der Beschäftigte gab zwar an, die Aufgaben als Beauftragter (die oben genannte Kontroll- und Beratungsfunktion) trotzdem erfüllt und viele Änderungen schon angestoßen zu haben. Und auch das Gericht vermutete eher Unstimmigkeiten zwischen dem Kläger und dem Vorstandsvorsitzenden des beklagten Unternehmens als eigentlichen Kündigungsgrund. Nichtsdestotrotz brauchen Mitarbeitende, die als Datenschutzbeauftragte benannt werden, ausreichend zeitliche Freiräume, um ihrer Funktion gerecht zu werden.
Michael
25. November 2022 @ 8:35
Danke für diesen guten Beitrag.
Das sollen sich so einige „verantwortliche“ am besten mal drucken und über das Bett hängen 😉