VG Stuttgart:DSGVO garantiert nicht die „vollständige Unabhängigkeit“ eines internen Datenschutzbeauftragten

DSGVO garantiert nicht die „vollständige Unabhängigkeit“ eines internen Datenschutzbeauftragten – Dies ist eine der Aussagen des VG Stuttgart in einem gerichtlichen Verfahren und dem dortigen Urteil vom 11. November 2021 (Az.: 11 K 17/21) rund um eine Rechtstreitigkeit eines betrieblichen Datenschutzbeauftragten mit der Aufsichtsbehörde rund um Fragen, die das Anstellungsverhältnis des betrieblichen Datenschutzbeauftragten mit seinem Arbeitgeber betragen. Die Anstellung in Form des Arbeitsvertrages war befristet und damit auch die Bestellung zum betrieblichen Datenschutzbeauftragten. Dies war einer der Punkte, die Rahmen der Beschwerde gegenüber der Aufsichtsbehörde vorgetragen worden war.

DSGVO garantiert nicht die „vollständige Unabhängigkeit“ eines internen Datenschutzbeauftragten – So kommt diese Aussage zustande

Das Gericht begründet unter anderem wie folgt:

„…aa) Entgegen der Rechtsansicht des Klägers kann sich ein solcher Verstoß nicht allein schon daraus ergeben, weil in der Datenschutz-Grundverordnung die „vollständige Unabhängigkeit“ eines Datenschutzbeauftragten gewährleistet sei. Das ist nämlich nicht der Fall.

Zwar enthält der Erwägungsgrund 97 zur Datenschutz-Grundverordnung in seinem Satz 4 zum Institut des Datenschutzbeauftragten tatsächlich den Terminus „in vollständiger Unabhängigkeit ausüben können“. Den meisten übrigen Erwägungsgründen entsprechend wird aber auch hier durch das hinzugefügte Hilfsverb „sollte“, zunächst nur eine programmatische Erklärung abgegeben. Inwieweit dies in den Bestimmungen der Datenschutz-Grundverordnung nachfolgend umgesetzt wurde, ist eine Frage der Auslegung dieser Normen. Der Erwägungsgrund selbst ist zwar ein Kriterium der Auslegung, entfaltet aber keine originäre Rechtswirkung und nimmt die Auslegung weder vorweg noch schränkt er diese über Gebühr ein (Paal/Pauly, DS-GVO, 3. Auflage 2021, Einleitung Rn. 10 a.E. unter Verweis auf Generalanwalt Colomer, Schlussanträge vom 06.09.2007 zu EuGH Rs. C-267/06, Celex-Nr. 62006CC0267, juris).

Bereits das Rechtssetzungsverfahren (vgl. umfangreich Paal/Pauly, DS-GVO, a.a.O., Einleitung Rn. 10a) deutet auf das Gegenteil einer „vollständigen Unabhängigkeit“ hin. So wurden Forderungen des Europäischen Wirtschafts- und Sozialausschusses zu einem expliziten Kündigungsschutz für (betriebliche) Datenschutzbeauftragte gerade nicht aufgegriffen. Daraus kann nur der Schluss gezogen werden, dass die „vollständige Unabhängigkeit in der Ausübung des Amtes des Datenschutzbeauftragten“ nicht Gegenstand der dann getroffenen Regelungen der Datenschutz-Grundverordnung sind und sein sollten, sich das Maß der Unabhängigkeit vielmehr aus den ausdrücklich normierten Bestimmungen, namentlich Art. 38 Abs. 3 Satz 1 DS-GVO („Weisungsfreiheit bei der Erfüllung seiner Aufgaben“) und Satz 2 der Norm („Abberufungs- und Benachteiligungsverbot wegen der Erfüllung seiner Aufgaben“) gewinnen lässt, ergänzt um den (nationalen) Kündigungsschutz aus § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG (jedenfalls für verpflichtende Datenschutzbeauftragte im nicht-öffentlichen Bereich; vgl. Paal/Pauly, DS-GVO, 3. Auflage 2021, BDSG, § 38 Rn. 17 f.). Die Zweifel des Bundesarbeitsgerichts an der Gültigkeit der genannten Regelungen (EuGH-Vorlagebeschlüsse vom 30.07.2020 – 2 AZR 225/20 (A) – und vom 27.04.2021 – 9 AZR 383/19 (A) -, jeweils juris) teilt die Kammer nicht.

bb) Die Prüfung des nach der Datenschutz-Grundverordnung tatsächlich eingeräumten Maßes an Unabhängigkeit ergibt hier keinen Rechtsverstoß allein durch den Umstand, dass die Benennung des Klägers als betrieblicher Datenschutzbeauftragter der Beigeladenen in Abhängigkeit zu seinem Arbeitsvertrag befristet erfolgt und nach Ablauf der Frist nicht verlängert worden ist.

aaa) Die Regelungen zum Schutz persönlicher Daten nach der Datenschutz-Grundverordnung statuieren ein „Sechs-Augen-Prinzip“. Auf der ersten Ebene werden die datenverarbeitenden Stellen – Behörden, Verantwortliche oder Auftragsverarbeiter – einem umfangreichen Pflichtenkatalog zum Schutz der persönlichen Daten unterworfen. Sodann wird – zum Zwecke der „Überwachung der internen Einhaltung der Bestimmungen der DS-GVO“ – diesen Personen eine weitere Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts verfügt, zur Unterstützung hinzugestellt (= Datenschutzbeauftragter nach Kapitel IV Abschnitt 4 DS-GVO; vgl. Erwägungsgrund 97 Satz 1 a.E. zur DS-GVO) und damit zunächst ein „Vier-Augen-Prinzip“ eröffnet. Anschließend wird eine (öffentliche) unabhängige Aufsichtsbehörde eingerichtet (Kapitel VI DS-GVO), wodurch sich ein „Sechs-Augen-Prinzip“ ergibt.

bbb) Vollständige Unabhängigkeit kommt in diesem System allein der unabhängigen öffentlichen Aufsichtsbehörde zu, also dem Beklagten, nicht dem Kläger.

Denn die Stellung des Datenschutzbeauftragten ist von seiner Rechtsbeziehung zum Verantwortlichen bzw. Auftragsverarbeiter überlagert. Art. 37 Abs. 6 DS-GVO lässt es ausdrücklich zu, als Datenschutzbeauftragten entweder einen Beschäftigten des Verantwortlichen bzw. Auftragsverarbeiters zu benennen oder aber einen Externen, auf der Grundlage eines Dienstleistungsvertrages. Damit ist zugleich festgelegt, dass der Benennung zum Datenschutzbeauftragten immer ein anderes Vertragsverhältnis zugrunde liegen muss (Arbeits- oder Dienstleistungsvertrag) zwischen dem (künftigen) Datenschutzbeauftragten und der beauftragenden Stelle (Verantwortlicher bzw. Auftragsverarbeiter). Schon wegen des denknotwendig synallagmatischen Austauschverhältnisses in diesem Vertragsverhältnis ist die Gewährung „vollständiger Unabhängigkeit“ des Datenschutzbeauftragten nahezu ausgeschlossen.

So kann es zu Störungen im Vertragsverhältnis kommen, etwa durch Verstöße gegen innerbetriebliche Regelungen („Anti-Diskriminierungs-Richtlinien“), die der Arbeitgeber sanktionieren möchte und muss. Auch Fragen der Arbeitszeiterfassung, der Abrechnung von Dienstreisen oder der Notwendigkeit und des Umfangs von Fortbildungen sind konfliktgeeignet. Ebenso muss der Arbeitgeber mögliche gesetzliche Verbote der Erwerbstätigkeit beachten, etwa wenn er eine ausländische Fachkraft i.S.v. § 18b AufenthG als Datenschutzbeauftragter beschäftigt, deren Aufenthalts- und damit auch Beschäftigungserlaubnis wegfällt. Dasselbe gilt für Beschäftigungsverbote nach § 3 Abs. 1 und 2 oder § 16 MuschG. Schließlich kann – etwa bei Anwendbarkeit entsprechender tarifvertraglicher Regelungen – mit Erreichen des gesetzlichen Renteneintrittsalters ein Beschäftigungsverhältnis enden, ohne dass es einer Kündigung bedarf.

ccc) In Ansehung all dieser arbeitsrechtlichen Fragestellungen erscheint der Kammer das Schweigen der Datenschutz-Grundverordnung beredt. Die beiden einzigen Be-stimmungen, die sich konkret zur Stellung des betrieblichen Datenschutzbeauftragten äußern – Art. 38 Abs. 3 Satz 1 DS-GVO („Weisungsfreiheit bei der Erfüllung seiner Aufgaben“) und Satz 2 der Norm („Abberufungs- und Benachteiligungsverbot wegen der Erfüllung seiner Aufgaben“) müssen im Umkehrschluss bedeuten, im Übrigen gilt das nationale Arbeitsrecht der Mitgliedstaaten. Auch insoweit gilt, hätte der europäische Verordnungsgeber die Stellung des betrieblichen Datenschutzbeauftragten vollkommen vom nationalen Arbeitsrecht entkoppeln wollen, was eine erhebliche Einschränkung des Rechts auf unternehmerische Freiheit aus Art. 16 GRCh seitens der betroffenen Arbeitgeber bedeuten würde (vgl. oben und BVerfG, Beschl. v. 06.11.2019, <Recht auf Vergessen II>, a.a.O.), hätte es insoweit in den Normen der Datenschutz-Grundverordnung einer ausdrücklichen Festlegung bedurft.

ddd) Für die Kammer zeigt sich dies auch im Hinblick auf die zweite mögliche Variante nach Art. 37 Abs. 6 DS-GVO, als Datenschutzbeauftragten einen externen Dienstleister zu benennen. Der Kammer ist keine gerichtliche oder wissenschaftliche Äußerung bekannt, die die Meinung vertritt, ein solch externer Dienstleister müsse unbefristet vertraglich verpflichtet werden. Es wäre auch kaum vorstellbar, wie bei einem unbefristeten Dienstleistungsvertrag etwa Fragen von Honorarerhöhungen o.ä. zu regeln wären. Für die Annahme, betriebsangehörige Datenschutzbeauftragte müssten die „vollständige Unabhängigkeit“ genießen, externen Dienstleistern könne dies jedoch nicht gewährt werden, fehlt in den Regelungen der Datenschutz-Grundverordnung jeder Anhaltspunkt. Art. 37 Abs. 6 DS-GVO erwähnt beide – gleichberechtigt – nebeneinander (vgl. insgesamt zum Vorstehenden auch VG Stuttgart, Beschl. v. 29.03.2021 – 11 K 484/21 –, juris Rn. 46).

fff) Gilt damit das nationale Arbeitsrecht, so ist die Verknüpfung des Arbeitsvertrages zwischen Kläger und Beigeladener mit der Benennung zum Datenschutzbeauftragten die notwendige Folge. Ist die Befristung des Arbeitsvertrages nach den Regelungen des Teilzeit- und Befristungsgesetzes zulässig, war es auch die befristete Benennung zum Datenschutzbeauftragten. Hat der Kläger keinen Anspruch auf unbefristete Beschäftigung gegenüber der Beigeladenen, hat er auch keinen Anspruch auf weitere Benennung. Dies zu entscheiden ist Aufgabe der Arbeitsgerichtsbarkeit…“