LAG Hamm: Bestellungspflicht eines betrieblichen Datenschutzbeauftragten für personenbezogene Daten verarbeitendes Unternehmen aus Unternehmensgruppe

Eine solche besteht weder aus Art. 37 DSGVO noch aus § 38 BDSG für ein Unternehmen, so das LAG Hamm in seinem Urteil vom 6. Oktober 2022 (Az.: 18 Sa 271/22), dass im Rahmen einer Unternehmensgruppe in Bezug auf Beschäftigtendaten die Abrechnung des Entgelts und die Personalverwaltung vorliegt. Das Gericht hatte im Rahmen eines Kündigungsschutzverfahrens zu entscheiden, ob der klagende Arbeitnehmer den Sonderkündigungsschutz als interner betrieblicher Datenschutzbeauftragter nach § 6 IV 2 BDSG für sich beanspruchen konnte.

Dies verneinte das Gericht in der umfangreichen Begründung.

Zunächst stellt das Gericht fest, dass die Feststellung des Kündigungsschutzes immer nur bezogen auf den Verantwortlichen zu prüfen ist, bei dem für den internen betrieblichen Datenschutzbeauftragten das Arbeitsverhältnis besteht. Dazu das Gericht in den Entscheidungsgründen:

„…Es kommt nicht darauf an, ob die beiden anderen Gesellschaften der Unternehmensgruppe, für die der Kläger ebenfalls als Datenschutzbeauftragter bestellt war, die Verpflichtung traf, einen Datenschutzbeauftragten zu bestellen. Denn der Sonderkündigungsschutz des Datenschutzbeauftragten nach § 6 Abs. 4 S. 2 KSchG bezieht sich auf das jeweilige Arbeitsverhältnis; der Sonderkündigungsschutz besteht ausschließlich für interne Datenschutzbeauftragte (Bergt/Schnebbe, in: Kühling/Buchner, 3. Aufl. 2020, § 6 BDSG Rdnr. 13; Greiner/Senk, NZA 2020, 201, 208)…“

keine Bestellungspflicht nach Art.37 DSGVO

Dann verneint das Gericht die Bestellungspflicht nach Art.37 DSGVO als Grundlage für den begehrten Kündigungsschutz und führt unter anderem aus:

„…Auch aus Art. 37 Abs. 1 Buchst. c DSGVO folgt für die Beklagte nicht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, denn die Kerntätigkeit der Beklagten besteht nicht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO.

(1)              Zwar ist davon auszugehen, dass die Beklagte (auch) besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet.

Die Beklagte ist mit der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung für die gesamte C-Unternehmensgruppe befasst. Aus den Entgeltabrechnungen ergibt sich in der Regel die Konfessionszugehörigkeit des Arbeitnehmers. Die Mitgliedschaft in einer Religionsgesellschaft stellt ein Datum im Sinne des Art. 9 Abs. 1 DSGVO dar (Weichert, in: Kühling/Buchner, Art. 9 DSGVO Rdnr. 28). Die Beklagte verarbeitet auch Gesundheitsdaten. Sie erhält Kenntnis von Arbeitsunfähigkeitsbescheinigungen der Arbeitnehmer. Bei der Krankschreibung handelt es sich um ein Gesundheitsdatum (Weichert, a.a.O. Rdnr. 39). Die Beklagte hat die daraus hervorgehenden Daten im Rahmen der Berechnung der Entgeltfortzahlung und der Verpflichtung, gemäß § 167 Abs. 2 SGB IX ein betriebliches Eingliederungsmanagement durchzuführen, zu berücksichtigen. Der Kläger hat dies unwidersprochen vorgetragen.

(2)              Die Verarbeitung dieser Daten ist aber nicht „umfangreich“.

Aus Erwägungsgrund 91 S. 1 der Datenschutzgrundverordnung ergibt sich, dass umfangreiche Datenverarbeitungsvorgänge, die ein hohes Risiko für die betroffenen Personen mit sich bringen, solche sind, bei denen große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten sind. Eine solche Datenverarbeitung führt die Beklagte nicht durch. Wenngleich sich Erwägungsgrund 91 primär auf Art. 35 DSGVO bezieht, ist er zur Vermeidung von Wertungswidersprüchen auch im Rahmen des Art. 37 DSGVO zu berücksichtigen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 34). Auch Art. 37 DSGVO verfolgt einen risikobasierten Ansatz (Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 31).

Geht man davon aus, dass eine umfangreiche Verarbeitung vorliegt, wenn Daten über eine große Zahl von betroffenen und/oder beträchtliche Datenmengen über einen längeren Zeitraum gesammelt werden (so Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11 m.w.N.) oder wenn die Verarbeitung das übliche Maß bei weitem übersteigt (so Paal, in: Paal/Pauly, 3. Aufl. 2021, Art. 37 DSGVO Rdnr. 9), so ist im Streitfall festzustellen, dass sich die Datenverarbeitung der Beklagten im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung lediglich auf eine Zahl von Arbeitnehmern erstreckt, die für ein kleineres mittelständisches Unternehmen typisch ist. Der Geschäftsführer der Beklagten hat nämlich im Termin zur mündlichen Verhandlung vor der erkennenden Kammer angegeben, in der Unternehmensgruppe seien insgesamt 76 Arbeitnehmer tätig. Dem ist der Kläger nicht entgegengetreten. Die Personaldatenverwaltung für eine solche Arbeitnehmerzahl ist jedoch nicht unüblich. Insoweit ist auch zu bedenken, dass eine Begrenzung der Datenverarbeitung dadurch eintreten kann, dass viele sensible Daten über wenige Betroffene oder aber wenige sensible Daten über eine große Anzahl Betroffener verarbeitet werden (Marschall/Müller, ZD 2016, 415, 417). Im Rahmen der Personaldatenverarbeitung sind nur wenige Daten im Sinne des Art. 9 Abs. 1 DSGVO betroffen. Der Umfang der Datenverarbeitung im Hinblick auf diese Daten bleibt im Streitfall jedenfalls deutlich zurück hinter den Beispielen, die üblicherweise im Zusammenhang mit einer umfangreichen Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO genannt werden, etwa die Datenverarbeitung in Altersheimen, Krankenhäusern, Arztpraxen, Auskunfteien und Krankenversicherungen (Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 33).

Verfehlt ist es demgegenüber, von einer „umfangreichen“ Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO bereits dann auszugehen, wenn der Arbeitgeber eine eigene Personalabteilung unterhält (so Bergt, in: Kühling/Buchner, Art. 37 DSGVO, Rdnr. 21). Diese Auffassung steht nicht im Einklang mit dem aus Erwägungsgrund 91 hervorgehenden restriktiven Verständnis und dehnt die Verpflichtung zur Benennung eines Datenschutzbeauftragten im Hinblick auf die Personaldatenverarbeitung unangemessen in den Bereich kleinerer mittelständischer Unternehmen aus. Die Auffassung ist auch mit erheblichen Unsicherheiten behaftet und lädt zu Umgehungsstrategien ein. So ist es etwa zweifelhaft, ob eine „Personalabteilung“ bereits dann existiert, wenn ein einziger Mitarbeiter mit der Personalverwaltung und –abrechnung befasst ist und ob es einen Unterschied macht, wenn dieser Mitarbeiter teilzeitbeschäftigt ist und/oder auch noch anderen Arbeitsaufgaben wahrnimmt.

(3)              Die Verarbeitung von Daten gemäß Art. 9 Abs. 1 DSGVO ist auch nicht als Kerntätigkeit der Beklagten anzusehen.

Aus Erwägungsgrund 97 der DSGVO ergibt sich, dass unter der „Kerntätigkeit“ die Haupttätigkeiten zu verstehen sind und nicht eine Verarbeitung personenbezogener Daten als Nebentätigkeit. Es muss sich um eine Tätigkeit handeln, die prägend für das Unternehmen ist (Schaffland/Holthaus, in: Schaffland/Wiltfang, Art. 37 DSGVO Rdnr. 11). Der Anwendungsbereich der Vorschrift ist demgemäß gering (Greiner/Senk, NZA 2020, 201, 204 m.w.N.). Die Verarbeitung von Daten über eigene Mitarbeiter hat im Rahmen von Art. 37 DSGVO regelmäßig außer Betracht zu bleiben, weil es sich typischerweise nicht um die Haupttätigkeit des Unternehmens, sondern um einen bloßen Unterstützungsprozess handelt (Heberlein, in: Ehmann/Selmayr, Art. 37 DSGVO Rdnr. 26; Moos, in: Beck OK Datenschutz R, Art. 37 DSGVO Rdnr. 18; Auer-Reinsdorff/Conrad, IT-Recht-Handbuch, § 34 Rdnr. 365; Paal, in: Paal/Pauly, Art. 37 DSGVO Rdnr. 8a).

Im Streitfall besteht die Besonderheit, dass die Beklagte nicht nur Personaldatenverarbeitung für die bei ihr beschäftigten Mitarbeiter betreibt, sondern auch für zwei weitere Unternehmen. Das rechtfertigt es jedoch nicht, die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO derjenigen Arbeitnehmer, die in den beiden anderen Unternehmen tätig sind, als Kerntätigkeit der Beklagten anzusehen. Denn es lässt sich nicht feststellen, dass die Verarbeitung jener Daten für die Geschäftstätigkeit der Beklagten prägend ist. Selbst nach der unsubstantiierten Behauptung des Klägers stellen die Mitarbeiter in der „Personalverwaltung“ der Beklagten den geringeren Teil der Arbeitnehmerschaft dar. Die Kammer geht davon aus, dass die vom Kläger genannte Zahl überhöht ist und dass die Angaben des Geschäftsführers der Beklagten in der Berufungsverhandlung zutreffend sind, wonach die Beklagte insgesamt nur 6 Arbeitnehmer beschäftigt. Denn der Kläger ist diesen Angaben nicht entgegengetreten. Da die vom Geschäftsführer der Beklagten benannten zwei Vertriebsmitarbeiter und der weitere Arbeitnehmer, der mit Digitalisierungsaufgaben befasst ist, in anderen Bereichen tätig sind, bleiben für die Personaldatenverarbeitung nur 3 Arbeitnehmer (einschließlich des Klägers). Es ist nicht davon auszugehen, dass diese 3 Arbeitnehmer zum überwiegenden Teil ihrer Arbeitszeit mit der Personaldatenverarbeitung beschäftigt waren. Dazu ist die Zahl der insgesamt in der Unternehmensgruppe tätigen Arbeitnehmer zu gering. Die Beklagte hat in diesem Zusammenhang vorgebracht, die Erstellung von Lohnabrechnungen und die allgemeine Personalverwaltung seien nur mit 2 – 5 % der Gesamttätigkeit der Mitarbeiter zu veranschlagen. Der Kläger ist dem nicht entgegengetreten und auch keine anderen Zahlen genannt, obgleich ihm aus eigener Anschauung bekannt sein muss, welche Arbeitsaufgaben die beiden anderen kaufmännischen Mitarbeiter der Beklagten zu versehen haben. Der Kläger hat auch nicht in Abrede gestellt, dass die Beklagte als Holding-Gesellschaft auch noch andere Verwaltungsaufgaben wahrnimmt, die ich insbesondere auf die Vermögensgegenstände beziehen, die von den beiden anderen Unternehmen der C-Gruppe genutzt werden. Dass der Zeitaufwand für diese Verwaltungsaufgaben deutlich hinter dem Zeitaufwand für die Personaldatenverarbeitung zurückblieb, hat der Kläger nicht vorgetragen. Allein die Tatsache, dass überhaupt eine Personaldatenverarbeitung stattfindet, wie sie für ein mittelständisches Unternehmen typisch ist, rechtfertigt jedoch die Verpflichtung zur Benennung eines Datenschutzbeauftragten nicht (anderer Auffassung Bergt, in: Kühling/Buchner, Art. 37 DSGVO Rdnr. 21 für den Fall, dass eine Personalabteilung besteht). Insoweit wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.

Inwiefern die Vertriebsmitarbeiter, die für die Beklagten arbeiten, besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeiten, ist nicht ersichtlich. Der Kläger hat hierzu keine konkreten Angaben gemacht. Er hat insbesondere nicht näher dargelegt, inwiefern es sich bei den Kundendaten, mit deren Verarbeitung die Vertriebsmitarbeiter befasst sind, um Daten natürlicher Personen oder um Daten juristischer Personen handelt. Nur soweit es sich um natürliche Personen handelt, liegen überhaupt personenbezogene Daten vor (Art. 4 Nr. 1 DSGVO). Namen, Anschriften und Geburtsdaten von Kunden sind jedenfalls keine sensiblen personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO. Dass die Vertriebsmitarbeiter andere Daten dieser Art verarbeiten, lässt sich dem Vorbringen der Parteien nicht entnehmen…“

keine Bestelllungspflicht nach § 38 BDSG

Schließlich sieht das Gericht auch keine Bestellungspflicht nach § 38 BDSG (Grenze von 20 Personen wurde nicht überschritten) und führt dazu unter anderem in den Entscheidungsgründen aus:

„…Die Verpflichtung zur Benennung eines Datenschutzbeauftragten lässt sich nicht aus § 38 Abs. 1 S. 2, 1. Variante BDSG herleiten, denn die Beklagte ist nicht gemäß Art. 35 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.

(1)               Die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung ergibt sich nicht aus Art. 35 Abs. 3 DSGVO.

Die Beklagte nimmt weder eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Art. 35 Abs. 3 Buchst. a) DSGVO) noch eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 Buchst. c) DSGVO) vor. Die Voraussetzungen, die Art. 35 Abs. 3 Buchst. b) DSGVO für die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung aufstellt, liegen nicht vor. Die Beklagte führt keine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO durch.

Insoweit kann offen bleiben, ob ein hohes Risiko im Sinne des Art. 35 Abs. 1 DSGVO für eine Verpflichtung zur Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 3 Buchst. b) DSGVO erforderlich ist (wofür allerdings Erwägungsgrund 91 und die Bezugnahme auf Abs. 1 in Art. 35 Abs. 3 DSGVO spricht). Es fehlt schon an Anhaltspunkten dafür, dass die Beklagte personenbezogene Daten im Sinne des Art. 10 DSGVO überhaupt verarbeitet. Dem Vorbringen der Parteien lassen sich hierfür keine Anhaltspunkte entnehmen. Im Hinblick auf personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO fehlt es jedenfalls an einer umfangreichen Verarbeitung. Die in Erwägungsgrund 91 angesprochene Datenverarbeitung auf regionaler, nationaler oder supernationaler Ebene liegt nicht vor. Im Übrigen wird auf die Ausführungen unter II 1 b cc (2) der Entscheidungsgründe verwiesen.

(2)               Die Beklagte ist nicht gemäß Art. 35 Abs. 1 S. 1 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen.

Es ist nicht ersichtlich, dass die Datenverarbeitung, die die Beklagte durchführt, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Entgegen der Auffassung des Klägers führt die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO an sich noch nicht zu einem solchen hohen Risiko. Das ergibt sich aus Erwägungsgrund 91 und aus der Systematik des Art. 35 DSGVO. Art. 35 Abs. 3 Buchst. b) DSGVO verlangt für die Verpflichtung zur Datenschutz-Folgenabschätzung eine „umfangreiche“ Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO. Andere hohe Risiken für die Rechte und Freiheiten der Arbeitnehmer, die infolge der Datenverarbeitung eintreten könnten, sind nicht ersichtlich. Das Arbeitsgericht hat hierzu (auf S. 12 f. des erstinstanzlichen Urteils) ausgeführt, dass die Daten nur zum Zwecke der Durchführung der Arbeitsverhältnisse erhoben und verarbeitet werden, dass die Menge an Datensätzen nicht umfangreich ist und die Daten nur für einen überschaubaren Kreis von Berechtigten zur Verfügung stehen; diese Gesichtspunkte sprechen dagegen, dass ein hohes Risiko besteht. Die erkennende Kammer schließt sich dem an und macht sich die Ausführungen des Arbeitsgerichts zu Eigen (§ 69 Abs. 2 ArbGG). Auch im Hinblick auf die Verarbeitung von Kundendaten besteht, wie das Arbeitsgericht richtig erkannt hat, kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen; auf die Ausführungen des Arbeitsgerichts (S. 13 des erstinstanzlichen Urteils) wird Bezug genommen.

(3)               Schließlich muss die Beklagte auch nach Art. 35 Abs. 4 S. 1 i.V.m. Abs. 1 S. 1 DSGVO keine Datenschutz-Folgenabschätzung vornehmen.

Die sogenannte Positivliste der Datenschutzkonferenz enthält keine Verarbeitungstätigkeiten, die mit der Verarbeitung von Personal- und Kundendaten, wie sie die Beklagte durchführt, vergleichbar ist. Insbesondere liegt im Streitfall keine umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten vor, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können.

cc)               Die Beklagte ist nicht gemäß § 38 Abs. 1 S. 2, 2. Variante BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen.

Die Beklagte verarbeitet personenbezogene Daten nicht geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung. Die Zwecksetzung, die nach § 38 Abs. 1 S. 2, 2. Variante BDSG erforderlich ist, besteht nur dann, wenn die Datenverarbeitung von ihrer Zielrichtung für außenstehende Personen von Interesse ist und diesen Personen Daten übermittelt werden sollen (Kühling/Sackmann, in: Kühling/Buchner, § 38 BDSG Rdnr. 14). Damit sind etwa Auskunfteien, Adressverlage und Unternehmen der Meinungsforschung gemeint (Däubler, in: Däubler und andere, 2. Aufl. 2018, § 38 BDSG Rdnr. 7). Die bloße Übermittlung von Daten zwischen einem Auftragsverarbeiter und dem Verantwortlichen oder zwischen zwei Verantwortlichen ist nicht ausreichend. § 38 Abs. 1 S. 2, 2. Variante BDSG stellt eine eng auszulegende Ausnahmevorschrift dar. Der Anwendungsbereich würde unangemessen überdehnt, falls alle Fälle der Auftragsdatenverarbeitung zur verpflichtenden Benennung eines Datenschutzbeauftragten führten. Denn die Auftragsverarbeitung findet in der Regel „geschäftsmäßig“ statt.

Nach diesen Grundsätzen greift § 38 Abs. 1 S. 2, 2. Variante BDSG im Streitfall nicht ein. Zwar ist davon auszugehen, dass im Rahmen der Erstellung von Entgeltabrechnungen und der allgemeinen Personalverwaltung (diese Tätigkeiten führt die Beklagte auch für die beiden anderen Gesellschaften der Unternehmensgruppe durch) eine Übermittlung von personenbezogenen Daten stattfindet. Nach dem unwidersprochen gebliebenen Vortrag des Klägers wird die Beklagte insoweit aufgrund eines Geschäftsbesorgungsvertrages für die beiden anderen Gesellschaften tätig. Es ist aber nicht ersichtlich, dass personenbezogene Daten von Arbeitnehmern oder von Kunden an außenstehende Dritte übermittelt werden oder übermittelt werden sollen. Insbesondere fehlt es an Anhaltspunkten dafür, dass die Beklagte sich vorbehält, verarbeitete Daten von Arbeitnehmern oder Kunden zukünftig (auch) an Unternehmen außerhalb der XXX-Gruppe oder an sonstige Dritte zu übermitteln…“