Seite drucken
Entscheidung als PDF runterladen
Ein Unternehmen, das im Rahmen einer Unternehmensgruppe die Entgeltabrechnung und Personalverwaltung für etwa 80 Arbeitnehmer vornimmt, ist nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.
1. Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Bocholt vom 11.02.2022 – 2 Ca 982/21 – wird kostenpflichtig zurückgewiesen.
2. Die Revision wird für den Kläger zugelassen.
T a t b e s t a n d
2Die Parteien streiten in der Berufungsinstanz noch darüber, ob das zwischen ihnen bestehende Arbeitsverhältnis durch eine Kündigung aufgelöst wurde, die die Beklagte aussprach, nachdem der Kläger etwa 1 ½ Monate für sie tätig war. Der Kläger beruft sich auf einen Sonderkündigungsschutz als Datenschutzbeauftragter.
3Bei der Beklagten handelt es sich um eine Holding-Gesellschaft innerhalb einer Unternehmensgruppe, zu der neben der Beklagten auch die A GmbH & Co. KG sowie die B GmbH & Co. KG gehören. Sämtliche Gesellschaften der Unternehmensgruppe unterstehen dem gleichen Gesellschafter und werden vom Geschäftsführer der Beklagten geleitet. Ausweislich des Handelsregisterauszuges besteht der Gegenstand des Unternehmens der Beklagten in der Beteiligung an und der Verwaltung von anderen Gesellschaften. Die beiden anderen Gesellschaften der Unternehmensgruppe sind mit der Konstruktion, der Vermietung und dem Vertrieb von Dampfkesselanlagen befasst. Die Beklagte ist Eigentümerin von Vermögensgegenständen, die die beiden operativ tätigen Gesellschaften nutzen. Neben der Verwaltung des Anlagevermögens bestehen die Aufgaben der Beklagten in der Personalverwaltung und der Entgeltabrechnung. Die Beklagte erstellt die Entgeltabrechnungen für sämtliche Mitarbeiter der Unternehmensgruppe. Der Internetauftritt der Beklagten umfasst auch eine Datenschutzerklärung, die die A GmbH & Co. KG als Verantwortlichen für die Datenverarbeitungen ausweist.
4Die Parteien schlossen am 11.01.2021 einen Arbeitsvertrag, der vorsieht, dass der Kläger ab dem 01.08.2021 für die Beklagte als kaufmännischer Leiter beschäftigt wird. Infolge eines Schreibfehlers trägt der Arbeitsvertrag das Datum des 11.01.2020. Nachdem der Kläger seine Tätigkeit aufgenommen hatte, wurde er mit drei gleichlautenden Schreiben zum Datenschutzbeauftragten aller drei Gesellschaften der C-Unternehmensgruppe bestellt. Mit Schreiben vom 01.09.2021, das dem Kläger am gleichen Tag zuging, kündigte die Beklagte das Arbeitsverhältnis zum 30.09.2021. Mit drei gleichlautenden Schreiben vom 01.09.2021 wurde die Bestellung des Klägers zum Datenschutzbeauftragten widerrufen; diese Schreiben gingen dem Kläger am 07.09.2021 zu.
5Der Kläger hat mit einem Schriftsatz, der am 14.09.2021 bei dem Arbeitsgericht eingegangen und dem Prozessbevollmächtigten der Beklagten am 20.09.2021 zugestellt worden ist, Kündigungsschutzklage erhoben; er hat zudem die Erteilung eines Zeugnisses begehrt.
6Der Kläger hat die Auffassung vertreten, die Kündigung sei unwirksam. Er hat in Abrede gestellt, dass Kündigungsgründe vorliegen und die Ansicht vertreten, er könne sich auf den Sonderkündigungsschutz des Datenschutzbeauftragten nach §§ 38, 6 Abs. 4 BDSG berufen. Die Beklagte sei verpflichtet gewesen, einen Datenschutzbeauftragten zu benennen, da sich ihre Kerntätigkeit auf die Verarbeitung kritischer Daten in erheblichem Umfang beziehe. Hierzu hat der Kläger behauptet, die Lohnabrechnung, die die Beklagte aufgrund eines Geschäftsbesorgungsvertrages mit den beiden anderen Gesellschaften der Unternehmensgruppe auch für deren Arbeitnehmer vornehme, stelle ihre Kerntätigkeit dar. Die Beklagte habe auch die Personalverwaltung der Arbeitnehmer übernommen, die bei den anderen beiden Gesellschaften beschäftigt seien. Die Personalverwaltung beziehe sich auf mehr als 100 Mitarbeiter. Aufgrund des Umfanges der insoweit zu erbringenden Tätigkeiten beschäftige die Beklagte einen Personalleiter sowie eine Vielzahl weiterer Arbeitnehmer in der Personalabteilung. Im Rahmen der Personalverwaltung verarbeite die Beklagte personenbezogene Daten wie Namen, Anschrift, Geburtsdatum sowie die Religionszugehörigkeit und Gesundheitsdaten im Hinblick auf Arbeitsunfähigkeitsbescheinigungen oder Schwerbehinderteneigenschaft. Die Beklagte nehme auch Aufgaben im Vertrieb und im kaufmännischen Bereich wahr, die sich auf Kerntätigkeiten der Datenermittlung und Datenspeicherung bezögen. Sämtliche Mitarbeiter des Vertriebes der Beklagten seien mit elektronischen Speichermedien (Laptops, Tablets) ausgestattet und verpflichtet, Namen, Anschriften und Telefonnummern der Kunden und der zuständigen Sachbearbeiter von (potentiellen) Kunden zu erfassen. Darüber hinaus speicherten die Vertriebsmitarbeiter auch Daten zur Bonität, zu Umsätzen und zu „persönlichen Verknüpfungen“ sowie Geburtsdaten einzelner Kunden bzw. deren Vertretern. Der Kläger hat die Auffassung vertreten, wenn die fehlende Pflicht zur Benennung eines Datenschutzbeauftragten nicht offensichtlich sei, müsse der Verantwortliche intern dokumentieren, warum keine Benennungspflicht bestehe.
7Der Kläger hat beantragt,
81. festzustellen, dass das Arbeitsverhältnis der Parteien durch die Kündigung der Beklagten vom 01.09.2021 nicht aufgelöst worden ist;
2. die Beklagte zu verurteilen, dem Kläger ein qualifiziertes Zwischenzeugnis zu erteilen, hilfsweise dem Kläger ein qualifiziertes Zeugnis zu erteilen.
Die Beklagte hat beantragt,
13die Klage abzuweisen.
14Die Beklagte hat die Auffassung vertreten, das Arbeitsverhältnis sei durch die wirksame Kündigung vom 01.09.2021 beendet worden. Dem Kläger stehe kein Sonderkündigungsschutz als Datenschutzbeauftragter zu, da die Beklagte nicht verpflichtet gewesen sei, einen Datenschutzbeauftragten zu benennen. Die Beklagte hat behauptet, die „Bearbeitung von Löhnen und Gehältern“ stelle nur einen geringen Teil (2 – 5 %) der Gesamttätigkeit aller Mitarbeiter der Beklagten dar. Die Arbeitnehmer der Beklagten seien mit „kaufmännischen und vertrieblichen Angelegenheiten“ befasst gewesen. Bei den Kunden der Beklagten handele es sich ausschließlich um juristische Personen. Die Beklagte seien beschäftige nicht regelmäßig 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten. Im Rahmen der zentralen Personalverwaltung, die die Beklagte für die Gesellschaften der C-Unternehmensgruppe vornehme, finde keine umfangreiche und systematische Überwachung der betroffenen Personen statt, insbesondere werde deren Verhalten nicht beobachtet. Die Beklagte hat die Auffassung vertreten, die Datenübermittlung innerhalb einer Unternehmensgruppe zum Zwecke der Lohnabrechnung sei keine Tätigkeit, die die verpflichtende Benennung eines Datenschutzbeauftragten zur Folge habe. Zur Rechtfertigung der Kündigung hat die Beklagte vorgetragen, es habe sich um eine ordentliche Kündigung innerhalb der Probezeit gehandelt. Es habe ein Grund für den Ausspruch einer fristlosen Kündigung vorgelegen, da der Kläger während der Arbeit mehrfach geistig abwesend gewesen und eingeschlafen sei.
15Das Arbeitsgericht hat die Beklagte verurteilt, dem Kläger ein qualifiziertes Zeugnis zu erteilen, und die Klage im Übrigen abgewiesen. Zur Begründung hat das Arbeitsgericht im Wesentlichen ausgeführt, dem Kläger stehe kein Sonderkündigungsschutz als Datenschutzbeauftragter zu, da die Beklagte zur Bestellung eines Datenschutzbeauftragten nicht verpflichtet gewesen sei.
16Das Urteil des ersten Rechtszuges ist dem Kläger am 25.02.2022 zugestellt worden. Er hat mit einem Schriftsatz, der am 04.03.2022 bei dem Landesarbeitsgericht eingegangen ist, Berufung eingelegt. Der Kläger hat die Berufung mit einem am 25.05.2022 eingegangen Schriftsatz begründet, nachdem zuvor die Berufungsbegründungsfrist durch gerichtlichen Beschluss bis zum 25.05.2022 verlängert worden war.
17Der Kläger meint nach wie vor, die Beklagte sei verpflichtet gewesen, einen Datenschutzbeauftragten zu bestellen. Der Kläger behauptet, die Beklagte beschäftige etwa 25 Arbeitnehmer, davon über 10 Arbeitnehmer vollzeitig in der Personalabteilung. Er vertritt die Ansicht, die Beklagte sei als Verantwortlicher und Auftragsverarbeiter anzusehen, da sie sowohl die Daten der eigenen Arbeitnehmer als auch der Arbeitnehmer verarbeite, die bei den anderen Unternehmen der C-Unternehmensgruppe tätig seien. Für die betroffenen Personen bestehe ein hohes Risiko, da die Verarbeitung sich auf besondere Kategorien personenbezogener Daten beziehe. Die Beklagte speichere und verarbeite monatlich Daten in großem Umfang. Dies sei einer von mehreren Hauptzwecken des Unternehmens der Beklagten. Auch eine Überwachung sei gegeben, da die Beklagte die gespeicherten Daten überprüfen müsse, um etwa feststellen zu können, ob ein betriebliches Eingliederungsmanagement erforderlich sei. Der Kläger behauptet, neben den gewerblichen Kunden der Beklagten seien auch „sämtliche Bewerber und sämtliche Privatinteressenten“ von der Datenverarbeitung betroffen
18Der Kläger beantragt,
19das Urteil des Arbeitsgerichts Bocholt vom 11.02.2022, Az. 2 Ca 982/21, teilweise abzuändern und festzustellen, dass das Arbeitsverhältnis der Parteien durch die Kündigung der Beklagten vom 01.09.2021 nicht aufgelöst worden ist.
20Die Beklagte beantragt,
21die Berufung zurückzuweisen.
22Die Beklagte hält das Vorbringen des Klägers in der Berufungsinstanz hinsichtlich der Zahl der beschäftigten Arbeitnehmer für unsubstantiiert und verspätet. Die Beklagte behauptet, neben dem Kläger seien die Arbeitnehmer D. und E. beschäftigt gewesen. Außerdem seien noch zwei Vertriebsmitarbeiter sowie ein weiterer Arbeitnehmer, der mit Digitalisierungsaufgaben befasst gewesen sei, für die Beklagte tätig gewesen. Die B GmbH & Co. KG beschäftige 10 Arbeitnehmer; in der A GmbH & Co. KG seien etwa 70 Arbeitnehmer beschäftigt. Ein besonders hohes Risiko für einen Datenmissbrauch in der Personalverwaltung der Beklagten sei nicht gegeben. Die Beklagte behandele Bewerberdaten nicht anders als die Daten von Mitarbeitern. Geschäfts- und Vertragspartner der Beklagten und Interessenten für ihre Leistungen seien ausschließlich gewerbliche Kunden, Privatverkäufe fänden nicht statt.
23Zur näheren Darstellung des Sach- und Streitstandes wird ergänzend auf das arbeitsgerichtliche Urteil sowie den weiteren Inhalt der Gerichtsakten Bezug genommen.
24E n t s c h e i d u n g s g r ü n d e
25I. Die Berufung ist zulässig.
26Der Kläger hat die Berufung insbesondere form- und fristgerecht gemäß § 66 Abs. 1 ArbGG eingelegt und begründet.
27II. Die Berufung hat in der Sache keinen Erfolg.
28Es besteht keine Veranlassung, das sorgfältig und überzeugend begründete Urteil des Arbeitsgerichts abzuändern. Das Arbeitsgericht hat die Kündigungsschutzklage des Klägers zu Recht abgewiesen. Das Arbeitsverhältnis zwischen den Parteien endete aufgrund der Kündigung, die die Beklagte mit dem Schreiben vom 01.09.2021 aussprach, zum 30.09.2021. Die Kündigung ist rechtswirksam.
291. Die Kündigung ist nicht unwirksam gemäß § 134 BGB i.V.m. § 6 Abs. 4 S. 2 BDSG.
30§ 6 Abs. 4 S. 2 BDSG bestimmt, dass die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Die Vorschrift gilt jedoch nach ihrem Wortlaut und nach der Gesetzessystematik nur für öffentliche Stellen. Auf nicht öffentliche Stellen ist § 6 Abs. 4 S. 2 BDSG nur anwendbar, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (§ 38 Abs. 2 BDSG). Im Streitfall war die Beklagte indes nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Es bedarf daher keiner Entscheidung darüber, ob der Sonderkündigungsschutz dem Datenschutzbeauftragten bereits während der Wartezeit nach § 1 Abs. 1 KSchG oder während einer vertraglich vereinbarten Probezeit zusteht (wofür freilich Wortlaut und Sinn des gesetzlichen Sonderkündigungsschutzes sprechen, vgl. BAG, Urteil vom 25.08.2022 – 2 AZR 225/20; Greiner/Senk, NZA 2020, 201, 209; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: Juli 2022, Art. 37 DSGVO Rdnr. 113; Wahlers, jurisPR-ITR 12/2014, Anm. 5).
31a) Maßgeblich ist, ob die Beklagte verpflichtet war, einen Datenschutzbeauftragten zu benennen.
32Es kommt nicht darauf an, ob die beiden anderen Gesellschaften der Unternehmensgruppe, für die der Kläger ebenfalls als Datenschutzbeauftragter bestellt war, die Verpflichtung traf, einen Datenschutzbeauftragten zu bestellen. Denn der Sonderkündigungsschutz des Datenschutzbeauftragten nach § 6 Abs. 4 S. 2 KSchG bezieht sich auf das jeweilige Arbeitsverhältnis; der Sonderkündigungsschutz besteht ausschließlich für interne Datenschutzbeauftragte (Bergt/Schnebbe, in: Kühling/Buchner, 3. Aufl. 2020, § 6 BDSG Rdnr. 13; Greiner/Senk, NZA 2020, 201, 208).
33b) Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten folgt für die Beklagte nicht aus Art. 37 DSGVO.
34aa) Die Beklagte war nicht nach Art. 37 Abs. 1 Buchst. a DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen.
35Diese Vorschrift setzt voraus, dass die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Bei der Beklagten handelt es sich aber weder um eine Behörde noch um eine öffentliche Stelle.
36bb) Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich für die Beklagte nicht aus Art. 37 Abs. 1 Buchst. b DSGVO.
37Die Beklagte führt keine Datenverarbeitungsvorgänge durch, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Überwachung von betroffenen Personen besteht in der Kontrolle ihres Verhaltens und nicht, wie der Kläger meint, in der Kontrolle von Daten. Das ergibt sich aus Erwägungsgrund 24 der DSGVO und aus der systematischen Zusammenschau mit Art. 3 Abs. 2 Buchst. b DSGVO. Die Überwachung von Menschen setzt ihre Beobachtung voraus (Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 18, 23; Heberlein, in: Ehmann/Selmayr, 2. Aufl. 2018, Art. 37 DSGVO Rdnr. 23; Moos, in: Beck OK Datenschutzrecht, Stand: 01.11.2019, Art. 37 DSGVO Rdnr. 28). Dem Vorbringen der Parteien lässt sich nicht entnehmen, dass die Beklagte Personen regelmäßig und systematisch beobachtet.
38cc) Auch aus Art. 37 Abs. 1 Buchst. c DSGVO folgt für die Beklagte nicht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, denn die Kerntätigkeit der Beklagten besteht nicht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO.
39(1) Zwar ist davon auszugehen, dass die Beklagte (auch) besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet.
40Die Beklagte ist mit der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung für die gesamte C-Unternehmensgruppe befasst. Aus den Entgeltabrechnungen ergibt sich in der Regel die Konfessionszugehörigkeit des Arbeitnehmers. Die Mitgliedschaft in einer Religionsgesellschaft stellt ein Datum im Sinne des Art. 9 Abs. 1 DSGVO dar (Weichert, in: Kühling/Buchner, Art. 9 DSGVO Rdnr. 28). Die Beklagte verarbeitet auch Gesundheitsdaten. Sie erhält Kenntnis von Arbeitsunfähigkeitsbescheinigungen der Arbeitnehmer. Bei der Krankschreibung handelt es sich um ein Gesundheitsdatum (Weichert, a.a.O. Rdnr. 39). Die Beklagte hat die daraus hervorgehenden Daten im Rahmen der Berechnung der Entgeltfortzahlung und der Verpflichtung, gemäß § 167 Abs. 2 SGB IX ein betriebliches Eingliederungsmanagement durchzuführen, zu berücksichtigen. Der Kläger hat dies unwidersprochen vorgetragen.
41(2) Die Verarbeitung dieser Daten ist aber nicht „umfangreich“.
42Aus Erwägungsgrund 91 S. 1 der Datenschutzgrundverordnung ergibt sich, dass umfangreiche Datenverarbeitungsvorgänge, die ein hohes Risiko für die betroffenen Personen mit sich bringen, solche sind, bei denen große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten sind. Eine solche Datenverarbeitung führt die Beklagte nicht durch. Wenngleich sich Erwägungsgrund 91 primär auf Art. 35 DSGVO bezieht, ist er zur Vermeidung von Wertungswidersprüchen auch im Rahmen des Art. 37 DSGVO zu berücksichtigen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 34). Auch Art. 37 DSGVO verfolgt einen risikobasierten Ansatz (Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 31).
43Geht man davon aus, dass eine umfangreiche Verarbeitung vorliegt, wenn Daten über eine große Zahl von betroffenen und/oder beträchtliche Datenmengen über einen längeren Zeitraum gesammelt werden (so Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11 m.w.N.) oder wenn die Verarbeitung das übliche Maß bei weitem übersteigt (so Paal, in: Paal/Pauly, 3. Aufl. 2021, Art. 37 DSGVO Rdnr. 9), so ist im Streitfall festzustellen, dass sich die Datenverarbeitung der Beklagten im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung lediglich auf eine Zahl von Arbeitnehmern erstreckt, die für ein kleineres mittelständisches Unternehmen typisch ist. Der Geschäftsführer der Beklagten hat nämlich im Termin zur mündlichen Verhandlung vor der erkennenden Kammer angegeben, in der Unternehmensgruppe seien insgesamt 76 Arbeitnehmer tätig. Dem ist der Kläger nicht entgegengetreten. Die Personaldatenverwaltung für eine solche Arbeitnehmerzahl ist jedoch nicht unüblich. Insoweit ist auch zu bedenken, dass eine Begrenzung der Datenverarbeitung dadurch eintreten kann, dass viele sensible Daten über wenige Betroffene oder aber wenige sensible Daten über eine große Anzahl Betroffener verarbeitet werden (Marschall/Müller, ZD 2016, 415, 417). Im Rahmen der Personaldatenverarbeitung sind nur wenige Daten im Sinne des Art. 9 Abs. 1 DSGVO betroffen. Der Umfang der Datenverarbeitung im Hinblick auf diese Daten bleibt im Streitfall jedenfalls deutlich zurück hinter den Beispielen, die üblicherweise im Zusammenhang mit einer umfangreichen Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO genannt werden, etwa die Datenverarbeitung in Altersheimen, Krankenhäusern, Arztpraxen, Auskunfteien und Krankenversicherungen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 33).
44Verfehlt ist es demgegenüber, von einer „umfangreichen“ Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO bereits dann auszugehen, wenn der Arbeitgeber eine eigene Personalabteilung unterhält (so Bergt, in: Kühling/Buchner, Art. 37 DSGVO, Rdnr. 21). Diese Auffassung steht nicht im Einklang mit dem aus Erwägungsgrund 91 hervorgehenden restriktiven Verständnis und dehnt die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Hinblick auf die Personaldatenverarbeitung unangemessen in den Bereich kleinerer mittelständischer Unternehmen aus. Die Auffassung ist auch mit erheblichen Unsicherheiten behaftet und lädt zu Umgehungsstrategien ein. So ist es etwa zweifelhaft, ob eine „Personalabteilung“ bereits dann existiert, wenn ein einziger Mitarbeiter mit der Personalverwaltung und –abrechnung befasst ist und ob es einen Unterschied macht, wenn dieser Mitarbeiter teilzeitbeschäftigt ist und/oder auch noch anderen Arbeitsaufgaben wahrnimmt.
45(3) Die Verarbeitung von Daten gemäß Art. 9 Abs. 1 DSGVO ist auch nicht als Kerntätigkeit der Beklagten anzusehen.
46Aus Erwägungsgrund 97 der DSGVO ergibt sich, dass unter der „Kerntätigkeit“ die Haupttätigkeiten zu verstehen sind und nicht eine Verarbeitung personenbezogener Daten als Nebentätigkeit. Es muss sich um eine Tätigkeit handeln, die prägend für das Unternehmen ist (Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11). Der Anwendungsbereich der Vorschrift ist demgemäß gering (Greiner/Senk, NZA 2020, 201, 204 m.w.N.). Die Verarbeitung von Daten über eigene Mitarbeiter hat im Rahmen von Art. 37 DSGVO regelmäßig außer Betracht zu bleiben, weil es sich typischerweise nicht um die Haupttätigkeit des Unternehmens, sondern um einen bloßen Unterstützungsprozess handelt (Heberlein, in: Ehmann/Selmayr, Art. 37 DSGVO Rdnr. 26; Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 18; Auer-Reinsdorff/Conrad, IT-Recht-Handbuch, § 34 Rdnr. 365; Paal, in: Paal/Pauly, Art. 37 DSGVO Rdnr. 8a).
47Im Streitfall besteht die Besonderheit, dass die Beklagte nicht nur Personaldatenverarbeitung für die bei ihr beschäftigten Mitarbeiter betreibt, sondern auch für zwei weitere Unternehmen. Das rechtfertigt es jedoch nicht, die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO derjenigen Arbeitnehmer, die in den beiden anderen Unternehmen tätig sind, als Kerntätigkeit der Beklagten anzusehen. Denn es lässt sich nicht feststellen, dass die Verarbeitung jener Daten für die Geschäftstätigkeit der Beklagten prägend ist. Selbst nach der unsubstantiierten Behauptung des Klägers stellen die Mitarbeiter in der „Personalverwaltung“ der Beklagten den geringeren Teil der Arbeitnehmerschaft dar. Die Kammer geht davon aus, dass die vom Kläger genannte Zahl überhöht ist und dass die Angaben des Geschäftsführers der Beklagten in der Berufungsverhandlung zutreffend sind, wonach die Beklagte insgesamt nur 6 Arbeitnehmer beschäftigt. Denn der Kläger ist diesen Angaben nicht entgegengetreten. Da die vom Geschäftsführer der Beklagten benannten zwei Vertriebsmitarbeiter und der weitere Arbeitnehmer, der mit Digitalisierungsaufgaben befasst ist, in anderen Bereichen tätig sind, bleiben für die Personaldatenverarbeitung nur 3 Arbeitnehmer (einschließlich des Klägers). Es ist nicht davon auszugehen, dass diese 3 Arbeitnehmer zum überwiegenden Teil ihrer Arbeitszeit mit der Personaldatenverarbeitung beschäftigt waren. Dazu ist die Zahl der insgesamt in der Unternehmensgruppe tätigen Arbeitnehmer zu gering. Die Beklagte hat in diesem Zusammenhang vorgebracht, die Erstellung von Lohnabrechnungen und die allgemeine Personalverwaltung seien nur mit 2 – 5 % der Gesamttätigkeit der Mitarbeiter zu veranschlagen. Der Kläger ist dem nicht entgegengetreten und auch keine anderen Zahlen genannt, obgleich ihm aus eigener Anschauung bekannt sein muss, welche Arbeitsaufgaben die beiden anderen kaufmännischen Mitarbeiter der Beklagten zu versehen haben. Der Kläger hat auch nicht in Abrede gestellt, dass die Beklagte als Holding-Gesellschaft auch noch andere Verwaltungsaufgaben wahrnimmt, die ich insbesondere auf die Vermögensgegenstände beziehen, die von den beiden anderen Unternehmen der C-Gruppe genutzt werden. Dass der Zeitaufwand für diese Verwaltungsaufgaben deutlich hinter dem Zeitaufwand für die Personaldatenverarbeitung zurückblieb, hat der Kläger nicht vorgetragen. Allein die Tatsache, dass überhaupt eine Personaldatenverarbeitung stattfindet, wie sie für ein mittelständisches Unternehmen typisch ist, rechtfertigt jedoch die Verpflichtung zur Benennung eines Datenschutzbeauftragten nicht (anderer Auffassung Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 21 für den Fall, dass eine Personalabteilung besteht). Insoweit wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.
48Inwiefern die Vertriebsmitarbeiter, die für die Beklagten arbeiten, besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeiten, ist nicht ersichtlich. Der Kläger hat hierzu keine konkreten Angaben gemacht. Er hat insbesondere nicht näher dargelegt, inwiefern es sich bei den Kundendaten, mit deren Verarbeitung die Vertriebsmitarbeiter befasst sind, um Daten natürlicher Personen oder um Daten juristischer Personen handelt. Nur soweit es sich um natürliche Personen handelt, liegen überhaupt personenbezogene Daten vor (Art. 4 Nr. 1 DSGVO). Namen, Anschriften und Geburtsdaten von Kunden sind jedenfalls keine sensiblen personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO. Dass die Vertriebsmitarbeiter andere Daten dieser Art verarbeiten, lässt sich dem Vorbringen der Parteien nicht entnehmen.
49c) Die Beklagte ist auch nach der Vorschrift des § 38 Abs. 1 BDSG nicht verpflichtet, einen Datenschutzbeauftragten zu benennen.
50aa) Die Pflicht zur Benennung eines Datenschutzbeauftragten folgt für die Beklagte nicht aus § 38 Abs. 1 S. 1 BDSG.
51Es lässt sich nämlich nicht feststellen, dass die Beklagte in der Regel mindestens 20 Personen beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Schon aus den Behauptungen des Klägers zur Arbeitnehmerzahl ergibt sich dies nicht; der Kläger bringt lediglich vor, in der „Personalabteilung“ der Beklagten seien mehr als 10 Arbeitnehmer tätig. Nach dem Vorbringen der Beklagten, dem der Kläger nicht konkret entgegengetreten ist, sind insgesamt nur 6 Arbeitnehmer bei ihr beschäftigt.
52bb) Die Verpflichtung zur Benennung eines Datenschutzbeauftragten lässt sich nicht aus § 38 Abs. 1 S. 2, 1. Variante BDSG herleiten, denn die Beklagte ist nicht gemäß Art. 35 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.
53(1) Die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung ergibt sich nicht aus Art. 35 Abs. 3 DSGVO.
54Die Beklagte nimmt weder eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Art. 35 Abs. 3 Buchst. a) DSGVO) noch eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 Buchst. c) DSGVO) vor. Die Voraussetzungen, die Art. 35 Abs. 3 Buchst. b) DSGVO für die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung aufstellt, liegen nicht vor. Die Beklagte führt keine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO durch.
55Insoweit kann offen bleiben, ob ein hohes Risiko im Sinne des Art. 35 Abs. 1 DSGVO für eine Verpflichtung zur Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 3 Buchst. b) DSGVO erforderlich ist (wofür allerdings Erwägungsgrund 91 und die Bezugnahme auf Abs. 1 in Art. 35 Abs. 3 DSGVO spricht). Es fehlt schon an Anhaltspunkten dafür, dass die Beklagte personenbezogene Daten im Sinne des Art. 10 DSGVO überhaupt verarbeitet. Dem Vorbringen der Parteien lassen sich hierfür keine Anhaltspunkte entnehmen. Im Hinblick auf personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO fehlt es jedenfalls an einer umfangreichen Verarbeitung. Die in Erwägungsgrund 91 angesprochene Datenverarbeitung auf regionaler, nationaler oder supernationaler Ebene liegt nicht vor. Im Übrigen wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.
56(2) Die Beklagte ist nicht gemäß Art. 35 Abs. 1 S. 1 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.
57Es ist nicht ersichtlich, dass die Datenverarbeitung, die die Beklagte durchführt, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Entgegen der Auffassung des Klägers führt die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO an sich noch nicht zu einem solchen hohen Risiko. Das ergibt sich aus Erwägungsgrund 91 und aus der Systematik des Art. 35 DSGVO. Art. 35 Abs. 3 Buchst. b) DSGVO verlangt für die Verpflichtung zur Datenschutz-Folgenabschätzung eine „umfangreiche“ Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO. Andere hohe Risiken für die Rechte und Freiheiten der Arbeitnehmer, die infolge der Datenverarbeitung eintreten könnten, sind nicht ersichtlich. Das Arbeitsgericht hat hierzu (auf S. 12 f. des erstinstanzlichen Urteils) ausgeführt, dass die Daten nur zum Zwecke der Durchführung der Arbeitsverhältnisse erhoben und verarbeitet werden, dass die Menge an Datensätzen nicht umfangreich ist und die Daten nur für einen überschaubaren Kreis von Berechtigten zur Verfügung stehen; diese Gesichtspunkte sprechen dagegen, dass ein hohes Risiko besteht. Die erkennende Kammer schließt sich dem an und macht sich die Ausführungen des Arbeitsgerichts zu Eigen (§ 69 Abs. 2 ArbGG). Auch im Hinblick auf die Verarbeitung von Kundendaten besteht, wie das Arbeitsgericht richtig erkannt hat, kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen; auf die Ausführungen des Arbeitsgerichts (S. 13 des erstinstanzlichen Urteils) wird Bezug genommen.
58(3) Schließlich muss die Beklagte auch nach Art. 35 Abs. 4 S. 1 i.V.m. Abs. 1 S. 1 DSGVO keine Datenschutz-Folgenabschätzung vornehmen.
59Die sogenannte Positivliste der Datenschutzkonferenz enthält keine Verarbeitungstätigkeiten, die mit der Verarbeitung von Personal- und Kundendaten, wie sie die Beklagte durchführt, vergleichbar ist. Insbesondere liegt im Streitfall keine umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten vor, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können.
60cc) Die Beklagte ist nicht gemäß § 38 Abs. 1 S. 2, 2. Variante BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen.
61Die Beklagte verarbeitet personenbezogene Daten nicht geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung. Die Zwecksetzung, die nach § 38 Abs. 1 S. 2, 2. Variante BDSG erforderlich ist, besteht nur dann, wenn die Datenverarbeitung von ihrer Zielrichtung für außenstehende Personen von Interesse ist und diesen Personen Daten übermittelt werden sollen (Kühling/Sackmann, in: Kühling/Buchner, § 38 BDSG Rdnr. 14). Damit sind etwa Auskunfteien, Adressverlage und Unternehmen der Meinungsforschung gemeint (Däubler, in: Däubler und andere, 2. Aufl. 2018, § 38 BDSG Rdnr. 7). Die bloße Übermittlung von Daten zwischen einem Auftragsverarbeiter und dem Verantwortlichen oder zwischen zwei Verantwortlichen ist nicht ausreichend. § 38 Abs. 1 S. 2, 2. Variante BDSG stellt eine eng auszulegende Ausnahmevorschrift dar. Der Anwendungsbereich würde unangemessen überdehnt, falls alle Fälle der Auftragsdatenverarbeitung zur verpflichtenden Benennung eines Datenschutzbeauftragten führten. Denn die Auftragsverarbeitung findet in der Regel „geschäftsmäßig“ statt.
62Nach diesen Grundsätzen greift § 38 Abs. 1 S. 2, 2. Variante BDSG im Streitfall nicht ein. Zwar ist davon auszugehen, dass im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung (diese Tätigkeiten führt die Beklagte auch für die beiden anderen Gesellschaften der Unternehmensgruppe durch) eine Übermittlung von personenbezogenen Daten stattfindet. Nach dem unwidersprochen gebliebenen Vortrag des Klägers wird die Beklagte insoweit aufgrund eines Geschäftsbesorgungsvertrages für die beiden anderen Gesellschaften tätig. Es ist aber nicht ersichtlich, dass personenbezogene Daten von Arbeitnehmern oder von Kunden an außenstehende Dritte übermittelt werden oder übermittelt werden sollen. Insbesondere fehlt es an Anhaltspunkten dafür, dass die Beklagte sich vorbehält, verarbeitete Daten von Arbeitnehmern oder Kunden zukünftig (auch) an Unternehmen außerhalb der Hagelschuer-Gruppe oder an sonstige Dritte zu übermitteln.
63d) Eine Verpflichtung zur Benennung eines Datenschutzbeauftragten lässt sich entgegen der Auffassung des Klägers auch nicht daraus herleiten, dass die Beklagte nicht intern dokumentierte, dass eine Benennungspflicht nicht besteht.
64Der Kläger hat die Auffassung vertreten, wenn die fehlende Pflicht zur Benennung eines Datenschutzbeauftragten nicht offensichtlich sei, müsse der Verantwortliche intern dokumentieren, warum keine Benennungspflicht bestehe. Für eine solche Dokumentationspflicht gibt es keine gesetzliche Grundlage.
652. Die Kündigung vom 01.09.2021 ist nicht rechtsunwirksam gemäß § 1 KSchG. Die Kündigung bedarf nicht der sozialen Rechtfertigung, da der Kläger noch nicht länger als 6 Monate für die Beklagte tätig war, als ihm die Kündigung zuging.
663. Andere Unwirksamkeitsgründe für die Kündigung sind nicht ersichtlich.
674. Die Kündigung vom 01.09.2021, die dem Kläger am gleichen Tag zuging, beendet das Arbeitsverhältnis zwischen den Parteien zum 30.09.2021. Das entspricht der vertraglich vereinbarten Kündigungsfrist. § 9 Abs. 1 des Arbeitsvertrages vom 11.01.2021 sieht vor, dass die ersten 6 Monate des Arbeitsverhältnisses als Probezeit gelten und in dieser Zeit die Kündigung mit einer Frist von zwei Wochen zum Monatsende möglich ist.
68III. Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO. Der Kläger hat die Kosten der erfolglosen Berufung zu tragen.
69IV. Die Revision ist gemäß § 72 Abs. 2 Nr. 1 ArbGG zugelassen worden. Aus Sicht der Kammer kommt den entscheidungserheblichen Auslegungsfragen, die sich im Zusammenhang mit der Anwendung von Art. 35, 37 DSGVO und § 38 Abs. 1 BDSG stellen, grundsätzliche Bedeutung zu.
70RECHTSMITTELBELEHRUNG
71Gegen dieses Urteil kann von der klagenden Partei
72REVISION
73eingelegt werden.
74Für die beklagte Partei ist gegen dieses Urteil ein Rechtsmittel nicht gegeben.
75Die Revision muss innerhalb einer Notfrist* von einem Monat schriftlich oder in elektronischer Form beim
76Bundesarbeitsgericht
77Hugo-Preuß-Platz 1
7899084 Erfurt
79Fax: 0361 2636-2000
80eingelegt werden.
81Die Notfrist beginnt mit der Zustellung des in vollständiger Form abgefassten Urteils, spätestens mit Ablauf von fünf Monaten nach der Verkündung.
82Für Rechtsanwälte, Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihr zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse besteht ab dem 01.01.2022 gem. §§ 46g Satz 1, 72 Abs. 6 ArbGG grundsätzlich die Pflicht, die Revision ausschließlich als elektronisches Dokument einzureichen. Gleiches gilt für vertretungsberechtigte Personen, für die ein sicherer Übermittlungsweg nach § 46c Abs. 4 Nr. 2 ArbGG zur Verfügung steht.
83Die Revisionsschrift muss von einem Bevollmächtigten eingelegt werden. Als Bevollmächtigte sind nur zugelassen:
841. Rechtsanwälte,
2. Gewerkschaften und Vereinigungen von Arbeitgebern sowie Zusammenschlüsse solcher Verbände für ihre Mitglieder oder für andere Verbände oder Zusammenschlüsse mit vergleichbarer Ausrichtung und deren Mitglieder,
3. Juristische Personen, deren Anteile sämtlich im wirtschaftlichen Eigentum einer der in Nummer 2 bezeichneten Organisationen stehen, wenn die juristische Person ausschließlich die Rechtsberatung und Prozessvertretung dieser Organisation und ihrer Mitglieder oder anderer Verbände oder Zusammenschlüsse mit vergleichbarer Ausrichtung und deren Mitglieder entsprechend deren Satzung durchführt, und wenn die Organisation für die Tätigkeit der Bevollmächtigten haftet.
In den Fällen der Ziffern 2 und 3 müssen die Personen, die die Revisionsschrift unterzeichnen, die Befähigung zum Richteramt haben.
89Eine Partei, die als Bevollmächtigter zugelassen ist, kann sich selbst vertreten.
90Die elektronische Form wird durch ein elektronisches Dokument gewahrt. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 46c ArbGG nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) v. 24. November 2017 in der jeweils geltenden Fassung eingereicht werden. Nähere Hinweise zum elektronischen Rechtsverkehr finden Sie auf der Internetseite des Bundesarbeitsgerichts www.bundesarbeitsgericht.de.
91* eine Notfrist ist unabänderlich und kann nicht verlängert werden.