BAG: Datenschutzbeauftragter – Abberufung – Interessenkonflikt
BAG, Urteil vom 6.6.2023 – 9 AZR 621/19
ECLI:DE:BAG:2023:060623.U.9AZR621.19.0
Volltext: BB-Online BBL2023-2419-2
Orientierungssätze
1. Landesspezifisches Datenschutzrecht hat Vorrang vor dem BDSG. Soweit für öffentliche Stellen der Länder besondere landesdatenschutzrechtliche Bestimmungen gelten, sind diese – auch wenn sie Bundesrecht ausführen – von den Bestimmungen des BDSG ausgenommen. Das BDSG hat damit den Charakter eines „Auffanggesetzes“ (Rn. 20).
2. Die Rechtsstellung eines aufgrund des BDSG aF bestellten Datenschutzbeauftragten hat nicht automatisch durch Inkrafttreten der DSGVO geendet (Rn. 24).
3. Zu einer wirksamen Abberufung eines Datenschutzbeauftragten bedarf es i. d. R keiner Teilkündigung (Rn. 29 ff.).
4. Der besondere Schutz des betrieblichen Datenschutzbeauftragten vor einer Abberufung gemäß § 6 Abs. 4 Satz 1 BDSG steht im Einklang mit Unionsrecht. Die Bestimmung beeinträchtigt die Verwirklichung der Ziele der DSGVO nicht (Rn. 34 ff.).
5. Aufgrund der Verweisung in § 6 Abs. 4 Satz 1 BDSG muss für die Abberufung ein wichtiger Grund i. S. v. § 626 Abs. 1 BGB vorliegen, der es dem Verantwortlichen aufgrund von Tatsachen und unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragspartner unzumutbar macht, die betreffende Person als betrieblichen Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen (Rn. 39).
6. Eine Abberufung kann durch Gründe gerechtfertigt sein, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und deren Ausübung unmöglich machen oder sie zumindest erheblich gefährden. Dies kann dann der Fall sein, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht (mehr) besitzt. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann in Frage stehen, wenn Interessenkonflikte drohen (Rn. 40 f.).
Amtlicher Leitsatz
Der in § 6 Abs. 4 Satz 1 BDSG normierte besondere Schutz des betrieblichen Datenschutzbeauftragten vor einer Abberufung ist mit Unionsrecht vereinbar.
Sachverhalt
Die Parteien streiten über die Abberufung des Klägers als Datenschutzbeauftragter.
Die Beklagte ist eine Körperschaft des öffentlichen Rechts, die als Dienstleisterin für Kommunen Bundesrecht ausführt. Der Kläger ist bei ihr seit dem 1. Januar 2002 als Mitarbeiter im Fachbereich Veranlagung beschäftigt. Zuletzt war er in der Funktion eines Anwendungsberaters mit einer Vergütung nach Entgeltgruppe 10 Stufe 5 TVöD tätig. Mit Schreiben vom 27. Februar 2004 bestellte die Beklagte den Kläger zum Datenschutzbeauftragten. Für diese Tätigkeit, die zuletzt ungefähr die Hälfte seiner Arbeitszeit umfasste, zahlte die Beklagte dem Kläger eine monatliche Stellenzulage iHv. 100,00 Euro brutto.
Anlässlich des Inkrafttretens der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4. Mai 2016 S. 1; im Folgenden DSGVO) erteilte der Sächsische Landesdatenschutzbeauftragte Handlungsempfehlungen, in denen es ua. heißt:
„… zur Herstellung vertragsrechtlicher bzw. dienstrechtlicher Rechtssicherheit sollten die Bestellungen der Datenschutzbeauftragten nach § 11 SächsDSG angepasst oder zum Ende des 24. Mai 2018 widerrufen werden und ggf. im Gegenzug Bestellungen zum 25. Mai 2018 nach der Datenschutz-Grundverordnung unter Beachtung der zivil- und dienstrechtlichen Besonderheiten vorgenommen werden.“
Mit Schreiben vom 15. August 2018 berief die Beklagte den Kläger mit Wirkung zum 31. August 2018 als Datenschutzbeauftragten ab. Dessen außergerichtliche Aufforderung vom 29. August 2018, ihn über den 31. August 2018 hinaus als behördlichen Datenschutzbeauftragten zu beschäftigen, blieb erfolglos.
Der Kläger hat die Auffassung vertreten, die Beklagte sei nicht berechtigt gewesen, ihn als Datenschutzbeauftragten abzuberufen. Dies setze einen wichtigen Grund iSv. § 626 Abs. 1 BGB voraus, der vorliegend nicht gegeben sei. Die gleichzeitige Tätigkeit als Anwendungsberater und Datenschutzbeauftragter führe zu keinem Interessenkonflikt. Zudem fehle es an der erforderlichen Teilkündigung des Arbeitsverhältnisses. Schließlich habe die Beklagte gegen das Benachteiligungsverbot des Art. 38 Abs. 3 Satz 2 DSGVO verstoßen.
Der Kläger hat beantragt
festzustellen, dass seine Rechtsstellung als behördlicher Datenschutzbeauftragter der Beklagten nicht durch die Abbestellung der Beklagten vom 15. August 2018 beendet worden und er über den 31. August 2018 hinaus behördlicher Datenschutzbeauftragter der Beklagten ist.
Die Beklagte hat die Abweisung der Klage ua. mit der Begründung beantragt, die Rechtsstellung des Klägers habe bereits mit Inkrafttreten der DSGVO von Rechts wegen geendet. Jedenfalls sei der Kläger gemäß § 11 des Gesetzes zum Schutz der informationellen Selbstbestimmung im Freistaat Sachsen vom 25. August 2003 (SächsGVBl. S. 330; im Folgenden SächsDSG aF) wirksam als Datenschutzbeauftragter abberufen worden. Die Bestimmung, die für die Abberufung des Datenschutzbeauftragten keinen Grund voraussetze, treffe eine abschließende Regelung zum behördlichen Datenschutzbeauftragten, die § 6 Abs. 4 Satz 1 BDSG vorgehe. Ungeachtet dessen kollidiere die Tätigkeit als Datenschutzbeauftragter spätestens seit Inkrafttreten der DSGVO mit der beruflichen Tätigkeit des Klägers. Der Umstand, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe, begründe ebenso einen Interessenkonflikt mit den ihm als Datenschutzbeauftragtem obliegenden Pflichten, wie seine Tätigkeit als Anwendungsberater. Der Kläger müsse die Einhaltung datenschutzrechtlicher Vorschriften bei seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst. Zudem sei er für die Funktion des Datenschutzbeauftragten auch fachlich nicht geeignet.
Das Arbeitsgericht hat die Klage abgewiesen. Das Landesarbeitsgericht hat die Berufung des Klägers zurückgewiesen. Mit der Revision verfolgt der Kläger sein Klageziel weiter. Der Senat hat den Rechtsstreit mit Beschluss vom 27. April 2021 ausgesetzt und den Gerichtshof der Europäischen Union um Vorabentscheidung ersucht, ob die Regelung in § 6 Abs. 4 Satz 1 BDSG, der zufolge die Abberufung eines Datenschutzbeauftragten das Vorliegen eines wichtigen Grundes iSv. § 626 Abs. 1 BGB voraussetzt, mit Art. 38 Abs. 3 Satz 2 DSGVO im Einklang steht (BAG 27. April 2021 – 9 AZR 621/19 (A) -). Mit Urteil vom 9. Februar 2023 hat der Gerichtshof der Europäischen Union über das Vorabentscheidungsersuchen entschieden (EuGH 9. Februar 2023 – C-560/21 – [KISA]).
Aus den Gründen
9 Die Revision des Klägers ist begründet. Sie führt zur Aufhebung der angefochtenen Entscheidung und zur Zurückverweisung der Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht.
10 I. Die Revision des Klägers ist zulässig. Entgegen der Ansicht der Beklagten genügt die Revisionsbegründung den gesetzlichen Begründungsanforderungen.
11 1. Zur ordnungsgemäßen Begründung der Revision müssen nach § 72 Abs. 5 ArbGG iVm. § 551 Abs. 3 Satz 1 Nr. 2 ZPO die Revisionsgründe angegeben werden. Bei Sachrügen sind diejenigen Umstände bestimmt zu bezeichnen, aus denen sich die Rechtsverletzung ergibt (§ 551 Abs. 3 Satz 1 Nr. 2 Buchst. a ZPO). Die Revisionsbegründung muss den angenommenen Rechtsfehler des Landesarbeitsgerichts so aufzeigen, dass Gegenstand und Richtung des Revisionsangriffs erkennbar sind. Das erfordert eine Auseinandersetzung mit den tragenden Gründen der angefochtenen Entscheidung. Der Revisionskläger muss darlegen, weshalb er die Begründung des Berufungsgerichts für unrichtig hält. Allein die Darstellung anderer Rechtsansichten ohne jede Auseinandersetzung mit den Gründen des Berufungsurteils genügt den Anforderungen an eine ordnungsgemäße Revisionsbegründung ebenso wenig wie die Wiedergabe des bisherigen Vorbringens. Es reicht auch nicht aus, wenn der Revisionskläger die tatsächlichen und/oder rechtlichen Würdigungen des Berufungsgerichts lediglich mit formelhaften Wendungen rügt. Verfahrensrügen müssen nach § 551 Abs. 3 Satz 1 Nr. 2 Buchst. b ZPO die genaue Bezeichnung der Tatsachen enthalten, die den Mangel ergeben, auf den sich die Revision stützen will (BAG 16. Juni 2021 – 10 AZR 208/20 – Rn. 11; 12. Januar 2021 – 4 AZR 271/20 – Rn. 10 mwN).
12 2. Diesen Anforderungen wird die Revisionsbegründung des Klägers gerecht.
13 a) Das Landesarbeitsgericht hat seine Entscheidung darauf gestützt, für die Abberufung des Klägers habe es keines wichtigen Grundes iSd. § 626 Abs. 1 BGB bedurft, da § 6 Abs. 4 Satz 1 BDSG wegen der vorrangig anzuwendenden Vorschriften des SächsDSG aF im Streitfall keine Anwendung finde. Die allein anzuwenden Vorschriften der DSGVO und des SächsDSG aF normierten keinen Abberufungs-, sondern lediglich einen Sanktionierungsschutz. Deren Voraussetzungen seien im Streitfall nicht erfüllt, da die Beklagte den Kläger nicht wegen der Art und Weise, wie er seine Aufgaben als Datenschutzbeauftragter wahrgenommen habe, abberufen habe.
14 b) Der Kläger greift diese Ausführungen ua. mit dem Argument an, Art. 38 Abs. 3 Satz 2 DSGVO lasse die Abberufung eines Datenschutzbeauftragten nur zu, wenn ein wichtiger Grund vorliege. Aus dem Schutz, den der Datenschutzbeauftragte gegen eine Sanktionierung wegen seiner Tätigkeit genieße, lasse sich im Umkehrschluss folgern, dass ein wichtiger Grund vorliegen müsse, um seine Abberufung zu rechtfertigen. Eine anderslautende Interpretation verbiete sich im Hinblick auf die in Art. 38 Abs. 3 Satz 1 DSGVO verbürgte Weisungsfreiheit, die für die institutionelle Überwachung von Datenschutzregelungen in öffentlichen Stellen wesentlich sei.
15 c) Dieses Vorbringen enthält eine ausreichende Auseinandersetzung mit den tragenden Gründen der angefochtenen Entscheidung. Der Kläger zeigt damit die wesentlichen Gründe der angefochtenen Entscheidung auf und legt dar, warum seiner Meinung nach anderes gelten soll. Mehr kann im Hinblick auf die aus dem Rechtsstaatsprinzip abzuleitende Rechtsschutzgarantie nicht gefordert werden.
16 II. Die Revision ist begründet. Der Senat kann auf Grundlage der Feststellungen des Landesarbeitsgerichts nicht abschließend beurteilen, ob die zulässige Klage auch begründet ist. Dies führt zur Aufhebung der angefochtenen Entscheidung und zur Zurückverweisung der Sache an das Berufungsgericht.
17 1. Die Klage ist zulässig. Der Kläger verlangt die Feststellung, dass seine Rechtsstellung als behördlicher Datenschutzbeauftragter der Beklagten nicht durch die „Abbestellung“ vom 15. August 2018 beendet worden ist und er über den 31. August 2018 hinaus behördlicher Datenschutzbeauftragter der Beklagten ist. Das Klagebegehren ist in einer allgemeinen Feststellungsklage gemäß § 256 Abs. 1 ZPO geltend zu machen (vgl. BAG 13. März 2007 – 9 AZR 612/05 – Rn. 15, BAGE 121, 369). Der Kläger hat ein rechtliches Interesse daran, dass alsbald gerichtlich festgestellt wird, ob er weiterhin Datenschutzbeauftragter bei der Beklagten ist.
18 2. Mit der Begründung des Landesarbeitsgerichts durfte die Berufung des Klägers gegen das klageabweisende Urteil des Arbeitsgerichts nicht zurückgewiesen werden. Die Annahme des Landesarbeitsgerichts, die streitgegenständliche Abberufung sei nicht am Maßstab des § 6 Abs. 4 Satz 1 BDSG iVm. § 626 Abs. 1 BGB, sondern allein an der landesgesetzlichen Vorschrift des § 11 Abs. 2 SächsDSG aF zu messen, hält einer revisionsrechtlichen Prüfung nicht stand. Die streitentscheidende Norm ist § 6 Abs. 4 Satz 1 BDSG. Die Bestimmungen des SächsDSG aF galten zum maßgeblichen Zeitpunkt der Abberufung des Klägers am 15. August 2018 nicht für die Beklagte, da diese nicht zu den in § 2 Abs. 1 und 2 SächsDSG aF enumerativ aufgezählten Behörden zählte.
19 a) Die Abberufung des Datenschutzbeauftragten, den öffentliche Stellen – wie die Beklagte – nach § 5 Abs. 1 Satz 1 BDSG zu benennen haben, ist gemäß § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig. Nach dieser Vorschrift ist eine Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist wirksam, wenn Tatsachen vorliegen, aufgrund deren dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann. Das BDSG gilt nach § 1 Abs. 1 Satz 1 Nr. 2 Buchst. a BDSG für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie Bundesrecht ausführen. Den Begriff „öffentliche Stellen der Länder“ definiert § 2 Abs. 2 BDSG als Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
20 b) Öffentliche Stellen der Länder sind – auch wenn sie Bundesrecht ausführen – von den Bestimmungen des BDSG ausgenommen, soweit der Datenschutz in den betreffenden Bundesländern durch landesdatenschutzrechtliche Bestimmungen geregelt ist (vgl. Gola/Reif in Gola/Heckmann 3. Aufl. BDSG § 1 Rn. 6). Das BDSG hat damit den Charakter eines „Auffanggesetzes“ (amtl. Begr. zu § 1 BDSG BT-Drs. 18/11325 S. 79), das nur subsidiär zur Anwendung kommt (vgl. Kühling/Buchner/Klar 3. Aufl. BDSG § 1 Rn. 9). Existiert landesspezifisches Datenschutzrecht, hat dieses Vorrang (vgl. Kühling/Buchner/Klar 3. Aufl. BDSG § 1 Rn. 9). In diesen Fällen gilt für Landesbehörden primär Landesrecht, dessen Ausgestaltung den einzelnen Bundesländern entsprechend ihren Gesetzgebungskompetenzen obliegt (vgl. Gusy/Eichenhofer in BeckOK DatenschutzR 44. Ed. BDSG § 1 Rn. 128).
21 aa) Das SächsDSG aF ist gemäß § 42 Satz 1 SächsDSG aF in der Fassung des Gesetzes zur Änderung des Sächsischen Datenschutzgesetzes vom 11. Mai 2019 (SächsGVBl. S. 358) mit Wirkung zum 31. Dezember 2020 außer Kraft getreten. Nach der vom 25. Mai 2018 bis zum 31. Mai 2019 geltenden Fassung sah § 2 Abs. 1 SächsDSG aF – nach Inkrafttreten des Gesetzes zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG vom 26. April 2018 (SächsGVBl. S. 198) – nur noch – drei Regelungsbereiche vor. Zum einen galt das SächsDSG aF für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, Gemeinden und Landkreise sowie sonstige der Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts, soweit diese innerhalb des Anwendungsbereichs nach Art. 2 Abs. 1 und 2 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4. Mai 2016 S. 89) tätig wurden (§ 2 Abs. 1 Satz 1 SächsDSG aF). Die in Bezug genommene Richtlinie (EU) 2016/680 gilt nach ihrem Art. 2 Abs. 1 – nur – für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Art. 1 Abs. 1 Richtlinie (EU) 2016/680 genannten Zwecken. Gemäß Art. 1 Abs. 1 Richtlinie (EU) 2016/680 dient die Richtlinie dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Zum anderen unterfielen den Bestimmungen des SächsDSG aF das Landesamt für Verfassungsschutz (§ 2 Abs. 1 Satz 1 SächsDSG aF) und der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung, sofern sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiteten (§ 2 Abs. 2 SächsDSG aF).
22 bb) Die Beklagte fällt nicht in den Anwendungsbereich des SächsDSG aF. Sie ist zwar nach den von den Parteien nicht angefochtenen Feststellungen des Landesarbeitsgerichts eine öffentliche Stelle des Freistaats Sachsen, die Bundesrecht ausführt und dabei personenbezogene Daten verarbeitet. Als Dienstleisterin für Kommunen gehört sie jedoch weder zu den Behörden, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung und ähnlichem tätig sind, noch zum Landesamt für Verfassungsschutz oder zum Landtag respektive dessen Verwaltung.
23 3. Die angefochtene Entscheidung erweist sich nicht aus anderen Gründen als richtig (§ 561 ZPO).
24 a) Die Rechtsstellung des Klägers als Datenschutzbeauftragter hat – wie das Landesarbeitsgericht zutreffend erkannt hat – nicht automatisch durch Inkrafttreten der DSGVO geendet. Weder die DSGVO, das BDSG noch das SächsDSG enthält eine Bestimmung, dass erfolgte Bestellungen zum Datenschutzbeauftragten durch die Novellierung des Datenschutzrechts ihre Gültigkeit verlieren. Hierfür bestand auch kein Grund, weil sich die Aufgaben des Datenschutzbeauftragten aus § 4g Abs. 1 Satz 4 BDSG in der bis zum 24. Mai 2018 gültigen Fassung und aus Art. 39 DSGVO im Wesentlichen decken. Dementsprechend geht auch der Sächsische Landesdatenschutzbeauftragte in seinen Handlungsempfehlungen nicht von einem gesetzlichen Automatismus aus, sondern regt eine Anpassung oder einen Widerruf der Bestellungen und damit ein aktives Handeln des Verantwortlichen an.
25 b) Die Abberufung des Klägers als Datenschutzbeauftragter ist nicht allein deshalb gerechtfertigt, weil die Beklagte den Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten gefolgt wäre. Nach § 40 Abs. 6 Satz 2 BDSG können die nach Landesrecht zuständigen Aufsichtsbehörden die Abberufung des Datenschutzbeauftragten verlangen, wenn dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Art. 38 Abs. 6 DSGVO ein schwerwiegender Interessenkonflikt vorliegt. Den Aufsichtsbehörden obliegt es jedoch gemäß § 40 Abs. 1 BDSG lediglich, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Als öffentliche Stelle unterliegt die Beklagte dieser Kontrolle nicht. Darüber hinaus lassen sich die „allgemeinen“ Handlungsempfehlungen auch nicht als ein speziell an die Beklagte gerichtetes Verlangen der Aufsichtsbehörde verstehen. Bei diesen handelt sich es nicht um eine auf unmittelbare Rechtswirkung nach außen gerichtete Einzelfallentscheidung, sondern um bloße Ratschläge zur Vorgehensweise bei Inkrafttreten der DSGVO.
26 4. Der Rechtsstreit ist nicht zur Endentscheidung reif (§ 563 Abs. 3 ZPO).
27 a) Die Klage ist nicht bereits deshalb begründet, weil die Beklagte das Arbeitsverhältnis des Klägers nicht teilweise gekündigt hat. Entgegen der Auffassung des Klägers bedurfte seine wirksame Abberufung als Datenschutzbeauftragter keiner Teilkündigung (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 30; 29. September 2010 – 10 AZR 588/09 – Rn. 16, BAGE 135, 327; anders noch 13. März 2007 – 9 AZR 612/05 – Rn. 29, BAGE 121, 369).
28 aa) Teilkündigungen, mit denen der Kündigende einzelne Vertragsbedingungen gegen den Willen der anderen Vertragspartei einseitig ändern will, sind grundsätzlich unzulässig. Sie stellen einen unzulässigen Eingriff in das ausgehandelte Äquivalenz- und Ordnungsgefüge des Vertrags dar. Nur ausnahmsweise können Teilkündigungen zulässig sein, wenn dem Vertragspartner das Recht eingeräumt wurde und kein zwingender Kündigungsschutz umgangen wird (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 27 mwN).
29 bb) Die Abberufung des Klägers erforderte keine Teilkündigung.
30 (1) Mit der Bestellung zum internen Beauftragten für den Datenschutz tritt die damit verbundene Tätigkeit für die Dauer des Amtes zur (bisher) vertraglich geschuldeten Leistung des Arbeitnehmers hinzu. Das BDSG regelt nicht, welches Rechtsverhältnis mit der Bestellung zum Datenschutzbeauftragten begründet werden soll. § 5 Abs. 1 Satz 1 BDSG regelt nur die einseitige Bestellung. Davon ist die vertragliche Grundlage zu trennen, nach der sich der Beauftragte für den Datenschutz schuldrechtlich verpflichtet, diese Aufgabe zu übernehmen (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 29; 13. März 2007 – 9 AZR 612/05 – Rn. 21, BAGE 121, 369; Gola in Gola/Heckmann BDSG 3. Aufl. § 5 Rn. 9).
31 (2) Die Übertragung des Amtes und der damit verbundenen Aufgaben bedarf einer Vereinbarung der Arbeitsvertragsparteien, dass die Wahrnehmung des Amtes und der damit verbundenen Tätigkeit Teil der vertraglich geschuldeten Leistung werden soll. Sie kann regelmäßig nicht durch Ausübung des Direktionsrechts erfolgen. Die Vereinbarung kann konkludent geschlossen werden, indem der Arbeitnehmer das angetragene Amt annimmt. Mit welchem konkreten Inhalt der Arbeitsvertrag geändert und angepasst wird, ist durch Auslegung der Vereinbarung nach §§ 133, 157 BGB zu ermitteln. Regelmäßig wird bei einer Bestellung einzelner Arbeitnehmer zu Datenschutzbeauftragten im bestehenden Arbeitsverhältnis der Arbeitsvertrag nach Maßgabe der gesetzlichen Bestimmungen um die mit diesem Amt verbundenen Aufgaben für die Zeitspanne der Amtsübertragung entsprechend geändert und angepasst erweitert. Wird die Bestellung nach § 6 Abs. 4 Satz 1 BDSG wirksam widerrufen, ist die Tätigkeit des Beauftragten für den Datenschutz nicht mehr Bestandteil der vertraglich geschuldeten Leistung. Es bedarf dann keiner Teilkündigung (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 30; 29. September 2010 – 10 AZR 588/09 – Rn. 15 f., BAGE 135, 327).
32 cc) Danach bedurfte die Abberufung des Klägers keiner Teilkündigung. Der als Anwenderberater tätige Kläger wurde mit Schreiben der Beklagten vom 27. Februar 2004 zum Datenschutzbeauftragten bestellt. Aus diesem Schreiben ergibt sich weder ein Angebot auf eine dauerhafte Übertragung der Aufgabe eines betrieblichen Datenschutzbeauftragten noch eine dauerhafte Änderung des Arbeitsvertrags. Dieses Angebot hat der Kläger mit seinem Einverständnis zur Bestellung als betrieblicher Datenschutzbeauftragter angenommen. Der Arbeitsvertrag ist demnach – lediglich – für die Dauer der Übertragung des Amts und der damit verbundenen Tätigkeit erweitert worden.
33 b) Auf der Grundlage der Feststellungen des Landesarbeitsgerichts kann der Senat nicht feststellen, ob die Beklagte den Kläger wirksam abberufen hat.
34 aa) Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung von § 626 BGB und damit aus wichtigem Grund zulässig. Diesen besonderen Schutz des betrieblichen Datenschutzbeauftragten vor Abberufungen steht Art. 38 Abs. 3 Satz 2 DSGVO, der nur ein Abberufungs- und Benachteiligungsverbot des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“ vorsieht, nicht entgegen.
35 (1) Der Gerichtshof der Europäischen Union hat mit Urteil vom 9. Februar 2023 (- C-560/21 – [KISA]) aufgrund des Vorlagebeschlusses des Senats vom 27. April 2021 (- 9 AZR 621/19 (A) -) entschieden, Art. 38 Abs. 3 Satz 2 DSGVO sei dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
36 (2) Durch die Regelung § 6 Abs. 4 Satz 1 BDSG wird die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
37 (a) Ziel des Art. 38 Abs. 3 Satz 2 DSGVO ist nach dem Erwägungsgrund 97 zur DSGVO, dass die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit „ausüben können sollten“ (EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 20; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 26 f.). Es soll im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 22; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 28). Dabei steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 25). Diese führen dann zu einer unzulässigen Beeinträchtigung der mit der DSGVO verfolgten Ziele, wenn ein strengerer nationaler Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 27; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35).
38 (b) Durch § 6 Abs. 4 Satz 1 BDSG werden die Ziele der DSGVO nicht beeinträchtigt. Die Abberufung – wie auch die Kündigung – des Datenschutzbeauftragten ist nach nationalem Recht zwar an besondere Anforderungen geknüpft, da jeweils die Schwelle des „wichtigen Grundes“ erreicht werden muss. Damit werden die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, erhöht, jedoch weder unmöglich noch unzumutbar erschwert. Insbesondere ist auch nach nationalem Recht nicht „jede“ Abberufung des Arbeitsverhältnisses eines Datenschutzbeauftragten, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (so ausdrücklich EuGH 9. Februar 2023 – C-560/21 – [KISA] Rn. 27; 22. Juni 2022 – C-534/20 – [Leistritz] Rn. 35), verboten. Die personen- oder verhaltensbedingten Gründe müssen nur die Erheblichkeitsschwelle des „wichtigen Grundes“ erreichen. Die grundsätzliche Möglichkeit eines Abberufungsverlangens durch die Aufsichtsbehörden der Länder nach § 40 Abs. 6 Satz 2 BDSG unterstreicht, dass Datenschutzbeauftragte, die ihre Aufgaben nicht im Einklang mit der DSGVO erfüllen, nach nationalem Recht nicht vor jedem Verlust ihrer Rechtsstellung geschützt werden (BAG 25. August 2022 – 2 AZR 225/20 – Rn. 17).
39 bb) Aufgrund der Verweisung in § 6 Abs. 4 Satz 1 BDSG muss für die Abberufung ein wichtiger Grund vorliegen, der es dem Verantwortlichen aufgrund von Tatsachen und unter Berücksichtigung der Gegebenheiten des Einzelfalls sowie unter Abwägung der Interessen beider Vertragspartner unzumutbar macht, die betreffende Person als betrieblichen Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen.
40 (1) Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter. Auch die wirksame Beendigung des zugrundeliegenden Arbeitsverhältnisses kann ein wichtiger Grund für den Widerruf der Bestellung eines internen Beauftragten für den Datenschutz sein (vgl. zu § 4f Abs. 3 Satz 4 BDSG aF BAG 23. März 2011 – 10 AZR 562/09 – Rn. 15 mwN).
41 (2) Ein die Abberufung rechtfertigender wichtiger Grund kann begründet sein, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit nicht (mehr) besitzt. Die Zuverlässigkeit eines Beauftragten für den Datenschutz kann in Frage stehen, wenn Interessenkonflikte drohen. Eine Überschneidung von Interessenssphären kann die vom BDSG geforderte Zuverlässigkeit beeinträchtigen (BAG 23. März 2011 – 10 AZR 562/09 – Rn. 24; 22. März 1994 – 1 ABR 51/93 – zu B IV der Gründe, BAGE 76, 184). Ein abberufungsrelevanter Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat (so zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 44, 46; zuvor bereits Art.-29-Datenschutzgruppe WP 243 rev. 01 S. 19). In einem solchen Fall ist die unabhängige Überwachung dieser Zwecke und Mittel durch den Datenschutzbeauftragten gefährdet, weil dieser seine in seiner weiteren Funktion vorgenommenen Handlungen und damit sich selbst kontrollieren müsste.
42 cc) Der Senat kann nicht abschließend beurteilen, ob die Abberufung mangels wichtigen Grundes nach § 6 Abs. 4 Satz 1 BDSG iVm. § 626 Abs. 1 BGB unwirksam ist. Das Landesarbeitsgericht hat – von seinem Rechtsstandpunkt aus konsequent – weder Feststellungen getroffen, die auf einen wichtigen Grund für die Abberufung des Klägers schließen lassen, noch die ihm als Tatsachengericht obliegende diesbezügliche Prüfung vorgenommen. Die bloße Benennung der Tätigkeit des Klägers als „Mitarbeiter im Fachbereich Veranlagung“ bzw. „Anwendungsberater“ ist hierfür nicht ausreichend. Auch der Umstand, dass der Kläger, der Finanzdaten von Bürgern unter Einhaltung datenschutzrechtlicher Vorschriften zu verarbeiten habe, als Datenschutzbeauftragter sich selbst insoweit zu kontrollieren habe, lässt für sich betrachtet noch nicht auf das Vorliegen eines wichtigen Grundes schließen.
43 5. Im fortgesetzten Berufungsverfahren wird das Landesarbeitsgericht erforderliche Tatsachenfeststellungen nachzuholen und die tatbestandlichen Voraussetzungen des § 626 Abs. 1 BGB zu prüfen haben.
44 a) Zunächst muss das Landesarbeitsgericht aufklären, welche genauen Tätigkeiten der Kläger ausübt und ob diese einen Interessenkonflikt mit dem Amt des Datenschutzbeauftragten begründen, der als wichtiger Grund eine Abberufung rechtfertigen kann. Dabei ist insbesondere festzustellen, ob der Kläger Zwecke und Mittel der Verarbeitung personenbezogener Daten bei der Beklagten festlegt. Außerdem wird es der Behauptung der Beklagten nachzugehen haben, dass dem Kläger die für die Tätigkeit als Datenschutzbeauftragter erforderliche fachliche Eignung fehlt. Den Parteien wird in diesem Zusammenhang rechtliches Gehör zu gewähren und Gelegenheit zu geben sein, ihren Sachvortrag zu ergänzen bzw. zu konkretisieren.
45 b) Sofern ein abberufungsrelevanter Interessenkonflikt besteht oder eine fehlende fachliche Eignung vorliegt, ist zu beachten, dass ein wichtiger Grund für eine Abberufung nur vorliegt, wenn kein milderes Mittel zur Verfügung steht. Als milderes Mittel gegenüber der Abberufung kann eine Umorganisation der sonstigen Aufgaben und Pflichten des Datenschutzbeauftragten in Betracht kommen. Dies entspricht der in Art. 38 Abs. 6 DSGVO zum Ausdruck kommenden Wertung. Diese Bestimmung sieht ausdrücklich vor, dass der Datenschutzbeauftragte mit der Wahrnehmung anderer Aufgaben und Pflichten als denen betraut werden kann, die ihm nach Art. 39 DSGVO als Datenschutzbeauftragter obliegen. Bei der Übertragung weiterer Tätigkeiten ist jedoch die funktionelle Unabhängigkeit des Datenschutzbeauftragten zu wahren, damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet wird. Der Verantwortliche oder sein Auftragsverarbeiter muss deshalb sicherstellen, dass diese anderen Aufgaben und Pflichten nicht zu einem „Interessenkonflikt“ führen. Der Datenschutzbeauftragte darf nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten. Dies hat zur Folge, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Denn dem Datenschutzbeauftragten obliegt gerade die unabhängige Überwachung dieser Zwecke und Mittel (vgl. EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden] Rn. 40 ff.). Deshalb ist der Verantwortliche – soweit es ihm kraft Direktionsrecht möglich und auch zumutbar ist – gehalten, vor der Abberufung des Datenschutzbeauftragten dessen sonstigen Aufgaben und Pflichten so zu anzupassen, dass dessen funktionelle Unabhängigkeit gewährleistet ist.
46 c) Ob die Beklagte mit der Abberufung des Klägers gegen das Verbot des Art. 38 Abs. 3 Satz 2 DSGVO verstoßen hat, dem zufolge der Datenschutzbeauftragte von dem Verantwortlichen nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf, kann im Ergebnis offenbleiben. Bei Vorliegen eines wichtigen Grundes iSv. § 6 Abs. 4 Satz 1 BDSG ist die Abberufung unabhängig von einer Verletzung des Verbots in Art. 38 Abs. 3 Satz 2 DSGVO wirksam. Läge dagegen kein wichtiger Grund für die Abberufung vor, wäre die Abberufung ohnehin unwirksam, sodass ein (zusätzlicher) Verstoß gegen Art. 38 Abs. 3 Satz 2 DSGVO bzw. § 6 Abs. 3 Satz 3 BDSG keine weitere Auswirkung haben könnte.
47 d) Das Landesarbeitsgericht hat auch über die Kosten des Revisionsverfahrens zu entscheiden.