Sinkt die Beschäftigtenzahl unter den Schwellenwert, ab dem die Bestellung eines Datenschutzbeauftragten nach dem BDSG verpflichtend ist, endet grundsätzlich automatisch der Sonderkündigungsschutz eines Datenschutzbeauftragten. Gleichzeitig beginnt der nachwirkende einjährige Sonderkündigungsschutz (BAG, Urteil vom 05.12.2019 – 2 AZR 223/19).
Hintergrund:
Bereits mit Urteil vom 27.07.2017 – 2 AZR 812/16 stellte das Bundesarbeitsgericht fest, dass ein Datenschutzbeauftragter nur dann Sonderkündigungsschutz genießt, wenn seine Bestellung gesetzlich vorgeschrieben ist.
§ 4f Abs. 1 BDSG in der bis zum 24.5.2018 geltenden Fassung (a.F.) schrieb vor, dass nicht-öffentliche Arbeitgeber einen Datenschutzbeauftragten zu bestellen hatten, sobald mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen wurden.
Wenn diese Voraussetzung erfüllt gewesen ist, war eine Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten nach § 4f Abs. 3 Satz 5 BDSG a.F. unzulässig, es sei denn, dass Tatsachen vorlagen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigten. Gemäß § 4f Abs. 3 Satz 6 BDSG a.F. wirkte dieser Sonderkündigungsschutz für ein Jahr nach der Beendigung der Bestellung nach.
In seinem Urteil vom 05.12.2019 – 2 AZR 223/19 hatte sich das Bundesarbeitsgericht nun mit der Frage zu beschäftigen, wie sich ein Absinken der Beschäftigtenzahl unter den für die verpflichtende Bestellung eines Datenschutzbeauftragten maßgeblichen Schwellenwert auf die kündigungsrechtliche Stellung des Datenschutzbeauftragten auswirkt.
Sachverhalt:
Das BAG hatte über die Wirksamkeit der ordentlichen Kündigung eines Datenschutzbeauftragten zu entscheiden. Der Arbeitnehmer arbeitete seit April 2010 bei einem australischen Bankinstitut als Director Institutional Banking. Im Juni 2010 wurde er von seinem Arbeitgeber gem. § 4f BDSG in der bis zum 24.5.2018 geltenden Fassung (im Folgenden aF) zum Datenschutzbeauftragten ernannt. Zu diesem Zeitpunkt waren in der Niederlassung neun Beschäftigte tätig, die alle ständig automatisiert personenbezogene Daten verarbeiteten, während in den Jahren vorher mehr Leute angestellt gewesen sind.
In den Jahren 2010 bis 2015 wurden in der betroffenen Niederlassung
zwischen zehn und dreizehn, im Jahr 2016 neun Mitarbeiter beschäftigt.
Im April 2017 sprach der Arbeitgeber die ordentliche Kündigung gegenüber dem Arbeitnehmer
aus. Im Zeitpunkt des Zugangs der Kündigung beschäftigte die Beklagte in der
Niederlassung insgesamt acht Arbeitnehmer. Der Arbeitnehmer war noch als
Datenschutzbeauftragter bestellt. Eine Abberufung erfolgte vor Ausspruch der
Kündigung nicht.
Das Arbeitsgericht und Landesarbeitsgericht erachteten die Kündigung als
unwirksam, da der Arbeitnehmer aufgrund seiner Stellung als Datenschutzbeauftragter
nach § 4f Abs. 3 Satz
5 BDSG a.F. ordentlich nicht kündbar sei. Die hiergegen gerichtete Revision des
Arbeitgebers war vor dem Bundesarbeitsgericht erfolgreich.
Gründe:
Das BAG kam – entgegen der Vorinstanzen – zu dem Ergebnis, dass die Kündigung nicht wegen des Sonderkündigungsschutzes gem. § 4f Abs. 3 Satz 5 BDSG aF unwirksam ist.
Zwar sei die Bestellung zum Datenschutzbeauftragten nicht bereits deshalb unwirksam, da dem Arbeitnehmer als Geschäftsleiter möglicherweise die notwendige Zuverlässigkeit für dieses Amt gefehlt habe. Denn aus dem BDSG a.F. folge grundsätzlich nicht die Nichtigkeit der Bestellung bei fehlender Zuverlässigkeit des Datenschutzbeauftragten.
Der Kläger kann sich jedoch nicht auf den Sonderkündigungsschutz eines Datenschutzbeauftragten
berufen, da der Arbeitgeber bei Zugang der Kündigung nicht in der Regel mehr
als neun Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigte und somit die Bestellung eines Datenschutzbeauftragten
nicht mehr gesetzlich vorgeschrieben gewesen ist.
Ein Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz
4 BDSG aF während der Tätigkeit als
Beauftragter für den
Datenschutz führt dazu, dass
dessen Sonderkündigungsschutz
nach § 4f Abs. 3 Satz
5 BDSG aF entfällt, ohne dass
es eines Widerrufs der Bestellung durch den Arbeitgeber bedarf.
Endet durch ein Unterschreiten des Schwellenwerts des § 4f Abs. 1 Satz
4 BDSG aF die Funktion als verpflichtender Beauftragter für den
Datenschutz, beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF. Es handelt sich auch insoweit um eine Abberufung
im Sinne der Bestimmung.
Vor diesem Hintergrund konnte die Erfurter Richter nicht selbst entscheiden, ob
die Kündigung im Ergebnis wirksam gewesen ist. Dem Kläger könnte nämlich ein
nachwirkender Kündigungsschutz nach § 4f Abs. 3 Satz 6 BDSG aF zustehen, abhängig davon, zu welchen Zeitpunkt
die Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz
4 BDSG aF gesunken ist. Da hierzu bisher keine Feststellungen getroffen wurden,
wurde der Rechtsstreit an das LAG zurückzuverweisen.
Praxistipp:
Besondere Praxisrelevanz erhält das Urteil aufgrund einer zum 26.11.2019 eingetretenen Gesetzesänderung.
Mit dem zweiten Gesetz zur Anpassung des Datenschutzrechts an die DSGVO wurde in § 38 Abs. 1 S. 1 BDSG die maßgebliche Personenzahl, ab der verpflichtend ein Datenschutzbeauftragter zu benennen ist, von 10 auf 20 Mitarbeiter angehoben, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.
Infolgedessen dürften Datenschutzbeauftragte in Kleinbetrieben, mit mehr als 10, aber weniger als 20 Bildschirmarbeitsplätzen in Anwendung des besprochenen BAG-Urteils mit Inkrafttreten der Gesetzesänderung ihren Sonderkündigungsschutz verloren haben. Dieser Kündigungsschutz wirkt nun bis zum 26.11.2020 nach.
Etwas anderes könnte jedoch in Betrieben gelten,
-deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
oder
-deren Kerntätigkeit in der umfangreichen Verarbeitung sog. sensitiver Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Denn in diesem Fällen besteht nach Art. 37 DSGVO eine Pflicht zur Bestellung eines Datenschutzbeauftragten. In diesen Fällen genießen Datenschutzbeauftragten auch in Betrieben mit weniger als 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind, Sonderkündigungsschutz.
Hintergrund
Nahezu jede Betriebsratsarbeit beinhaltet eine Verarbeitung personenbezogener Daten. Es verwundert daher nicht, dass Arbeitgeber bisweilen versuchen, betriebsverfassungsrechtlichen Ansprüchen datenschutzrechtliche Bedenken entgegenzusetzen. In diesen Konstellationen stellt sich die spannende Frage, wie Datenschutzrecht (v.a. Europäische Datenschutzgrundverordnung, kurz: DSGVO; Bundesdatenschutzgesetz: BDSG) und Betriebsverfassungsrecht in Einklang gebracht werden kann.
BAG bisher: Betriebsrat = datenschutzrechtlich Teil des Arbeitgebers als verantwortliche Stelle
Das Bundesarbeitsgericht vertrat bislang in ständiger Rechtsprechung (z.B. Urteil vom 11.11.1997 – 1 ABR 21/97, Urteil vom 07.02.2012 – 1 ABR 46/10) die Auffassung, dass der Betriebsrat nicht selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sei; der Betriebsrat sei vielmehr Teil des Arbeitgebers als datenschutzrechtlich verantwortliche Stelle. Infolgedessen stünden einer Übermittlung personenbezogener Daten an den Betriebsrat keine Bedenken in den Bezug auf den Datenschutz entgegen.
In datenschutzrechtlicher Hinsicht wurde der Betriebsrat daher mit anderen Worten wie eine „Abteilung“ des Arbeitgebers angesehen. Aufgrund seiner gesetzlichen Rolle als unabhängiger Interessenvertreter der Belegschaft wurden dieser „Abteilung“ jedoch in Bezug auf den Datenschutz Sonderrechte eingeräumt. So unterlag der Betriebsrat bisher nicht der Kontrolle des betrieblichen Datenschutzbeauftragten. Auch hatte der Arbeitgeber keine Handhabe, auf den Betriebsrat einzuwirken, um die Einhaltung datenschutzrechtlicher Vorgaben im Rahmen der Betriebsratsarbeit sicherzustellen.
DSGVO: Betriebsrat eigener Verantwortlicher iSd Art. 4 Nr. 7 DSGVO?
Seit Inkrafttreten der DSGVO ist fraglich, ob an dieser Rechtsprechung festgehalten werden kann. Grund hierfür ist, dass die DSGVO eine gegenüber dem bisherigen BDSG weitergehende Definition des datenschutzrechtlich Verantwortlichen enthält. Nach Art. 4 Nr. 7 DSGVO richten sich die datenschutzrechtlichen Vorgaben nun an jede „Stelle“, die „über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten entscheidet.“ Ob dies beim Betriebsrat der Fall ist, ist eine der Streifragen, die seit Inkrafttreten der DSGVO in Rechtsprechung und Literatur intensiv diskutiert werden.
Während das LAG Niedersachsen, Beschluss vom 22.10.2018 – 12 TaBV 23/18 und das LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18 den Betriebsrat auch unter Geltung der DSGVO weiterhin als Teil der verantwortlichen Stelle Arbeitgeber ansehen, ist das LAG Sachsen-Anhalt, Beschluss vom 18.12.2018 – 4 TaBV 19/17 sowie die Mehrzahl der Landesdatenschutzaufsichtsbehörden (vgl. z.B. Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg 34. Tätigkeitsbericht 2018, S. 37 f.) der Ansicht, dass der Betriebsrat selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sei, da er eigenständig über die Zwecke und Mittel seiner Datenverarbeitung entscheide, und der Arbeitgeber gerade nicht entscheiden kann, auf welche Art und Weise der Betriebsrat personenbezogene Daten verarbeitet.
Konsequenzen einer eigenen Verantwortlichkeit des Betriebsrats
Sollte der Betriebsrat zukünftig tatsächlich als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, hätte dies weitreichende Konsequenzen:
Der Betriebsrat selbst wäre Adressat sämtlicher datenschutzrechtlicher Verpflichtungen und Vorgaben. Er müsste daher selbst Maßnahmen zur Umsetzung der Vorgaben aus der DSGVO ergreifen, beispielsweise müsste er die betroffenen Mitarbeiter über seine Datenverarbeitung informieren (Art. 13, 14 DSGVO), er müsste ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 DSVGO), die Betroffenenrechte auf Auskunft etc. müsste der Betriebsrat selbst erfüllen, er müsste ein eigenes Löschkonzepte entwerfen etc.
Infolge der eigenen Verantwortlichkeit hätte der Betriebsrat bzw. hätten einzelne Betriebsratsmitglieder auch für Datenschutzverstöße zu haften; ihnen gegenüber könnte möglicherweise sogar ein Bußgeld ausgesprochen werden. Kurzum: Auf den Betriebsrat käme eine datenschutzrechtliche Revolution zu!
Für den Arbeitgeber wäre eine Einordnung des Betriebsrats als eigenständiger Verantwortlicher zwar insoweit vorteilhaft, als er zukünftig nicht mehr für Datenschutzverstöße aus dem Bereich des Betriebsrats haftbar gemacht werden könnte. Doch hätte eine solche Entwicklung auch für den Arbeitgeber eine nicht unerhebliche finanzielle Schattenseite:
Bekanntlich hat der Arbeitgeber die erforderlichen Kosten der Betriebsratsarbeit zu tragen. Sollte der Betriebsrat tatsächlich selbst für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sein, müsste der Arbeitgeber auch die im Zusammenhang mit der Erfüllung dieser Pflichten entstehenden Kosten tragen. Zu denken wäre insofern an Schulungskosten und Kosten für externe Rechts-/IT-Beratung.
BAG, Beschluss vom 09.04.2019 – 1 ABR 51/17: Betriebsrat muss zumindest bei sensitiven Daten selbst Schutzmaßnahmen ergreifen
Vor diesem Hintergrund wäre es zu begrüßen, dass diese Streitfrage möglichst zeitnah geklärt wird.
Im Rahmen seines Beschlusses vom 09.04.2019 – 1 ABR 51/17 hat das Bundesarbeitsgericht indes die Frage, ob der Betriebsrat selbst Verantwortlicher im Sinne der DSGVO ist, ausdrücklich offen gelassen und lediglich klargestellt, dass der Betriebsrat jedenfalls selbst verpflichtet ist, Schutzmaßnahmen zu ergreifen, wenn er besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO bzw. § 26 Abs. 3 BDSG (sog. sensitive Daten, insbesondere Gesundheitsdaten) verarbeitet.
Praxistipp
Die Betriebsparteien müssen daher zunächst weiterhin mit dieser unklaren Rechtslage leben. Sie können jedoch selbst Abhilfe schaffen, indem sie im Rahmen einer Betriebsvereinbarung zum Beschäftigtendatenschutz bei der Betriebsratsarbeit verbindliche Regeln zur datenschutzrechtlichen Stellung des Betriebsrats und dessen Datenverarbeitung aufstellen. Art. 88 Abs. 1 DSGVO sieht nämlich vor, dass die Betriebsparteien durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext aufstellen können.
In einer solchen Betriebsvereinbarung kann beispielsweise vorgesehen werden, dass der Betriebsrat weiterhin Teil der verantwortlichen Stelle des Arbeitgebers ist und fortan der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegt. Auch kann geregelt werden, dass der Betriebsrat berechtigt ist, die bestehenden Datenschutzstrukturen des Arbeitgebers mit zu nutzen.
Sollten Sie insofern Hilfe benötigen, stehen wir Ihnen jederzeit gerne mit Rat und Tat zur Seite.
Im Rahmen des Blogs werden wir Sie über die weitere Entwicklung in dieser Angelegenheit auf dem Laufenden halten.