BAG Urteil v. - 2 AZR 225/20 (A)

Datenschutzbeauftragter - Kündigungsschutz - Unionsrecht

Leitsatz

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Gesetze: Art 16 AEUV, Art 114 Abs 1 AEUV, Art 114 Abs 2 AEUV, Art 153 AEUV, Art 267 AEUV, Art 288 Abs 2 AEUV, Art 37 Abs 1 EUV 2016/679, Art 37 Abs 4 EUV 2016/679, Art 38 Abs 3 S 2 EUV 2016/679, Art 88 Abs 1 EUV 2016/679, Art 99 Abs 2 EUV 2016/679, Art 5 EUVtr Liss, § 6 Abs 4 S 2 BDSG 2018, § 38 BDSG 2018, § 626 BGB, § 1 Abs 1 KSchG

Instanzenzug: Az: 3 Ca 4080/18 Urteilvorgehend Landesarbeitsgericht Nürnberg Az: 2 Sa 274/19 Urteilnachgehend Az: C-534/20 Urteilnachgehend Az: 2 AZR 225/20 Urteil

Gründe

2Die Parteien streiten zuletzt noch über die Wirksamkeit einer ordentlichen Kündigung des zwischen ihnen bestehenden Arbeitsverhältnisses.

3Die Klägerin arbeitete seit bei der Beklagten zu 1. (im Folgenden Beklagte) als „Teamleiter Recht“. Mit Schreiben von diesem Tag benannte die Beklagte die Klägerin mit Wirkung vom außerdem zur betrieblichen Datenschutzbeauftragten. Die Beklagte, ein privatrechtlich organisiertes Unternehmen, beschäftigt mindestens 50 Arbeitnehmer und war sowohl nach dem Bundesdatenschutzgesetz (BDSG) in der vom bis geltenden Fassung (aF) als auch nach § 38 Abs. 1 Satz 1 BDSG in der vom bis geltenden Fassung zur Benennung eines Datenschutzbeauftragten verpflichtet.

4Die Beklagte kündigte das Arbeitsverhältnis mit Schreiben vom ordentlich zum . Zur Wirksamkeit der Kündigung berief sie sich auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Klägerin geführt habe. Die Klägerin hat mit ihrer Klage rechtzeitig die Unwirksamkeit der Kündigung geltend gemacht. Die Vorinstanzen haben der Klage stattgegeben. Die ordentliche Kündigung erweise sich schon deshalb als unwirksam, da der Klägerin als Datenschutzbeauftragter nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne. Darüber hinaus stelle die von der Beklagten beschriebene Umstrukturierungsmaßnahme auch keinen wichtigen Grund für eine außerordentliche Kündigung dar. Dagegen hat sich die Beklagte mit ihrer Revision gewandt.

6I. Bundesdatenschutzgesetz in der vom bis geltenden Fassung (BGBl. 2017 I S. 2097):

7In § 38 Abs. 1 Satz 1 BDSG in der seit geltenden Fassung ist die Beschäftigtenzahl von „zehn“ auf „20“ erhöht worden.

8II. Bürgerliches Gesetzbuch (BGB) in der Fassung der Bekanntmachung vom (BGBl. I S. 42, berichtigt S. 2909 und BGBl. 2003 I S. 738):

9III. Kündigungsschutzgesetz (KSchG) in der Fassung der Bekanntmachung vom (BGBl. I S. 1317), zuletzt geändert durch Art. 4 des Gesetzes vom (BGBl. I S. 2509):

11Verordnung (EU) 2016/679 vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom S. 1):

141. Nach nationalem Recht wäre die Kündigung vom nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG und § 134 BGB nichtig und die Revision der Beklagten unbegründet. Das Arbeitsverhältnis eines Arbeitnehmers, der zugleich verpflichtend benannter Datenschutzbeauftragter ist, kann nur außerordentlich aus wichtigem Grund nach § 626 BGB wirksam gekündigt werden. Die Beklagte hat aber nur eine ordentliche Kündigung ausgesprochen.

152. Die Anwendbarkeit von § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG hängt nach dem Verständnis des Senats davon ab, ob nach Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig ist, durch die eine Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist. Hierüber kann der Senat nicht ohne Anrufung des Gerichtshofs nach Art. 267 AEUV befinden. Müssten dagegen § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG wegen des Anwendungsvorrangs von Unionsrecht (insbesondere Art. 38 Abs. 3 Satz 2 DSGVO) unangewendet bleiben, wäre die Revision der Beklagten erfolgreich. Mit der vom Landesarbeitsgericht gegebenen Begründung durfte es die Kündigung nicht als nichtig ansehen.

171. Der Senat kann nicht eindeutig beurteilen, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die die Möglichkeit der Kündigung des Arbeitsverhältnisses eines betrieblichen Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.

182. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen (in der englischen Sprachfassung „dismissed“, was nach dem Verständnis des Senats als Verbot einer Kündigung verstanden werden kann) oder benachteiligt werden. Demgegenüber sieht § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG vor, dass ein verpflichtend benannter Datenschutzbeauftragter nur aus wichtigem Grund (vgl. § 626 BGB) abberufen und sein Arbeitsverhältnis ebenfalls nur aus wichtigem Grund gekündigt werden kann, auch wenn die Abberufung oder Kündigung - wie vorliegend - nicht mit der Erfüllung seiner Aufgaben in einem Zusammenhang stehen. Das nationale Recht sieht - wenn der verpflichtend zu benennende Datenschutzbeauftragte für den Verantwortlichen oder Auftragsverarbeiter zugleich als Arbeitnehmer beschäftigt wird - neben dem Schutz vor einer Abberufung zusätzlich einen Kündigungsschutz für das Arbeitsverhältnis vor. Dieser besteht ein Jahr über den Zeitpunkt einer etwaigen Abberufung hinaus fort und ist unabhängig davon, ob die Benennung eines Datenschutzbeauftragten auch nach Art. 37 Abs. 1 DSGVO verpflichtend ist und der Arbeitnehmer den allgemeinen Kündigungsschutz nach nationalem Recht (§ 1 Abs. 1 KSchG) erworben hat. Der Senat weist ergänzend darauf hin, dass nach nationalem Recht ein wichtiger Grund für die Abberufung nicht darin liegt, dass aufgrund einer organisatorischen Änderung der betriebliche Datenschutz zukünftig durch einen externen Datenschutzbeauftragten gewährleistet werden soll (vgl.  - Rn. 18).

193. Die DSGVO ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Rechtsprechung des Gerichtshofs bewirken gemäß dem Grundsatz des Vorrangs des Unionsrechts die Bestimmungen des AEU-Vertrags und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird ( - Rn. 52; - C-606/10 - Rn. 73). Die DSGVO will - wie schon die durch sie aufgehobene RL 95/46/EG vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom S. 31) - durch Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen (vgl. Erwägungsgründe 9 ff. DSGVO;  ua.- Rn. 39). Wegen der von der RL 95/46/EG bewirkten Vollharmonisierung konnten nach der Rechtsprechung des Gerichtshofs auch verschärfende nationale Regelungen unzulässig sein ( und C-469/10 - Rn. 29 ff.).

204. Die unionsrechtliche Rechtslage wird im nationalen Schrifttum unterschiedlich beurteilt.

21a) Überwiegend wird die Auffassung vertreten, bei dem Sonderkündigungsschutz in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 und Satz 3 BDSG handele es sich um materiell-arbeitsrechtliche Regelungen, für die gemäß Art. 153 AEUV keine Gesetzgebungskompetenz der Union bestehe, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Außerdem könne sich der nationale Gesetzgeber bei einer Lückenfüllung auf die arbeitsrechtliche Öffnungsklausel des Art. 88 DSGVO stützen (vgl. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. § 6 BDSG Rn. 6; EuArbRK/Franzen 3. Aufl. VO 2016/679/EU Art. 38 Rn. 1). Nach den Materialien zur Neufassung des BDSG ist auch der deutsche Gesetzgeber offenbar davon ausgegangen, dass es sich bei § 6 Abs. 4 BDSG um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO entsprechend der bis zum geltenden nationalen Rechtslage beibehalten werden könne (vgl. BT-Drs. 18/11325 S. 82).

22b) Die Gegenansicht nimmt an, die Verknüpfung des arbeitsrechtlichen Kündigungsschutzes mit der Stellung des Datenschutzbeauftragten sei im Bereich der nichtöffentlichen Stellen unionsrechtswidrig, jedenfalls soweit es sich um nach Art. 37 Abs. 1 DSGVO verpflichtend zu benennende Datenschutzbeauftragte handele. Es werde ein wirtschaftlicher Druck aufgebaut, an einem einmal benannten Datenschutzbeauftragten dauerhaft festzuhalten (vgl. Kühling/Sackmann in Kühling/Buchner DS-GVO/BDSG 2. Aufl. § 38 BDSG Rn. 20; von dem Bussche in Plath DSGVO/BDSG 3. Aufl. § 6 BDSG Rn. 2, 20). Ebenso wird in Frage gestellt, ob der Sonderkündigungsschutz für den internen Datenschutzbeauftragten überhaupt in den Anwendungsbereich von Art. 88 Abs. 1 DSGVO fällt.

241. Für den Fall, dass die erste Vorlagefrage bejaht wird, möchte der Senat wissen, ob das Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, dem weitergehenden nationalen Kündigungsschutz auch dann entgegensteht, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats.

252. Das Unionsrecht könnte dahingehend auszulegen sein, dass ein etwaiger Anwendungsvorrang des Art. 38 Abs. 3 Satz 2 DSGVO lediglich für nach Unionsrecht verpflichtend benannte Datenschutzbeauftragte besteht, da die Regelung nur insoweit als abschließend zu betrachten sein könnte. Die Voraussetzungen, unter denen ein Datenschutzbeauftragter verpflichtend zu benennen ist, sind in Art. 37 Abs. 1 DSGVO und in § 38 Abs. 1 BDSG unterschiedlich geregelt und decken sich nicht. Die Vorinstanz hat im Ausgangsverfahren bislang nur festgestellt, dass die Klägerin nach § 38 Abs. 1 BDSG verpflichtend als Datenschutzbeauftragte benannt wurde. Ob eine solche Verpflichtung auch nach Art. 37 Abs. 1 DSGVO bestand, bedürfte gegebenenfalls weiterer Feststellungen.

263. Außerdem bedarf es einer Klärung, wie in diesem Zusammenhang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu verstehen ist. Der Wortlaut der Norm ließe jedenfalls die Auslegung zu, dass ein nach dem Recht eines Mitgliedstaats verpflichtend benannter Datenschutzbeauftragter damit auch iSd. DSGVO verpflichtend benannt ist. Nach der unionsrechtlichen Regelung „müssen“ (englische Sprachfassung: „shall“) die Verantwortlichen einen Datenschutzbeauftragten benennen, falls ihnen dies nach dem Recht des Mitgliedstaats vorgeschrieben ist. Sollte Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO so auszulegen sein, wäre - sofern die erste Vorlagefrage bejaht wird - ein nach nationalem Recht bestehender Kündigungsschutz unzulässig, selbst wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

281. Für den Fall der Bejahung der ersten Vorlagefrage möchte der Senat wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruht, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen, oder ob seiner Wirksamkeit mangels einer solchen Ermächtigungsgrundlage Hinderungsgründe entgegenstehen.

292. Für die Europäische Union gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grundsatz der begrenzten Einzelermächtigung. Er wird konkretisiert durch Art. 2 ff. AEUV. Die Union wird danach nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben.

30a) Der Erlass der DSGVO wird insbesondere auf Art. 16 AEUV gestützt (vgl. Eingangsformel und Erwägungsgrund 12 DSGVO). Unionsrechtliche Regelungen über die Datenverarbeitung durch Privatpersonen könnten nach dem Verständnis des Senats lediglich auf der Basis des Terminus „freier Datenverkehr“ in Art. 16 Abs. 2 Satz 1 letzter Halbsatz AEUV ergehen. Allerdings wird der Wortlaut von Art. 16 Abs. 2 Satz 1 AEUV im nationalen Schrifttum teilweise so verstanden, dass sich die vertraglich eingeräumte Rechtssetzungsbefugnis der Union lediglich auf den Datenschutz bei der Datenverarbeitung der Unionsorgane, die Datenverarbeitung der öffentlichen Stellen bei der Umsetzung des Unionsrechts und auf die grenzüberschreitende Datenverarbeitung beschränkt (vgl. Giesen CR 2012, 550, 554). Die bisherige Rechtsprechung des Gerichtshofs zur RL 95/46/EG und Art. 100a EGV ist nicht von einem so engen Verständnis ausgegangen (vgl. ua. - Rn. 39 ff.).

31b) Andererseits könnte die Ermächtigungsgrundlage zur Rechtsangleichung im Binnenmarkt gemäß Art. 114 Abs. 1 AEUV maßgeblich sein (zu RL 95/46/EG und Art. 100a EGV  ua. - Rn. 39 ff.). Einem Rückgriff auf Art. 114 Abs. 1 AEUV als Kompetenzgrundlage könnte aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO Art. 114 Abs. 2 AEUV entgegenstehen, wonach Absatz 1 ua. nicht für Bestimmungen über die Rechte und Interessen der Arbeitnehmer gilt. Dies wäre dann kein Hindernis, wenn die DSGVO keine spezifische Zielrichtung in Bezug auf Arbeitnehmerrechte enthielte, sondern nur die Regelung einer Querschnittsmaterie mit bloßen Reflexen auch auf die Rechtsstellung von Beschäftigten (vgl. EuArbRK/Franzen 3. Aufl. AEUV Art. 16 Rn. 3).

323. Wenngleich der Senat die im nationalen Schrifttum geäußerten und nachfolgend dargestellten Bedenken in Bezug auf die Gültigkeit der DSGVO nicht teilt, bittet er den Gerichtshof, zur Klärung der unionsrechtlichen Rechtslage und aus Gründen der Rechtsklarheit auf diese einzugehen.

33a) Teilweise wird vom Schrifttum ein Verstoß gegen das unionsrechtliche Subsidiaritätsprinzip (Art. 5 Abs. 3 Unterabs. 1 EUV) angenommen (ausführliche Darstellung bei Morasch Datenverarbeitung im Beschäftigungskontext S. 38 ff.). In Übereinstimmung mit dieser Sichtweise hat der Deutsche Bundesrat mit Beschluss vom (BR-Drs. 52/12 (Beschluss)) eine Subsidiaritätsrüge nach Art. 12 Buchst. b EUV iVm. Art. 6 des Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vom (ABl. C 306 vom S. 150) gegen den ursprünglichen Vorschlag der DSGVO erhoben.

34b) Schließlich wird die DSGVO vereinzelt im nationalen Schrifttum wegen eines Verstoßes gegen das Verhältnismäßigkeitsprinzip des Art. 5 Abs. 4 Unterabs. 1 EUV für unwirksam gehalten (vgl. Giesen NVwZ 2019, 1711, 1712).

35E. Das Revisionsverfahren ist in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs über das Vorabentscheidungsersuchen auszusetzen.

ECLI Nummer:
ECLI:DE:BAG:2020:300720.B.2AZR225.20A.0

Fundstelle(n):
BB 2020 S. 2483 Nr. 44
BB 2020 S. 2877 Nr. 50
DStR 2020 S. 14 Nr. 50
RIW 2021 S. 685 Nr. 10
ZIP 2020 S. 2299 Nr. 46
GAAAH-61026