EuGH zur DSGVO-Haftung und Kündigungsschutzprozess: Was bedeutet die heutige Entscheidung für die dortige Arbeitgeber-Vertretung?
Im Rahmen anwaltlicher Beratung ist es ja durchaus hilfreich, Risiken möglichst vorab in den Blick zu nehmen, um nicht später überrascht in hektische Betriebsamkeit verfallen zu müssen...Als parallel zum Inkrafttreten der DSGVO offensichtlich auch das "Sachvortragsverwertungsverbot" beim 2. Senat etwas verstärkter in den Blick geriet, hatte ich 2018 in einem Beitrag für den ArbRB "Arbeitgeberseitige Risiken im Kündigungsschutzprozess nach Inkrafttreten der DSGVO" etwas vertiefter in den Blick genommen.
Die damalige Kernaussage lautete, einstweilen vorsorglich auch eine datenschutzrechtliche Vorabprüfung etwaigen Sachvortrags vorzunehmen, um vor allem spätere Weiterungen jenseits des eigentlichen Kündigungsschutzprozesses zu vermeiden. Und um so dann dort -nach bewusster Risikoabwägung- vorzutragen oder ggf. auch nicht vorzutragen.
Zum damaligen Zeitpunkt war allerdings noch vollkommen offen, in welchem Umfang die verfahrensrechtlichen Prozessgrundrechte hier ggf. ein zulässiges Korrektiv für die Zulässigkeit des arbeitgeberseitigen Sachvortrags bilden. Auch dies war daher dort -damals noch über Art 103 GG und noch nicht wie jüngst vom 2. Senat über Art 47 GrCh- in den Blick genommen worden.
Den damaligen Rat kann man aus meiner Sicht nach dem heutigen Urteil des EuGH (C-807/21 vom 5.12.2023) 5 Jahre später nur noch einmal wiederholen.
Dazu hier in aller Kürze auf die Schnelle zwei berechtigte Frage mit zwei hoffentlich zufrieden stellenden Antworten:
1. Warum?
Der EuGH schreibt im Hinblick auf die Verantwortlichkeit eines Unternehmens unter Rz. 43, 44, 51 ausdrücklich:
[Hervorhebung im Folgenden durch den Verfasser]
[...]
Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
In Bezug auf juristische Personen bedeutet dies zum einen, wie der Generalanwalt in den Nrn. 57 bis 59 seiner Schlussanträge im Wesentlichen festgestellt hat, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt.
[...]
Es liefe diesem Zweck der DSGVO jedoch zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist.
[...]
Es wird sich daher künftig nur sehr schwer argumentieren lassen, dass hierunter nicht auch der Vortrag in einem Kündigungsschutzprozess fällt. Auf wen auch immer er zurückgehen mag.
2. Steht dem aber nicht zwingend die jüngste Rechtsprechung des 2. Senats des BAG ("Datenschutz ist kein Tatenschutz") entgegen, insbesondere die jüngste Entscheidung vom 29.06.2023 (2 AZR 296/22)?
Wer die Entscheidung bereits damals aufmerksam gelesen hat, wird sich als Arbeitgebervertreter auf die durchaus plakative Kernbotschaft der Entscheidung allein nicht verlassen haben. Denn dort hieß es ausdrücklich unter Rz. 28:
[Hervorhebung im Folgenden durch den Verfasser]
[...]
Da die Vorschrift andernfalls leerliefe und Art. 47 Abs. 2 GRC das Recht auf effektiven gerichtlichen Rechtsschutz und insbesondere auf ein faires Verfahren verbürgt, wonach die Parteien eines Zivilprozesses grds. in der Lage sein müssen, ihr Rechtschutzziel hinreichend zu begründen und unter Beweis zu stellen (vgl. EuGH 2. März 2023 – C-268/21 – [Norra Stockholm Bygg] Rn. 53), könnte sich die gerichtliche Verarbeitung von rechtswidrig durch den Arbeitgeber erhobenen personenbezogenen Daten des klagenden Arbeitnehmers jedenfalls nur als unangemessen (unverhältnismäßig im engeren Sinn) darstellen, wenn sich die Überwachungsmaßnahme nach Unionsrecht als schwerwiegende Verletzung von Art. 7 und Art. 8 GRC erwiese und andere mögliche Sanktionen für den Arbeitgeber (zB Schadenersatz nach Art. 82 DSGVO und Verhängung von Geldbußen nach Art. 83 DSGVO) gänzlich unzureichend wären.
[...]
Angesichts dieser Aussage sind 2 Aspekte in den Blick zu nehmen:
a. Zulässiger Sachvortrag im Kündigungsschutzprozess und eine ggf. damit verbundene Geldbuße schließen einander damit auch nach der Rechtsprechung des 2. Senat nicht aus.
b. Da über die Rechtmäßigkeit eines Bußgelds das Amtsgericht, ab EUR 100.000 das Landgericht entscheidet, ist eine "Kohärenz" mit den arbeitsrechtlichen Wertungen hinsichtlich einer Beendigung auch bereits unabhängig davon nicht zwingend.
Fazit:
Jeder, der ein solches Verfahren auf Arbeitgeberseite führt, ist daher -spätestens seit heute- gut beraten, auf ein solches Risiko proaktiv hinzuweisen, es gemeinsam mit dem Mandanten -auch mit Blick auf Art 47 GRC und damit letztlich auch "pro Vortrag" - in den Blick zu nehmen, zu bewerten und auf dieser Grundlage dann gemeinsam eine risikobewusste Entscheidung zu treffen. Das erspart spätere Diskussionen oder gar Vorwürfe.