Die seit dem 25.5.2000 geltende EU-Datenschutzgrundverordnung hat auch grundsätzliche Bedeutung für Franchise-Systeme (vgl. insoweit Flohr ZAP F. 6, S. 589, 591 f.). Mittlerweile sind zahlreiche Einzelfragen, die auch für Franchise-Systeme von Bedeutung sind, durch die Rechtsprechung entschieden worden, insb. zur Höhe der festzusetzenden Geldbuße bei Verstößen gegen die EU-DSGVO.
1. Abberufung eines Datenschutzbeauftragten
Auch Franchise-Systeme müssen einen Datenschutzbeauftragten gem. § 4f I 5 BDSG bestellen; zum Teil gilt dies auch für Franchise-Nehmer, soweit diese mehr als zehn Mitarbeiter beschäftigen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zu diesen Personen zählen nicht nur Mitarbeiter, sondern auch Auszubildende, Teilzeitkräfte oder freie Mitarbeiter (s. dazu: Kühling/Seidel/Siviridis, Datenschutzrecht, S. 223 ff.). Insofern ist es auch für Franchise-Systeme von Bedeutung, unter welchen Voraussetzungen ggf. ein Datenschutzbeauftragter abberufen werden kann. Mit dieser Frage hat sich der BAG in seinen Beschlüssen v. 27.4.2021 (9 AZR 383/19 – A; 9 AZR 621/19 – A) befasst.
Das BAG möchte diese Fragen vom EuGH geklärt haben und hat demgemäß dem EuGH ein Vorab-Entscheidungsersuchen zugeleitet. Insbesondere geht es den Richtern des 9. Senat des BAG um die Frage, ob die strengen Anforderungen, die das deutsche Bundesdatenschutzgesetz an die Abberufung eines betrieblichen Datenschutzbeauftragten stellt, im Einklang mit der EU-DSGVO stehen.
Den Vorlagebeschlüssen des 9. Senats des BAG liegt folgender Sachverhalt zugrunde: Der Kläger ist bei der Beklagten Betriebsratsvorsitzender und wurde 2015 zusätzlich zum betrieblichen Datenschutzbeauftragten und – parallel dazu – für drei weitere Konzernunternehmen bestellt. Mit Schreiben aus Mai 2018 wurde der Kläger als Datenschutzbeauftragter abberufen, wobei der Kläger mit der Klage geltend machte, dass wegen seiner Bestellung zum Betriebsratsvorsitzenden auch seine Rechtsstellung als Datenschutzbeauftragter fortbestehe. Das Unternehmen vertrat hingegen die Ansicht, es drohen Interessenkonflikte, wenn der Kläger zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei; dies führe zu einer Unvereinbarkeit beider Ämter.
Das BAG sah sich nun vor das Problem gestellt, dass nach deutschem Recht (§ 38 II i.V.m. § 6 IV 1 BDSG) ein „wichtiger Grund” i.S.v. § 626 BGB für die Abberufung notwendig ist, während dies nach europäischem Recht (Art. 28 III 2 EU-DSGVO) nicht erforderlich ist. Hier ist die Abberufung eines Datenschutzbeauftragten lediglich untersagt, wenn diese wegen der Aufgabenerfüllung des Datenschutzbeauftragten erfolgt. Im konkreten Fall sah das BAG die Voraussetzungen des § 626 BGB als nicht erfüllt an. Insofern ist dem EuGH nun die Frage vorgelegt worden, ob die einzelnen Mitgliedsstaaten für eine Abberufung von Datenschutzbeauftragten strengere Voraussetzungen aufstellen dürfen, als dies nach der EU-DSGVO der Fall ist.
Hier gilt es also die weitere Entwicklung, insb. den Beschluss des EuGH abzuwarten. Dann wird feststehen, ob auf die Abberufung eines Datenschutzbeauftragten lediglich die Vorschriften der EU-DSGVO Anwendung finden oder aber die Regelungen des BDSG als strengere „leges speciales” dem Europäischen Recht vorgehen.
2. Auskunfts- und Entschädigungsanspruch bei Verletzung datenschutzrechtlicher geschützter Daten
Arbeitnehmer können von ihrem Arbeitgeber und demgemäß auch Franchise-Nehmer vom Franchise-Geber über sämtliche gespeicherten Informationen Auskunft verlangen – inkl. der Übermittlung entsprechender Kopien. Das BAG hat mit seinem Urt. v. 27.4.2021 (2 AZR 342/20) nunmehr die Reichweite dieses Anspruches festgelegt; insb. dann, wenn bei Verletzung der datenschutzrechtlichen Daten Entschädigungsansprüche diskutiert wurden.
a) Voraussetzungen eines Entschädigungsanspruchs
Die Voraussetzungen für einen solchen Entschädigungsanspruch sind schnell gegeben: Gemäß Art. 15 III 1 EU-DSGVO besteht ein Anspruch desjenigen, über den personenbezogene Daten gespeichert worden sind, dass ihm die entsprechenden Daten einschließlich einer Kopie der verarbeiteten Daten bekannt bzw. zur Verfügung gestellt werden. All diese Daten sind unverzüglich, d.h. auf jeden Fall innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Gemäß Art. 12 III 1 f EU-DSGVO ist eine Verlängerung dieser Frist max. auf insgesamt drei Monate möglich, wenn es sich um ein komplexes Auskunftsbegehren handelt. Wird der Anspruch dann innerhalb der Frist nicht erfüllt oder nicht rechtzeitig bearbeitet, so stellt dies einen Datenschutzverstoß dar und kann zu einer Entschädigungsverpflichtung führen.
Die Arbeitsgerichte haben bislang sehr strenge Maßstäbe angelegt und wiederholt in der Vergangenheit bei einer fehlerhaften oder unzureichenden Bearbeitung dieses Auskunftsanspruchs vierstellige Schadensersatzansprüche ausgeurteilt (z.B. Urteil des ArbG Düsseldorf vom 5.3.2020 – 9 Ca 6557/18: 5.000 EUR).
Dem vom BAG zur Entscheidung anstehenden Fall liegt der eines in der Probezeit gekündigten Mitarbeiters zugrunde. Dieser hatte sich gegen seine Kündigung unter Berufung auf seine Stellung als Datenschutzbeauftragter mit dar...