2 Ca 982/21

1. Die Beklagte wird verurteilt, dem Kläger ein qualifiziertes Zeugnis zu erteilen. 2. Im Übrigen wird die Klage abgewiesen. 3. Die Kosten des Rechtsstreits werden zu 25 % der Beklagten und zu 75 % dem Kläger auferlegt. 4. Der Wert des Streitgegenstandes wird auf 45.683,88 EUR festgesetzt. T a t b e s t a n d Der Kläger, der zum Datenschutzbeauftragten bestellt wurde, macht die Rechtsunwirksamkeit einer arbeitgeberseitigen Kündigung geltend, ferner begehrt der Kläger ein Zeugnis. Die Beklagte ist eine Holdinggesellschaft innerhalb einer Unternehmensgruppe, zu der auch die A GmbH & Co. KG sowie die B Rhein-Main GmbH & Co. KG gehören. Die Haupttätigkeit dieser Gesellschaften besteht in der Konstruktion, der Vermietung und dem Vertrieb von C anlagen. Die beklagte Holding ist die Eigentümerin der Vermögensgegenstände der operativen Gesellschaften wie Gebäude, Fahrzeuge, Mietkessel. Sie ist für die vertrieblichen und kaufmännischen Aufgaben zuständig und führt eine zentrale Personalverwaltung für die operativ tätigen Gesellschaften durch. Der im Jahr 1967 geborene, geschiedene Kläger war auf Grundlage des schriftlichen Arbeitsvertrags vom 11.01.2020, der in Durchschrift zur Gerichtsakte gereicht wurde und auf den wegen der weiteren Einzelheiten Bezug genommen wird (Bl. 13-23 d.A.), seit dem 12.07.2021 bei der Beklagten als kaufmännischer Leiter beschäftigt. Einschließlich des geldwerten Vorteils für die Dienstwagennutzung betrug die Bruttomonatsvergütung 11.420,97 EUR. Ausweislich § 9 Nr. 1 des Arbeitsvertrags vereinbarten die Parteien eine sechsmonatige Probezeit, innerhalb derer das Arbeitsverhältnis mit einer Frist von 2 Wochen zum Monatsende gekündigt werden kann. Unter dem 05.08.2021 bestellte die Beklagte den Kläger zu ihrem betrieblichen Datenschutzbeauftragten. Gleichfalls wurde er zum Datenschutzbeauftragten für die A GmbH & Co. KG und die B Rhein-Main GmbH & Co. KG bestellt. Mit Schreiben vom 01.09.2021, das dem Kläger am 07.09.2021 zuging, wurde die Bestellung widerrufen. Die Beklagte kündigte mit Kündigungsschreiben vom 01.09.2021 (Bl. 25 d.A.) das Arbeitsverhältnis der Parteien in der Probezeit zum 30.09.2021. Die Kündigung begründete die Beklagte damit, der Kläger wäre mehrfach während der Arbeitszeit eingeschlafen. Mit vorliegender, unter dem 14.09.2021 bei dem Arbeitsgericht Bocholt eingegangener Klage verfolgt der Kläger sein Begehren nunmehr gerichtlich weiter. Der Kläger ist der Ansicht, die Kündigung sei unwirksam. Denn aus §§ 38, 6 IV BDSG ergebe sich ein Sonderkündigungsschutz. Die Benennung eines Datenschutzbeauftragten sei für die Beklagte verpflichtend gewesen. So sei der Kläger zuständig gewesen für die Erstellung der Lohnabrechnungen für die Mitarbeiter der Beklagten und auch der Tochterunternehmen. Im Rahmen eines Geschäftsbesorgungsvertrags stelle die Beklagte für die Tochterunternehmen Abrechnungen her und versende diese digital. Daraus ergebe sich, dass die Beklagte personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung i.S.d. § 38 I 2 BDSG verarbeite. Zudem sei die Bestellung verpflichtend gewesen gem. Art. 37 DS-GVO. Hiernach sei die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen bestehe, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich mache oder wenn die Kerntätigkeit in umfangreicher Verarbeitung von Daten nach Art 9, 10 bestehe. Insofern stelle die DSGVO darauf ab, wie kritisch die Datenverarbeitung sei und welche Auswirkungen sie haben könne. Wenn eine gewisse Kritikalität erreicht sei, müsse eine Bestellung erfolgen. Insofern gebe es keine starre Grenze, ab derer eine Bestellung verbindlich sei. Vielmehr sei dann, wenn die Unterstützung des Verantwortlichen bei Umsetzung und Einhaltung DS-GVO durch einen Datenschutzbeauftragten geboten sei, eine Bestellpflicht gegeben. Dies sei wiederum in der Regel der Fall, wenn die Kerntätigkeit im Bereich Datenverarbeitung liege und Daten kritisch seien. Mit der Kerntätigkeit sei die Haupttätigkeit des Unternehmens gemeint. Die Datenverarbeitung sei eine Haupttätigkeit, wenn sie eine wesentliche Aufgabe zur Erreichung Unternehmensziele darstelle, wenn also der primäre Geschäftszweck ohne Verarbeitung personenbezogener Daten nicht erreicht werden könne. Vorliegend sei die Datenverarbeitung Kerntätigkeit. Denn in der Unternehmensgruppe der Fa. D, bestehend aus der beklagten Holding sowie den Firmen A GmbH & Co. KG und die B Rhein-Main GmbH & Co. KG, die (unstreitig) vom selben Geschäftsführer geleitet würden, der (unstreitig) auch Gesellschafter der Firmen sei, würden mehr als 100 Arbeitnehmer beschäftigt. Ausweislich des Handelsregisterauszugs sei Geschäftsgegenstand der Beklagten die Beteiligung an und Verwaltung von anderen Gesellschaften. Daher sei der Hauptzweck und die Hauptaufgabe der Beklagten, sowohl für eigene Mitarbeiter, als auch für Mitarbeiter der Tochtergesellschaften, die Personalverwaltung zu übernehmen. Aufgrund des Umfangs der in diesem Zusammenhang zu erbringenden Tätigkeiten werde neben dem Kläger ein Personalleiter beschäftigt und eine Vielzahl weiterer Arbeitnehmer in der Personalabteilung, die personenbezogene Daten bearbeiten und hierbei auch sensible Daten wie Religionszugehörigkeit und Krankheitsdaten würden. Soweit die Beklagte vortrage, dass die Holding neben Personalverwaltung auch kaufmännische und vertriebliche Aufgaben wahrnehme, sei dies mit Blick auf eine Bestellungspflicht unerheblich. Denn auch diese Aufgaben im Vertrieb und im kaufmännischen Bereich seien im Kernbereich Datenermittlung und Datenspeicherung. So seien sämtliche Mitarbeiter des Vertriebes der Beklagten mit elektronischen Speichermedien ausgestattet. Sie seien verpflichtet Name, Anschriften, Telefonnummern der Kunden und der zuständigen Sachbearbeiter der potenziellen Kunden zu erfassen, zu speichern und zu verarbeiten. Daneben würden von den Vertriebsmitarbeitern regelmäßig auch nicht anonymisierte Daten zu Bonität, Umsätzen und persönlichen Verknüpfungen gespeichert. Gleiches gilt auch für Geburtsdaten einzelner Kunden bzw. deren geschäftsführenden Vertretern. Die Kerntätigkeit der Beklagten beziehe sich daher auf die Durchführung von Datenverarbeitungsvorgängen und die Daten seien mit erheblicher Kritikalität versehen. Damit sei verpflichtend ein Datenschutzbeauftragrer zu bestellen gewesen und der Kläger unterfalle dem Kündigungsschutz. Das führe auch nicht zu einer Jobgarantie für ungeeignete Mitarbeiter. Denn der Arbeitgeber habe es in der Hand, sowohl einen externen Datenschutzbeauftragten zu bestellen, als auch bei der Wahl eines internen Datenschutzbeauftragten möglicherweise auf langjährige, erprobte und aus Sicht des Arbeitgebers sichere Mitarbeiter, abzustellen. Sofern der Arbeitgeber – wie vorliegend – jedoch einen Mitarbeiter, der sich noch in der Probezeit befinde, zum Datenschutzbeauftragten bestelle, begebe er sich selbst in das dahingehende Risiko. Darüber hinaus sei eine Jobgarantie auch deswegen nicht gegeben, da lediglich der Ausspruch einer ordentlichen, nicht jedoch der eine außerordentlichen Kündigung ausgeschlossen sei. Der Kündigungsvorwurf unzutreffend. Abmahnungen gebe es – unstreitig – nicht. Der Kläger beantragt: 1. Es wird festgestellt, dass das Arbeitsverhältnis der Parteien durch die Kündigung der Beklagten vom 01.09.2021 nicht aufgelöst worden ist. 2. Die Beklagte wird verurteilt, dem Kläger ein qualifiziertes Zwischenzeugnis zu erteilen. Hilfsweise, für den Fall, dass der Feststellungsantrag zu 1. abgewiesen wird: Die Beklagte wird verurteilt, dem Kläger ein qualifiziertes Zeugnis zu erteilen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte ist der Ansicht, die Kündigung habe das Arbeitsverhältnis beendet. Der Kläger könne sich nicht auf den Sonderkündigungsschutz als Datenschutzbeauftragter berufen. Denn die Beklagte sei nicht verpflichtet gewesen, einen Datenschutzbeauftragten zu bestellen. Eine Bestellungspflicht ergebe sich nicht aus einer geschäftsmäßigen Datenübermittlung i.S.d. § 38 I 2 BDSG. Einerseits habe der Kläger die Abrechnungen noch nicht verantwortet, sondern der Personalleiter. Andererseits sei von dieser Vorschrift eine Übermittlung an Auskunfteien gemeint, nicht erfasst sei die Datenübermittlung innerhalb einer Unternehmensgruppe. Auch aus Art. 37 DSGVO ergebe sich keine Bestellungspflicht. Die Kerntätigkeit der Beklagten liege nicht in der Durchführung von Verarbeitungsvorgängen, die aufgrund Art, Umfang oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich mache. Die Datenverarbeitung zur Erstellung der Lohnabrechnung – sei es als Verantwortlicher oder Auftragsverarbeiter – erfolge nur zur ordnungsgemäßen Abwicklung der Arbeitsverhältnisse. Daher sei sie eine reine Verwaltungsaufgabe und keine Kerntätigkeit. Verwaltungsaufgaben, wie unternehmensinterne Personalverwaltung einschließlich Entlohnung, Führen eines Zeiterfassungssystems, Betrieb eines hausinternen IT-Systems etc. seien insoweit unbeachtlich. Die Bearbeitung der Löhne und Gehälter mache nur 2%-5% der Tätigkeit der Beklagten aus. Dies entspreche 1-1,5 Tagen im Monat. Die Durchführung der Lohnabrechnungen und Personalverwaltung als solches sei auch dann, wenn in allen Unternehmen mehr als 100 Mitarbeiter beschäftigt sein sollten, nicht die Haupttätigkeit der Beklagten. Deren Haupttätigkeit sei es, eine Risikosplittung zwischen der Beklagten als Eigentümerin der Vermögensgegenstände und den operativen Gesellschaften, umzusetzen. Auch wenn eine zentrale Personalverwaltung geführt werde, sei dies folglich nicht der Hauptzweck der Beklagten. Aus dem Handelsregister ergebe sich nichts anderes. Danach könne sich die Beklagte an anderen Unternehmen u. a. beteiligen und Beteiligungen verwalten. Daraus sei aber nicht zu schließen, dass Hauptzweck der Beklagten die Personalverwaltung von erworbenen Unternehmen oder deren Beteiligung sei. Zudem setze Art. 37 Abs. 1 b) DSGVO voraus, dass die die Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich mache. Mit dem Begriff „Überwachung“ sei mehr als eine schlichte Datenerhebung gemeint, denn der Begriff „Überwachung“ setze eine Beobachtung des Verhaltens voraus, um daraus Schlüsse zu ziehen. Von einer Überwachung in diesem Sinne könne bei Ausübung der Personalverwaltung ebenfalls nicht die Rede sein. Der Kläger könne sich auch nicht darauf stützen, dass angeblich etliche Tausende Kundenstammdaten einschließlich etwaiger Bonitätsbewertungen geführt würden. Denn die Kunden der Beklagten seien ausschließlich juristische Personen, die jedoch dem Schutz der DSGVO nicht unterfielen. Mit Privatkunden würden keine Geschäfte geschlossen. Abgesehen davon würden Vertriebsdaten nicht bei der Beklagten gespeichert, da der Vertrieb zum Geschäftsbereich der beiden anderen operativen Unternehmen der Gruppe gehört. Soweit der Kündigungsschutz des BDSG über denjenigen der DS-GVO hinausgehe, sei dies europarechtlich problematisch. Ob dies gegen europäisches Recht verstoße, sei Gegenstand von Vorlagen des BAG an den EuGH. Materiell laufe die Regelung im BDSG auf eine Jobgarantie für ungeeignete Mitarbeiter hinaus. Abgesehen davon habe der Beklagten sogar ein Grund zur außerordentlichen Kündigung zur Seite gestanden. Der Beklagten sei vielfach aufgefallen, dass der in Besprechungen der Kläger oft geistig abwesend gewesen sei bis hin zum Einnicken. Am 27.08.2021 gegen 15:00 Uhr habe der Geschäftsführer den Kläger schlafend an seinem Arbeitsplatz vorgefunden. Dies habe auch der Mitarbeiter F. gesehen. Dieser habe auch dann auch von einer mit 50 Minuten außergewöhnlich langen Toilettenpause des Klägers am Tag zuvor berichtet. Auch bei Besprechungen sei der Kläger eingeschlafen, so etwa am 05.08.2021. Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf den Inhalt der Verfahrensakte Bezug genommen. E n t s c h e i d u n g s g r ü n d e I. Die zulässige Klage ist hinsichtlich der Hauptanträge unbegründet und bezüglich des Hilfsantrags begründet. 1. Die innerhalb der materiellen Ausschlussfrist der §§ 4, 7 KSchG erhobene Kündigungsschutzklage ist unbegründet. a) Das Arbeitsverhältnis der Parteien ist durch die beklagtenseitige Kündigung von 01.09.2021 mit Ablauf des 30.09.2021 aufgelöst worden. b) Die Kündigung bedurfte zu ihrer Rechtswirksamkeit nicht der sozialen Rechtfertigung gem. § 1 KSchG, weil die für eine Anwendbarkeit des KSchG erforderliche Wartezeit von 6 Monaten bezogen auf das am 12.07.2021 begonnene Arbeitsverhältnis (unstreitig) nicht erfüllt ist. c) Die Kündigung erweist sich auch nicht aus anderen Gründen als rechtsunwirksam, da der insoweit darlegungs- und beweisbelastete Kläger keinen Unwirksamkeitsgrund dargetan hat. Die Kündigung ist insb. nicht nichtig gem. § 134 BGB wegen eines Verstoßes gegen §§ 38 II, 6 Abs. IV 2 BDSG. aa) Gem. § 6 IV 2 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, die den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Allerdings setzt dieser Kündigungsschutz nach § 38 II BDSG voraus, dass die Benennung eines Datenschutzbeauftragten verpflichtend war. bb) Bei dem sich bietenden Sachverhalt fehlt es an einer verpflichtenden Benennung, und zwar sowohl nach den Bestimmungen der DS-GVO, als auch nach den Bestimmungen des BDSG, so dass es auf die Frage, ob die Regelungen des BDSG europarechtswidrig sein könnten, in dem hier zu entscheidenden Fall nicht ankommt. Eine Benennungspflicht folgt vorliegend nicht aus § 38 I BDSG. cc) § 38 I BDSG sieht eine verpflichtende Benennung eines Datenschutzbeauftragten neben den in Art. 37 I b), c) der DS-GVO geregelten Fällen auch vor, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, wenn der Verantwortliche oder Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO unterliegen oder wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Dass hiernach die Voraussetzungen für eine Benennungspflicht vorliegen, hat Kläger nicht hinreichend dargetan. ee) Eine Benennung ist nach dem sich bietenden Sachverhalt nicht aufgrund der Bestimmungen in § 38 I 2 BDSG zwingend erforderlich. (1) Der Kläger hat nicht hinreichend dargetan, dass Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO unterliegen. Danach ist in Fällen, in denen eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, durch den Verantwortlichen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Dass bei der Beklagten derartige Datenverarbeitungen stattfinden, ergibt sich aus dem klägerischen Vorbringen nicht. Es ist insofern nicht erkennbar, dass Datenverarbeitungen mit einem hohen Risiko i.S.d. Art. 35 DS-GVO durchgeführt werden. Daraus, dass nach der Vorschrift ein hohes Risiko vorliegen muss, folgt, dass die mit der Verarbeitung verbundenen Risiken über die allgemeinen Gefahren, die mit Datenverarbeitungsvorgängen einhergehen, hinausgehen müssen (Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 13). Ein solches hohes Risiko kann sich aufgrund der Art, des Umfangs, der Umstände und aufgrund auch der Zwecke der Verarbeitung ergeben, weil auch die Ursache des Risikos nach dem 90. Erwägungsgrund zu berücksichtigen ist. Nach alledem ergibt es sich aus einer wertenden Betrachtung im Einzelfall, ob ein hohes Risiko vorliegt (Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 13). Als typische Risiken, die mit einer Verarbeitung personenbezogener Daten einhergehen, heben Erwägungsgründe 75 und 85 S. 1 exemplarisch einzelne Fallgestaltungen hervor: Die Diskriminierung von Personen, Identitätsdiebstahl oder -betrug, finanzielle Verluste, die unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Profilbildung mit Standortdaten sowie den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 35 Rn. 16) In Art. 35 III DS-GVO hat der europäische Gesetzgeber Regelbeispiele für ein hohes Risiko normiert, die einen Anhaltspunkt bei der Beurteilung, ob ein hohes Risiko gegeben ist, bilden (Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 14). Zudem hat gem. Art. 15 IV DS-GVO die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist zu erstellen den zu veröffentlichen, die ebenfalls als Richtschnur herangezogen werden kann. Die in Art. 35 III DS-GVO genannten Regelbeispiele setzen voraus, dass eine systematische und/oder umfangreiche bzw. umfassende Verarbeitung von Daten stattfindet. Daher sollen nur besonders eingriffsintensive Verarbeitungen eine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung begründen (Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 14). Für ein solches Verständnis spricht auch der 91. Erwägungsgrund der Richtlinie, nach dem die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung insbesondere für umfangreiche Verarbeitungsvorgänge gilt, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – bspw. aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen (so auch Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 14). Demgegenüber löst die bloße Verarbeitung besonders sensibler Daten (wie die Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 I oder die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10) bzw. schützenswerter Daten (wie etwa Bankdaten, Daten, die unter ein Amtsgeheimnis fallen, oder Daten, denen vertraglich ein besonderer Schutz eingeräumt ist) nur im Ausnahmefall die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung aus. Das ergibt sich aus dem Regelbeispiel des Art. 35 III b) DS-GVO, wonach eine Datenschutz-Folgenabschätzung nur vorzunehmen ist, wenn die Verarbeitung der besonders sensiblen Daten umfangreich ist. Art, Umfang, Umstände oder die Zwecke der Verarbeitung müssen also eine zusätzliche Risikoerhöhung begründen. Dies kann etwa der Fall sein, wenn die Gefahr des Missbrauchs besonders hoch ist (zutr. Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 16). Bei Anwendung dieser Maßstäbe ist bei dem sich bietenden Sachverhalt bei der Datenverarbeitung kein hohes Risiko i.S.d. Art. 35 DS-GVO ersichtlich. Denn es ist weder erkennbar, dass ein in Art. 35 III DS-GVO genanntes Regelbeispiel gegeben ist, noch liegt ein diesen Beispielen vergleichbarer Fall vor. Ersichtlich hat die Datenverarbeitung zum Zwecke der Personalverwaltung keine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen i.S.d. Art. 35 III a) DS-GVO zur Folge und auch keine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche gem. Art. 35 III c) DS-GVO. Auch ist nach dem unterbreiteten Sachverhalt nicht festzustellen, dass eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten i.S.d. Art. 9 I DS-GVO erfolgt. Zwar werden von der Beklagten zum Zwecke der Personalverwaltung auch besondere besonderer Kategorien von personenbezogenen Daten i.S.d. Art. 9 I DS-GVO verarbeitet. Hierbei handelt es sich u.a. um Daten zur Religionszugehörigkeit oder um Gesundheitsdaten mit Blick auf etwaige Schwerbehinderungen oder Arbeitsunfähigkeiten. Allerdings ist die Verarbeitung derartiger Daten allein nach Vorstehendem nicht ausreichend für eine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, sondern es muss hinsichtlich Art, Umfang, Umstände oder Zwecke der Verarbeitung ein erhöhtes Risiko bestehen. Ein solches hohes Risiko ist jedoch nicht erkennbar. Denn die Daten werden nur zum Zwecke der Durchführung der Arbeitsverhältnisse erhoben und verarbeitet. Diese Zweckbindung bestimmt auch den Umfang der Verarbeitung. Es findet insofern keine umfassende Verarbeitung von sensiblen Daten der Beschäftigten statt, sondern nur, soweit dies zur Erreichung des Vertragszwecks erforderlich ist. Mangels anderweitiger Anhaltspunkte hatte die Kammer davon auszugehen, dass sich mit Blick auf Arbeitsunfähigkeiten die verarbeiteten Gesundheitsdaten darauf beschränken, in welchem Zeitraum der Arbeitnehmer arbeitsunfähig erkrankt ist, damit die Entgeltfortzahlung richtig ermittelt werden kann. Denn Diagnosen sind auf den für den Arbeitgeber bestimmten Ausfertigungen der Arbeitsunfähigkeitsbescheinigungen nicht enthalten. Gleichfalls ist mangels anderweitiger Anhaltspunkte davon auszugehen, dass hinsichtlich etwaiger Schwerbehinderungen keine weitergehenden Diagnosen verarbeitet werden. Auch ist die Menge an Datensätzen nicht derartig umfangreich, dass aufgrund dessen eine Folgenabschätzung geboten wäre. In der Unternehmensgruppe werden nach dem Vorbringen des Klägers mehr als 100 Mitarbeiter beschäftigt. Insofern handelt es sich hier nach der Beschäftigtenzahl eher um eine mittelständische Unternehmung, wie sich auch aus der Staffelung des § 9 BetrVG ergibt, und nicht um einen großen Konzern. Insofern ist hier nicht erkennbar, dass eine derartig umfangreiche Menge an Datensätzen mit Beschäftigtendaten anfällt, dass sich hieraus ein so hohes Risiko ergibt, das eine Folgenabschätzung geboten erscheinen lässt. Ferner ist mangels Vorliegens anderweitiger Anhaltspunkte davon auszugehen, dass diese Daten nur den für die Personalverwaltung zuständigen Mitarbeitern und damit einem überschaubaren Kreis von Berechtigten zur Verfügung stehen. Daraus ergibt sich, dass die Missbrauchsgefahr jedenfalls nicht besonders hoch ist. Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung ergibt sich auch nicht aus einer Erhebung von Kundendaten, wie Bonitätsdaten. Diese Daten sind vom Anwendungsbereich der DS-GVO nicht erfasst. Denn die Beklagte hat unwidersprochen vorgetragen, keine natürlichen Personen als Kunden zu bedienen. Die DS-GVO gilt hingegen nur zum Schutze natürlicher Personen, Art. 1 DS-GVO. Eine Datenschutz-Folgenabschätzung ist vorliegend auch nicht mit Blick darauf geboten, dass einzelne Ansprechpartner in den Datensätzen der Kunden mit Name und Geburtsdatum vermerkt werden, da bei dem sich bietenden Sachverhalt weder eine systematische, noch eine umfangreiche Erhebung dieser Daten erkennbar ist. Auch liegt kein Fall vor, für den die Aufsichtsbehörde eine Datenschutz-Folgenabschätzung gem. Art. 15 IV DS-GVO vorschreibt oder ein vergleichbarer Fall. Diese sog. Positivliste (abrufbar unter https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf), die nach Art. 15 IV DS-GVO zu erstellen ist, enthält Verarbeitungstätigkeiten, die mit der hier gegebenen Datenverarbeitung zum Zwecke der Personalverwaltung nicht vergleichbar sind. Aus dieser Liste ergibt sich bei der Verarbeitung von Daten i.S.d. Art. 9, 10 DS-GVO u.a. die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, wenn diese anonymisiert werden zum Zwecke der Übermittlung an Dritte (Nr. 15) oder sofern die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen(Nr. 17). Dass dies der Fall wäre, ist vorliegend nicht ersichtlich. Dafür, dass vorliegend Datenverarbeitungen im Sinne der in den Nrn. 3, 4, 8 und 12 beschriebenen Verarbeitungstätigkeiten vorgenommen werden, die eine Datenschutz-Folgenabschätzung erfordern, finden sich keinerlei tatsächliche Anhaltspunkte. Gleiches gilt für die übrigen in der Liste aufgeführten Verarbeitungen. (2) Nach dem sich bietenden Sachverhalt liegt keine geschäftsmäßige Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung i.S.d. § 38 I 2 BDSG vor. Das gilt auch mit Blick darauf, dass die Beklagte aufgrund eines Geschäftsbesorgungsvertrags für die Tochterunternehmen die Abrechnungen erstellt und elektronisch zur Verfügung stellt. Denn jedenfalls erfolgt in diesem Zusammenhang die Datenverarbeitung nicht zum Zwecke der Übermittlung. Dies ergibt sich daraus, dass unter einer Übermittlung die Weitergabe an einen Dritten im Sinne des Art. 4 Nr. 10 DS-GVO zu verstehen ist (Paal/Pauly/Pauly, DS-GVO, BDSG, 3. Aufl. 2021, BDSG § 38 Rn. 14; Kühling/Buchner/Kühling/Sackmann, 3. Aufl. 2020, BDSG § 38 Rn. 14; Moos, in: BeckOK Datenschutzrecht, 37. Ed. 01.11.2019, BDSG, § 38 Rn. 16a). Nach dieser Begriffsbestimmung ist „Dritter“ u.a. eine natürliche oder juristische Person außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Insofern ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr .8 DS-GVO, also eine Person, die die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; nicht von der geschäftsmäßigen Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung i.S.d. § 38 I 2 BDSG erfasst (Moos, in: BeckOK Datenschutzrecht, 37. Ed. 01.11.2019, BDSG, § 38 Rn. 16a.). Vorliegend ist die Beklagte jedoch Auftragsverarbeiter für die Tochtergesellschaften, wenn sie für diese die Abrechnungen erstellt und damit gerade kein „Dritter“, an den die Übermittlung erfolgt. ff) Auch aus § 38 I 1 BDSG folgt in dem hier zu entscheidenden Fall bei dem sich bietenden Sachverhalt keine Rechtspflicht der Beklagten zur Benennung eines Datenschutzbeauftragten. (1) Auch der Kläger behauptet nicht, dass in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (2) Aus Art. 37 I b) DS-GVO ergibt sich ebenfalls keine verpflichtende Benennung. Hiernach ist die Benennung eines Datenschutzbeauftragten verpflichtend, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Diese Voraussetzungen liegen bei dem sich bietenden Sachverhalt nicht vor: (a) Es ist hierbei nicht ersichtlich, dass die Datenverarbeitung zu der Kerntätigkeit der Beklagten gehört. Nach Erwägungsgrund 97 bezieht sich eine Verarbeitung auf die Kerntätigkeit eines Verantwortlichen, wenn diese seine Haupttätigkeiten und nicht eine Nebentätigkeit betreffen. Insofern ist bei der Bestimmung der Kerntätigkeit auf den Geschäftsgegenstand des Unternehmens abzustellen [Moos, in: BeckOK Datenschutzrecht, 37. Ed. 01.11.2019 DS-GVO Art. 37 Rn. 18 unter Bezugnahme auf Kühling/Buchner/Bergt Rn. 19; Forgó/Helfrich/Schneider Betr. Datenschutz-HdB/Haag Kap. 2 Rn. 11; Ehmann/Selmayr/Heberlein Rn. 25; Klug ZD 2016, 315 (316); Niklas/Faas NZA 2017, 1091 (1092)]. Durch den Begriff der Kerntätigkeit werden die Geschäftsbereiche erfasst, die entscheidend für die Umsetzung der Unternehmensstrategie sind (Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 5). Die die Bestellpflicht auslösende Tätigkeit muss demnach den oder einen Hauptzweck der für die Datenverarbeitung verantwortlichen Stelle bilden (Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 5 unter Bezugnahme auf Jaspers/Reif RDV 2016, 61 [62]). Werden personenbezogene Daten nur als Nebentätigkeit verarbeitet, soll nach dem 97. Erwägungsgrund keine Kerntätigkeit vorliegen (Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 5 m.w.N.). Nicht zu den Kerntätigkeiten gehören rein routinemäßige Verwaltungsaufgaben [Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 5 unter Bezugnahme auf Jaspers/Reif RDV 2016, 61 (62); Dammann ZD 2016, 307 (308)]. Die Verarbeitung von Daten über eigene Mitarbeiter bildet demnach keine Kerntätigkeit i.S.d. Verordnung, weil die Personaldatenverarbeitung typischerweise nur ein Unterstützungsprozess ist und deshalb nicht die Haupttätigkeit eines Unternehmens ausmacht, sondern eine Nebentätigkeit darstellt (Moos, in: BeckOK Datenschutzrecht, 37. Ed. 01.11.2019 DS-GVO Art. 37 Rn. 18 ; Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 5 unter Bezugnahme auf Ehmann/Selmayr/Heberlein Rn. 26). Bei Anwendung dieser Grundsätze ist bei dem sich bietenden Sachverhalt nicht erkennbar, dass die Datenverarbeitung zu Kerntätigkeiten der Beklagten gehört. Das gilt auch mit Blick auf die Personalverwaltung. Nach Obigem ist die Personalverwaltung der Beklagten für eigene Beschäftigte von vornherein keine Haupttätigkeit, sondern eine unterstützende, routinemäßige Verwaltungsaufgabe. Auch mit Blick darauf, dass die Beklagte die Personalverwaltung für Tochtergesellschaften durchführt, ist in der hierfür erforderlichen Datenverarbeitung keine Kerntätigkeit zu sehen. Denn der Kläger hat insoweit nicht hinreichend dargetan, dass dies einen Hauptzweck der Beklagten darstellt. Anderes ergibt sich nicht aus den handelsregisterlichen Bekanntmachungen. Zwar ist dort geregelt, dass sich die Beklagte Unternehmungen erwerben und sich an solchen beteiligten kann und dass sie erworbene Unternehmen oder Beteiligung auch verwalten kann. Aber daneben ist als Geschäftsgegenstand der Beklagten der C- und Brennerservice, der Handel mit C und Zubehör sowie Brennern und Ersatzteilen benannt. Hieraus wird folglich nicht ersichtlich, dass –wie bei Personaldienstleistern – die Personalverwaltung die Haupttätigkeit bzw. der Hauptzweck der Beklagten ist. Auch aus dem Vorbringen der Parteien ergibt sich nicht, dass die Personalverwaltung eine Haupttätigkeit der Beklagten ist. So hat die Beklagte unwidersprochen vorgetragen, sie sei aus Gründen der Risikotrennung Eigentümerin der Vermögensgegenstände, mit denen die operativen Tochtergesellschaften arbeiten. Daneben hat sie dargelegt, dass nicht nur personalverwaltende Tätigkeiten von der Beklagten wahrgenommen werden, sondern alle in der Gruppe anfallenden vertrieblichen und kaufmännischen Angelegenheiten. Auch dieses Vorbringen ist unstreitig. Bereits vor diesem Hintergrund ist festzuhalten, dass die Aufgaben der Beklagten umfassender und mehrschichtiger sind als reine Tätigkeiten im Zusammenhang mit der Personalverwaltung, so dass bereits mit Blick hierauf nicht ersichtlich ist, dass die Personalverwaltung eine Kernaufgabe der Beklagten wäre, also eine Aufgabe, die entscheidend für die Umsetzung der Unternehmensstrategie ist. Darüber hinaus hat die Beklagte vorgetragen, dass die Bearbeitung von Lohnen und Gehältern nur 2%-5% der Gesamttätigkeit der Beklagten ausmachen und dass die Erstellung der Abrechnungen 1-1,5 Tage in Anspruch nimmt. Auch dieser Umfang verdeutlicht, dass die Personalverwaltung keinen Hauptzweck der Beklagten darstellt. Soweit der Kläger diese Angaben lediglich einfach bestritten hat, kann er hiermit nicht gehört werden. Denn es hätte dem Kläger, der sich auf den Sonderkündigungsschutz beruft, oblegen, darzutun, dass es sich bei der Personalverwaltung um Kerntätigkeiten der Beklagten handelt. Dieser Vortragslast wird jedoch das Bestreiten des beklagtenseitigen Vortrags nicht gerecht. Auch der Umstand, dass die im Vertrieb beschäftigten Mitarbeiter mit elektronischen Speichermedien arbeiten und dort Kundendaten hinterlegen, lässt die Verarbeitung von Daten nicht zur Kerntätigkeit der Beklagten werden. Dies erhellt sich bereits vor dem Hintergrund, dass die Kunden der Unternehmen keine Privatkunden sind, sondern jursistische Personen, deren Daten nicht dem Schutz der DS-GVO unterfallen. Daraus auch persönliche Daten von einzelnen Ansprechpartnern von Kunden erfasst werden, folgt ebenfalls nicht, dass dies eine Haupttätigkeit der Beklagten ist, die entscheidend für die Umsetzung der Unternehmensstrategie ist. (b) Abgesehen davon macht die Datenverarbeitung auch keine umfangreiche und regelmäßige systematische Überwachung von betroffenen Personen erforderlich. Es ist bereits keine Überwachung gegeben. Der Begriff „Überwachung“ ist im Sinne des in Art. 3 II a) benannten Begriffs „Beobachten“ zu verstehen (Heberlein, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 37 Rn. 23; Moos, in: BeckOK Datenschutzrecht, 37. Ed. 01.11.2019 DS-GVO Art. 37 Rn.28). Hierunter sollen nach dem 24. Erwägungsgrund insbesondere Handlungen fallen, die die Internetaktivitäten der betroffenen Person nachvollziehen lässt einschließlich der Profilbildung als Grundlage für Entscheidungen und die Analyse oder Vorhersage von Vorlieben oder Verhaltensweisen. Solche Tätigkeiten werden typischerweise bei Auskunfteien, Detekteien und Bewachungsunternehmen erfolgen (Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Auflage 2022, DS-GVO, Art. 37 Rn. 6) Insofern ist Überwachen mehr als das bloße Erheben und Verwenden von erhobenen Daten. Dafür, dass eine solche Überwachung erforderlich wäre, findet sich kein tatsächlicher Anhaltspunkt. (3) Schließlich ergibt sich vorliegend auch aus Art. 37 I c) DS-GVO keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Dies wäre nur der Fall, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Nach Obigem ist die Verarbeitung von Daten im Sinne des Art. 9 nicht Kerntätigkeit der Beklagten. Denn diese Daten werden nur zur Personalverwaltung erhoben, soweit dies für die Durchführung der Arbeitsverhältnisse erforderlich ist. Damit ist erst Recht die Verarbeitung von Daten i.S.d. Art. 9 nicht Kerntätigkeit. Bezogen auf die eigenen Mitarbeiter der Beklagten dient die Verarbeitung demnach nur Nebenzwecken. Mit Blick auf die Personalverwaltung von in Tochterunternehmen beschäftigten Personen ist die Datenverarbeitung der sensiblen Daten nicht Hauptzweck der Beklagten. Insofern gelten die obigen Ausführungen[siehe unter I.1. c) ff) (2) (a) der Entscheidungsründe] sinngemäß auch hier, so dass auf sie Bezug genommen wird. d) Sonstige Gründe, die zur Unwirksamkeit der Kündigung führen, sind von dem Kläger weder dargetan noch für die Kammer ersichtlich. 2. Der Klageantrag zu 2) ist unbegründet. Der Kläger hat keinen Anspruch auf Erteilung eines qualifizierten Zwischenzeugnisses. Weil das Arbeitsverhältnis durch die Kündigung vom 01.09.2021 mit Ablauf des 30.09.2021 aufgelöst ist, kann der Kläger nicht die Erteilung eines Zwischenzeugnisses verlangen. Denn hierfür wäre u.a. Voraussetzung, dass zwischen den Parteien ein Arbeitsverhältnis besteht. 3. Der Hilfsantrag auf Erteilung eines qualifizierten Zeugnisses ist begründet. Da die Kündigungsschutzklage der Abweisung unterlag, ist der Hilfsantrag auf Erteilung eines qualifizierten Endzeugnisses zur Entscheidung angefallen. Der Anspruch auf Erteilung eines qualifizierten Zeugnisses folgt aus § 109 GewO. Nach § 109 S. 1 GewO hat der Arbeitnehmer bei Beendigung eines Arbeitsverhältnisses Anspruch auf ein schriftliches Zeugnis. Da das Arbeitsverhältnis durch die Kündigung beendet ist, kann der Kläger folglich die Erteilung eines Arbeitszeugnisses beanspruchen. Hierbei hat er ein Wahlrecht, ob er ein einfaches Zeugnis gem. § 109 S. 2 GewO oder ein qualifiziertes Zeugnis gem. § 109 S. 3 GewO begehrt. Dieses Wahlrecht hat der Kläger ausgeübt und ein qualifiziertes Zeugnis verlangt. Einwendungen gegen diesen Anspruch sind von der Beklagten weder dargetan noch ansonsten ersichtlich. II. Die Kostenentscheidung findet ihre Grundlage in § 46 II ArbGG, § 92 I ZPO. III. Der gem. § 61 I ArbGG im Urteil festzusetzende Wert des Streitgegenstands gründet sich auf § 46 II ArbGG, §§ 3 ff. ZPO. Die Kammer hat unter Berücksichtigung des Streitwertkatalogs für die Arbeitsgerichtsbarkeit für den Bestandsschutzantrag drei Bruttomonatsentgelte berücksichtigt und den Antrag auf Erteilung eines Zeugnisses ein weiteres Bruttomonatsentgelt. Dass im vorliegenden Verfahren sowohl ein Zwischen- als auch ein Endzeugnis geltend gemacht worden und hierüber eine Entscheidung ergangen ist, führt nicht zu einer Werterhöhung (s. Nr. I, 29.3 des Streitwertkatalogs). RECHTSMITTELBELEHRUNG Gegen dieses Urteil kann von jeder Partei Berufung eingelegt werden. Die Berufung muss innerhalb einer Notfrist* von einem Monat schriftlich oder in elektronischer Form beim Landesarbeitsgericht Hamm Marker Allee 94 59071 Hamm Fax: 02381 891-283 eingegangen sein. Für Rechtsanwälte, Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihr zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse besteht ab dem 01.01.2022 gem. §§ 46g Satz 1, 64 Abs. 7 ArbGG grundsätzlich die Pflicht, die Berufung ausschließlich als elektronisches Dokument einzureichen. Gleiches gilt für vertretungsberechtigte Personen, für die ein sicherer Übermittlungsweg nach § 46c Abs. 4 Nr. 2 ArbGG zur Verfügung steht. Die elektronische Form wird durch ein elektronisches Dokument gewahrt. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet und mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 46c ArbGG nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) v. 24. November 2017 in der jeweils geltenden Fassung eingereicht werden. Nähere Hinweise zum elektronischen Rechtsverkehr finden Sie auf der Internetseite www.justiz.de. Die Notfrist beginnt mit der Zustellung des in vollständiger Form abgefassten Urteils, spätestens mit Ablauf von fünf Monaten nach dessen Verkündung. Die Berufungsschrift muss von einem Bevollmächtigten unterzeichnet sein. Als Bevollmächtigte sind nur zugelassen: 1. Rechtsanwälte, 2. Gewerkschaften und Vereinigungen von Arbeitgebern sowie Zusammenschlüsse solcher Verbände für ihre Mitglieder oder für andere Verbände oder Zusammenschlüsse mit vergleichbarer Ausrichtung und deren Mitglieder, 3. juristische Personen, deren Anteile sämtlich im wirtschaftlichen Eigentum einer der in Nr. 2 bezeichneten Organisationen stehen, wenn die juristische Person ausschließlich die Rechtsberatung und Prozessvertretung dieser Organisation und ihrer Mitglieder oder anderer Verbände oder Zusammenschlüsse mit vergleichbarer Ausrichtung und deren Mitglieder entsprechend deren Satzung durchführt, und wenn die Organisation für die Tätigkeit der Bevollmächtigten haftet. Eine Partei, die als Bevollmächtigte zugelassen ist, kann sich selbst vertreten. * Eine Notfrist ist unabänderlich und kann nicht verlängert werden.