Verletzt ein betrieblicher Datenschutzbeauftragter die ihm obliegenden Pflichten in schwerwiegender Weise, rechtfertigt dies nur die sofortige Abberufung als Datenschutzbeauftragter. Eine außerordentliche Kündigung des Arbeitsverhältnisses ist hingegen nicht möglich (ArbG Heilbronn, Urt. v. 29.09.2022 - Az.: 8 Ca 135/22).
Der Kläger war bei der Beklagten, einem Konzern mit etwa 1.700 Arbeitnehmern, als Syndikusanwalt und Leiter der Rechtsabteilung angestellt. Zudem wurde er 2018 als betrieblicher Datenschutzbeauftragter bestellt.
Die Beklagte kündigte das Arbeitsverhältnis außerordentlich. Sie trug vor, dass der Kläger jahrelang seine Tätigkeit als Datenschutzbeauftragter vernachlässigt habe. Ein aktuelles Wirtschaftsprüfer-Gutachten habe massivste Datenschutzmängeln im mittleren Risiko- und Hochrisiko-Bereich festgestellt:
- kein dokumentiertes Datenschutzmanagementsystem
- es fehle eine Datenschutz-Richtlinie
- es fehle ein E-Learning-Tool für die Mitarbeiter
- Datenschutz-Audits würden nicht durchgeführt
Der Kläger bestritt die Arbeitsverweigerung und verteidigte sich u.a. damit, dass die Verantwortung für die Umsetzung der Maßnahmen nicht bei ihm liege, sondern beim Vorstand des Unternehmens.
Das Arbeitsgericht erklärte die außerordentliche Kündigung des Arbeitsvertrages für unwirksam.
Die Kündigung sei ausschließlich mit Pflichtverletzungen als Datenschutzbeauftragter begründet worden. Dadurch würde aber der Arbeitsvertrag nicht berührt. Es sei allenfalls möglich, den Arbeitnehmer als Datenschutzbeauftragten außerordentlich abzuberufen, nicht jedoch ihn als arbeitsrechtlich vollständig zu kündigen:
"Die beklagtenseits ausgesprochene Kündigung ist unwirksam, weil sie ausschließlich mit der Verletzung von Amtspflichten des Klägers in seiner Position als Datenschutzbeauftragter begründet wird. In einem solchen Fall ist der Ausspruch einer Kündigung des Arbeitsverhältnisses nicht möglich. (...)
(...)
Die normative Ausgestaltung des Schutzes des Datenschutzbeauftragten legt nach Auffassung der Kammer nahe, dass - ebenso wie bei anderen Amtsträgern wie beispielsweise Betriebsratsmitgliedern (...) - stets zwischen der Verletzung von arbeitsvertraglichen Pflichten und solchen, die allein die Amtsführung betreffen, zu unterscheiden ist.
Bei Verstößen gegen Amtspflichten, die nicht zugleich eine Verletzung der Pflichten aus dem Arbeitsverhältnis darstellen, kommt eine vertragsrechtliche Sanktion wie beispielsweise eine Abmahnung oder Kündigung nicht in Betracht, sondern die für Amtspflichtverletzungen gesetzlich vorgesehene Sanktion. (...) Letztlich streitet auch das ultima ratio - Prinzip gegen die Zulässigkeit einer Kündigung bei der Verletzung von Pflichten als Datenschutzbeauftragter, denn die Abberufung wird in einem solchen Fall der reinen Amtspflichtverletzung stets das mildere Mittel gegenüber der Beendigung des gesamten Arbeitsverhältnisses im Wege der Kündigung darstellen.
Da die Beklagte vorliegend die fristlose Kündigung ausschließlich darauf stützt, dass der Kläger seinen Pflichten als Datenschutzbeauftragter nicht nachgekommen sei, liegt auch keine Konstellation vor, bei der zugleich eine arbeitsvertragliche Pflichtverletzung vorliegt. Die Kündigung ist daher unwirksam."
Ferner sei auch kein wichtiger Grund erkennbar, denn das Unternehmen könne keine konkrete Pflichtverletzung des Klägers beweisen.
Zwar habe das vorgelegte Gutachten der Wirtschaftsprüfer erhebliche datenschutzrechtliche Mängel festgestellt. Der Kläger als betrieblicher Datenschutzbeauftragter sei jedoch hierfür nicht Verantwortlicher iSd. DSGVO. Vielmehr sei der Vorstand die verantwortliche Stelle und hätte die Pflichten umsetzen müssen:
"Bei den Pflichten des Datenschutzbeauftragten handelt es sich nicht um weisungsgebundene, sondern um gesetzliche Aufgaben, bei denen der Amtsträger Weisungen nicht unterworfen ist, Art. 38 Abs. 3 DS-GVO. Ihm obliegen nach Art. 39 DS-GVO vorwiegend Unterrichtungs-, Beratungs- und Überwachungsaufgaben.
Verantwortlich für die Umsetzung der Vorgaben der DS-GVO und des diese konkretisierenden und ergänzenden BDSG ist nach Art. 4 Nr. 7 DS-GVO demgegenüber „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, vorliegend also die Beklagte.
Die beklagtenseits vorgetragenen datenschutzrechtlichen Probleme aus dem Gutachten (...) zeigen indessen nur bestimmte Mängel als Ergebnis einer nicht vollständigen Umsetzung datenschutzrechtlicher Vorschriften auf, z.B. ein fehlendes Datenschutzmanagementsystem. Zur Frage der Verantwortlichkeit wird keine Aussage getroffen.
Vielmehr ist aus Sicht der Kammer die Beklagte als verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DS-GVO organisatorisch zur Umsetzung verpflichtet, sei es dadurch, dass externe Hilfe in Anspruch genommen wird oder im Wege der Anweisung zur Umsetzung an die eigenen Mitarbeiter. Dies schließt es aus, sich als Arbeitgeberin darauf zu berufen, der Datenschutzbeauftragte sei verantwortlich für die Herstellung eines ordnungsgemäßen Datenschutzniveaus.
Hinzu kommt, dass dies bereits auf den ersten Blick nicht möglich sein dürfte: So war der Kläger zum Zeitpunkt seiner Bestellung zum Datenschutzbeauftragten der Beklagten im Jahr 2018 Leiter der Rechtsabteilung mit einer arbeitsvertraglichen Arbeitszeit von „mindestens 40 Stunden“. Die Aufgabe des Datenschutzbeauftragten wurde ihm zusätzlich übertragen. Wenn der Prozessvortrag der Beklagten zutreffend sein sollte, hätte der Kläger weitere 20 Stunden in der Woche zusätzlich arbeiten müssen, was wesentliche arbeitszeitrechtliche Bestimmungen außer Acht ließe. Für die Annahme eines entsprechenden Vertragswillens, gerichtet auf eine solche Vereinbarung, bedürfte es eindeutiger Anhaltspunkte. Solche vermag die Kammer nicht zu erkennen.
Hieraus folgt, dass der Kläger mit der Bestellung zum Datenschutzbeauftragten nicht zugleich dafür verantwortlich war, dass im Unternehmen der Beklagten sämtliche datenschutzrechtlichen Vorgaben eingehalten werden.
Konkrete Verletzungen der typischen Pflichten des Datenschutzbeauftragten im Bereich der Kontrolle und Beratung hat die Beklagte nicht dargelegt."
Anmerkung von RA Dr. Bahr:
Ein absolutes Harakiri-Verfahren für das betroffene Unternehmen.
Nicht nur, dass sie den Arbeitsgerichtsprozess verloren hat. Es wurde ihr auch amtlich ins Stammbuch geschrieben, dass für die massiven Datenschutzverletzungen ausschließlich der Vorstand des Unternehmens verantwortlich ist. Etwaige Maßnahmen der zuständigen Datenschutzbehörde und mögliche Schadensersatz-Prozesse von Betroffenen dürften nur noch eine Frage der Zeit sein.