Keine Bestellungspflicht eines Datenschutzbeauftragten wegen der eigenen Personalverwaltung

Ausgangspunkt

Zunächst ist voranzustellen, dass es zu gravierenden Unterschieden in der Rechtsstellung des Datenschutzbeauftragten kommt, da diese Rolle abhängig von der maßgeblichen Rechtsgrundlage ist, nach der sich zuallererst die Bestellungspflicht richtet. Dabei kommen sowohl die Datenschutz-Grundverordnung (DSGVO) als europäische Rechtsgrundlage sowie Normen des Bundesdatenschutzgesetz (BDSG) als nationales Gesetz in Betracht. Das Verhältnis der Rechtsordnungen wird vom Grundsatz geprägt, dass das Recht der EU in allen Mitgliedstaaten einen Anwendungsvorrang gegenüber dem nationalen Recht beanspruchen muss. Dies ergibt sich denknotwendig daraus, dass das Unionsrecht in allen Staaten der EU kohärent, effektiv und autonom gelten muss, um wirksam zu sein.

Ein möglicher Sonderkündigungsschutz des Klägers verlangt aber notwendigerweise, dass es eine irgendwie geartete Bestellpflicht für einen Datenschutzbeauftragen gegeben haben muss. In Anerkennung des oben gesagten, kommt daher zunächst eine der in Art. 37 Abs. 1 DSGVO geregelten Fallgruppen in Betracht.

Entscheidung

Im vorliegenden Fall klagte der Beschäftigte einer privatrechtlichen Holding-Gesellschaft, wonach Art. 37 Abs. 1 a) DSGVO von vornherein ausscheidet, da dieser einzig Behörden, mit Ausnahme von Gerichten, zur Bestellung eines Datenschutzbeauftragten verpflichtet.

In Art. 37 Abs. 1 b) DSGVO manifestiert sich eine – unabhängig von der Rechtsnatur der Gesellschaft – bestehende Pflicht zur Bestellung eines Datenschutzbeauftragten für solche Datenverarbeitungsvorgänge, die eine umfangreiche, regelmäßige und vor allem systematische Überwachung von betroffenen Personen zum Gegenstand haben. Dabei spezifiziert das LAG Hamm in Abweichung zur Rechtsauffassung des Klägers das Merkmal der Überwachung als Kontrolle des Verhaltens der Betroffenen, nicht als pauschale Kontrolle von Daten. Danach setzt ein Überwachen im Sinne der Norm zwangsläufig eine gesteigerte Beobachtung voraus.

Zuletzt kam eine Bestellpflicht auf Grund der Qualität der verarbeiteten Daten in Betracht. Hierfür müsste es sich bei den verarbeiteten Daten um eine besondere Kategorien geschützte Daten (Art. 9, 10 DSGVO) handeln und die Verarbeitung müsste dabei eine Kerntätigkeit der Verantwortlichen darstellen. Hier ergeben sich auf Grund der Unbestimmtheit der Rechtsbegriffe Auslegungsschwierigkeiten. Das LAG Hamm hat daher im Rahmen der Urteilsbegründung eine gesteigerten Argumentationsaufwand darauf verwendet herauszuarbeiten, dass sich die Tatbestandsmerkmale „Kerntätigkeit“ und „umfangreiche Verarbeitung“ allein aus dem jeweiligen Einzelfall ergeben müssen. Insoweit ist ein engagierter Parteivortrag unumgänglich. Das LAG Hamm hat vorliegend auf Grund des Beklagtenvorbringens festgestellt, dass die Datenverarbeitung im Rahmen der Personalverwaltung vorliegend für ein kleineres mittelständisches Unternehmen typisch und somit nicht umfangreich im Sinne des Art. 37 Abs. 1 c) DSGVO war. Klar herausgestellt hat das Gericht, dass nicht bereits eine „umfangreiche Verarbeitung“ vorliegt, weil die Beklagte als Arbeitgeber eine eigene Personalabteilung unterhält.

Darüber hinaus hat der Bundesgesetzgeber in § 38 BDSG weitere Benennungspflichten normiert. Die Regelungen gem. § 38 Abs. 1, Abs. 2 BDSG gelten grundsätzlich gleichermaßen für nichtöffentliche Stellen, wenn diese mindestens 20 Beschäftigte haben. Ein wesentlicher Unterschied zu den europäischen Vorschriften ist, dass dem Datenschutzbeauftragen ein umfassender Abberufungs- und Kündigungsschutz zukommt, §§ 38 Abs. 2, 6 Abs. 4 BDSG, wenn die Benennung eines Datenschutzbeauftragten verpflichtet ist. Dies war im vorliegenden Streitfall jedoch nach allen Alternativen des § 38 BDSG nicht gegeben. Weder hatte die Beklagte mehr als 20 Arbeitnehmer mit der automatisierten Verarbeitung personenbezogener Daten betraut, noch war sie nicht verpflichtet gem. § 38 Abs. 1 S. 2 Var. 1 BDSG in Verbindung mit Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen. Insbesondere ergibt sich eine Pflicht zur DSFA auch nicht gem. Art. 34 Abs. 4 S. 1 DSGVO aus der sog. Positiv-Liste der Verarbeitungstätigkeiten.

Zuletzt kam im Rahmen der Personalverwaltung auch keine Bestellpflicht nach § 38 Abs. 1 S. 2 Var. 2 BDSG in Betracht. Dies erscheint zunächst möglich, da nach dem Wortlaut der Norm eine Bestellpflicht leicht angenommen werden kann, wenn Daten im Rahmen einer Auftragsdatenverarbeitung oder zwischen Verantwortlichen übermittelt werden. Nach Auffassung des Gerichts darf man die Schwelle und die damit verbundenen Konsequenzen einer Bestellpflicht nicht leichtfertig annehmen. Nach Auffassung des Gericht liegt hier eine Ausnahmevorschrift vor, die nach allgemeinem Verständnis restriktiv auszulegen ist. Ansonsten bestände die Gefahr einer künstlichen Aufblähung der Vorschrift, da Auftragsdatenverarbeitung in der Regel „geschäftsmäßig“ im Sinne der Norm erfolgen.

Fazit

Die grundsätzliche Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich trotz eindeutiger Vorschriften nicht zweifelsfrei aus dem Gesetzeswortlaut. Gerade Unternehmen, die in den „Graubereichen“ der auslegungsbedürftigen Tatbestandsmerkmale agieren haben durch die detailreiche Ausurteilung des Rechtsstreits gute Anhaltspunkte, um zu prüfen, ob die Bestellung eines Datenschutzbeauftragten für sie verpflichtend ist.