3 Sa 203/21

Leitsatz: 1. Eine Kündigung des Datenschutzbeauftragten verstößt nicht gegen den Sonderkündigungsschutz nach § 6 Abs 4 BDSG 2018 i.V.m. § 38 Abs 2 BDSG 2018, wenn keine Verpflichtung zur Bestellung eines solchen besteht.(Rn.50) 2. Die Benennung eines Datenschutzbeauftragten nach § 38 Abs 1 BDSG 2018 ist nicht verpflichtend, wenn der Arbeitgeber keine Verarbeitung personenbezogener Daten derart vornimmt, dass diese einer Datenschutz-Folgenabschätzung nach Art 35 EUV 2016/679 unterzogen werden muss(Rn.58) , sein Geschäftszweck nicht im Bereich Markt- und Meinungsforschung liegt(Rn.65) und die Mindestanzahl von 20 Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, nicht gegeben ist.(Rn.56) 3. Zu den Anforderungen an eine Pflicht zur Benennung eines Datenschutzbeauftragten nach Art 37 EUV 2016/679.(Rn.66) 4. Zur Wirksamkeit einer krankheitsbedingten Kündigung, welche vorliegend weder gegen § 612a BGB noch gegen Treu und Glauben nach § 242 BGB verstößt.(Rn.87) 1. Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Koblenz vom 05.05.2021 - 12 Ca 3829/20 - wird auf seine Kosten zurückgewiesen. 2. Die Revision wird nicht zugelassen. I. Das Rechtsmittel der Berufung ist nach §§ 64 Abs. 1, 2 ArbGG statthaft. Die Berufung ist auch gem. §§ 64 Abs. 6, 66 Abs. 1 ArbGG in Verbindung mit §§ 518, 519 ZPO form- und fristgerecht eingelegt und begründet worden. II. Das Rechtsmittel der Berufung hat jedoch in der Sache keinen Erfolg. Denn das Arbeitsgericht ist sowohl im Ergebnis als auch in der Begründung zu Recht davon ausgegangen, dass sich die Klage des Klägers hinsichtlich des Antrags zu 2 als unzulässig und hinsichtlich des Antrags zu 1 als unbegründet erweist. Vor diesem Hintergrund ist die Berufung des Klägers voll umfänglich unbegründet und daher zurückzuweisen. Der Klageantrag zu 2 ist unzulässig; insoweit wird zur Begründung auf die zutreffenden Ausführungen des Arbeitsgerichts in der streitbefangenen Entscheidung (S. 6, 7 = Bl. 101 d.A.) Bezug genommen. Da sich das Vorbringen des Klägers im Berufungsverfahren dazu nicht verhält, sind weitere Ausführungen nicht veranlasst. Die vom Kläger mit dem Antrag zu 1 erhobene Kündigungsschutzklage ist unbegründet. Denn der Kläger kann nicht die begehrte Feststellung verlangen, dass das zwischen den Parteien bestehende Arbeitsverhältnis durch die ordentliche Kündigung der Beklagten vom 06.11.2020 nicht aufgelöst worden ist. Denn die Kündigung hat das Arbeitsverhältnis zum 31.12.2020 wirksam beendet. Die Kündigung ist nicht sozialwidrig i.S.v. § 1 Abs. 2 KSchG, denn die Vorschriften des 1. Abschnitts des Kündigungsschutzgesetzes finden auf das Arbeitsverhältnis zwischen den Parteien nach § 23 Abs. 1 KSchG keine Anwendung, da die Beklagte nicht mehr als 10 Arbeitnehmer zum Zeitpunkt des Ausspruchs der Kündigung beschäftigt. Da der Kläger auch diese Beurteilung durch das Arbeitsgericht im Berufungsverfahren nicht in Zweifel zieht, sind weitere Ausführungen nicht veranlasst. Des Weiteren verstößt die streitgegenständliche ordentliche Kündigung der Beklagten nicht gegen § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG. Das Arbeitsgericht hat insoweit ausgeführt (Bl. 101 ff. d.A.): " Es kann offenbleiben, ob die Beklagte den Kläger zum (stellvertretenden) betrieblichen Datenschutzbeauftragten bestellt hat, denn jedenfalls war sie hierzu gesetzlich nicht verpflichtet, so dass der Sonderkündigungsschutz zugunsten des Klägers nach § 6 Abs. 4 BDSG nicht greift, § 38 Abs. 2 BDSG. Die ordentliche Kündigung ist daher nicht unzulässig. Die Gewährung des besonderen Kündigungsschutzes erfasst nur jene Datenschutzbeauftragte, die aufgrund einer gesetzlichen Verpflichtung benannt werden. § 38 Abs. 2 BDSG stellt dabei nicht nur auf jene Datenschutzbeauftragten ab, die nach § 38 Abs. 1 BDSG zu benennen sind. Der besondere Kündigungsschutz erfasst auch jene Datenschutzbeauftragten, die nach Art. 37 Abs. 1 DSGVO benannt sind. a) Die Beklagte war nicht nach § 38 Abs. 1 BDSG zur Benennung eines Datenschutzbeauftragten verpflichtet. aa) Nach § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Verantwortliche und Auftragsbearbeiter einen Datenschutzbeauftragten zu benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Dies ist bei der Beklagten unstreitig nicht der Fall. Der Kläger kann sich nicht mit Erfolg auf die bis zum 26.11.2019 geltende Schwelle von zehn Personen in der Altfassung des § 38 Abs. 1 S. 1 BDSG zur Benennungspflicht eines Datenschutzbeauftragten berufen. Denn auch in diesem Fall muss der Kläger darlegen, dass mindestens zehn Mitarbeiter dabei „in der Regel“ und „ständig“ mit einer automatisierten Datenverarbeitung befasst waren. Dies hat der Kläger nach dem Bestreiten der Beklagten nicht substantiiert unter namentlicher Benennung von mindestens zehn Mitarbeitern dargelegt. Im Übrigen fehlt auch konkreter Sachvortrag, dass diese Mitarbeiter in der Regel und ständig bei der Beklagten mit einer automatisierten Datenverarbeitung befasst waren. bb) Die Beklagte nimmt auch keine Verarbeitung personenbezogener Daten in einer Weise vor, dass diese einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterzogen werden muss, § 38 Abs. 1 Satz 2 1. Alt. BDSG. Ergibt die Risikobewertung einer konkreten Verarbeitungstätigkeit, dass voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, so ist die geplante Verarbeitung einer Datenschutz-Folgenabschätzung zu unterziehen. Mit ihr soll in der Folge ermittelt werden, ob das identifizierte Risiko mit Hilfe von Abhilfemaßnahmen unter die Schwelle des hohen Risikos reduziert werden kann und welche konkreten Maßnahmen hierfür geeignet sind. Folgt aus der Risikoanalyse dagegen, dass kein hohes Risiko besteht, hat der Verantwortliche seinen Pflichten aus Art. 35 DSGVO damit genügt. Im Vorfeld hat der Verantwortliche stets zu evaluieren, ob die geplanten Verarbeitungsvorgänge die Schwelle eines voraussichtlich hohen Risiko iSd Abs. 1 überschreiten. Das bedeutet, dass die mit der Verarbeitung verbundenen Risiken über die allgemeinen Gefahren hinausgehen müssen, die üblicherweise mit Datenverarbeitungstätigkeiten einhergehen. Für diese „Schwellenwertanalyse“ ist eine ganzheitliche und vorausschauende wertende Betrachtung anzustellen, bei der verschiedene Faktoren des jeweiligen Einzelfalles zu berücksichtigen sind, wie insbesondere die Art, der Umfang, die Umstände und die Zwecke der geplanten Datenverarbeitung. Eine Bewertung unter Heranziehung dieser Kriterien wird vom Verantwortlichen auch nach anderen Vorschriften der DSGVO verlangt, insbesondere gemäß Art. 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO. Aus den Erwägungsgründen 89 und 90 folgt zudem, dass ein hohes Risiko im Rahmen des Art. 35 Abs. 1 DSGVO nach dem Willen des Gesetzgebers nur in Ausnahmefällen vorliegen sollte, der Begriff des „voraussichtlich hohen Risikos“ mithin restriktiv auszulegen ist (vgl. Ehmann/Selmayr, Datenschutz- Grundverordnung, 2. Auflage 2018, Art. 35 DSGVO Rn. 19 ff.). Nach diesen Grundsätzen hat die Beklagte nach ihrer Risikoanalyse im Einzelnen dargelegt, dass ihre Verarbeitungsvorgänge voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen impliziert. Die Verarbeitung personenbezogener Daten, die der Kläger anspricht, wie bspw. bei der Lohnbuchhaltung, gehen über die allgemeinen Gefahren, die üblicherweise mit Datenverarbeitungstätigkeiten einhergehen, nicht hinaus. Entsprechendes gilt für die vom Kläger behaupteten gespeicherten Kundendaten in der Cloud. Die restriktive Auslegung des voraussichtlich hohen Risikos, die vorliegend nicht zu einer Datenschutz-Folgenabschätzung führt, führt auch im Rahmen der in Absatz 3 genannten Regelbeispiele zu keinem anderen Ergebnis. Die allein in Betracht kommenden Fallgruppen in b) und c) sind nicht einschlägig. Die Beklagte verarbeitet nicht umfangreich besondere Kategorien von sensiblen Daten iSd Art. 9 Abs. 1 DSGVO. Dies bezieht sich auf die umfangreiche Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Solche sensiblen Daten verarbeitet die Beklagte nicht. Die von dem Kläger als sensible Daten bezeichneten Angaben, wie bspw. Familienstand, Unterhaltspflichten, Kinder, Konfession, Geburtsdatum, etwaige Schwerbehinderung, gehören nicht den sensiblen Daten im Sinne von Art. 9 Abs. 1 DSGVO. Wenn der Kläger in dem Zusammenhang behauptet, die Beklagte erhalte im Rahmen ihrer Tätigkeit als externer Datenschutzbeauftragter Personallisten von den Kunden, einschließlich spezieller Unterlagen von Kindertagesstätten und sonstige sensible Unterlagen (bspw. Gesundheitsdaten), so fehlt nach dem Bestreiten der Beklagten konkreter weiterer Vortrag zu den Gesundheitsdaten, der über den pauschalen, allgemein gehaltenen hinausgeht. Zudem lässt sich aus dem klägerischen Vortrag die erforderliche umfangreiche Verarbeitung solch sensibler Daten nicht entnehmen. Auch das in Absatz 3 lit. c genannte weitere Regelbeispiel, nämlich die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche, liegt nicht vor. „Öffentlich zugänglich“ sind Bereiche innerhalb oder außerhalb von Gebäuden, die nach dem erkennbaren Willen des Berechtigten von Jedermann genutzt oder betreten werden dürfen. Unerheblich ist, ob der überwachte Bereich Privateigentum ist. Zu den öffentlich zugänglichen Bereichen gehören etwa öffentliche Verkehrsflächen, Verkaufsräume, Schalterhallen und Tankstellen, aber auch Hotelfoyers oder der Eingangsbereich von Unternehmen oder Behörden, wenn dieser von jedermann betreten werden kann. Nichtöffentlich zugänglich sind demgegenüber Räume, die nur von einem bestimmten und abschließend definierten Personenkreis betreten werden können oder dürfen, wie üblicherweise Büros oder Produktionsbereiche ohne Publikumsverkehr (vgl. Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 35 DSGVO Rn. 40). So verhält es sich vorliegend, da ein Besucher in den durch Videokamera überwachten Foyer nach dem unwidersprochen und damit nach § 138 Abs. 2 ZPO als zugestanden geltenden Vortrag der Beklagten nur nach vorhergehender Anmeldung gelangen kann. Bei dem Foyer der Beklagten handelt sich damit nicht um einen öffentlich zugänglichen Bereich. cc) 38 Abs. 1 Satz 2 2. Alt. BDSG findet ebenfalls keine Anwendung. Danach besteht eine Benennungspflicht für den Fall, dass der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Dies scheidet bereits deshalb aus, weil der Geschäftszweck der Beklagten nicht im Bereich Markt- und Meinungsforschung liegt. b) Die Beklagte war auch nicht nach Artikel 37 DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet. aa) Die Bestellpflicht für den privaten Sektor wird nach Artikel 37 Abs. 1 DSGVO ausgelöst, wenn die Kernverarbeitungstätigkeiten der verarbeitenden Stelle, entweder (kumulativ) eine umfangreiche, regelmäßige und systematische Beobachtung betroffener Personen erforderlich mach oder diese sich auf umfangreiche Verarbeitungen besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO erstreckt. Die Bestellpflicht wird vorliegend nicht nach Absatz 1 lit. c) ausgelöst, da die Beklagte als Kerntätigkeit keine umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO oder personenbezogenen Daten über strafrechtliche Verurteilungen gem. Art. 10 DSGVO vornimmt. Sensible Daten verarbeitet die Beklagte nicht, wie bereits oben festgestellt wurde. Ihre Kerntätigkeit besteht auch nicht nach Absatz 1 lit. b) in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung erforderlich machen. Das ist bspw. bei der Profilbildung von betroffenen Benutzern, die Videoüberwachung/das -monitoring oder das GPS-Tracking erforderlich. Damit ist die Beklagte aber nicht im Geringsten betraut. bb) Die Beklagte hat entgegen der Ansicht des Klägers auch keinen gemeinsamen Datenschutzbeauftragten ernannt, vgl. Art. 37 Abs. 2 DSGVO. Der Kläger wurde ausweislich der Benachrichtigung vom 22.06.2020 nur für die Beklagte als stellvertretender Datenschutzbeauftragter bestellt. Es ist nicht ersichtlich, dass ein gemeinsamer Bestellungsakt für ein weiteres Unternehmen, namentlich der Muttergesellschaft und damit der Z. GmbH vorliegt. Insoweit kann offenbleiben, ob der besondere Kündigungsschutz für einen gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO überhaupt greift. c) Da die Beklagte zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten nach alledem nicht verpflichtet war und daher der besondere Kündigungsschutz nach § 38 Abs. 2 BDSG bereits aus diesem Grund nicht greift, braucht auf die weiteren streitigen Fragen, insbesondere ob der Kläger Tätigkeiten als stellvertretender Datenschutzbeauftragter überhaupt tatsächlich ausgeübt hat, nicht eingegangen zu werden." Diesen Ausführungen schließt sich die Kammer voll inhaltlich an und stellt dies hiermit ausdrücklich gemäß § 69 Abs. 2 ArbGG fest. Die Kündigung erweist sich auch nicht aus anderen Gründen als rechtsunwirksam. Das Arbeitsgericht hat in der angefochtenen Entscheidung insoweit (Bl. 107, 108 d.A.) ausgeführt: "a) Die Kündigung der Beklagten verstößt nicht gegen § 612a BGB. Gemäß § 612a BGB darf der Arbeitgeber einen Arbeitnehmer bei einer Vereinbarung oder einer Maßnahme nicht benachteiligen, weil der Arbeitnehmer in zulässiger Weise seine Rechte ausübt. Eine Benachteiligung liegt nicht nur dann vor, wenn der Arbeitnehmer eine Einbuße erleidet, sondern auch dann, wenn ihm Vorteile vorenthalten werden, die der Arbeitgeber Arbeitnehmern gewährt, falls diese Rechte nicht ausüben. Das Maßregelungsverbot ist aber nur dann verletzt, wenn zwischen der Benachteiligung und der Rechtsausübung ein unmittelbarer Zusammenhang besteht. Die zulässige Rechtsausübung muss der tragende Grund, d.h. das wesentliche Motiv für die benachteiligende Maßnahme sein. Es reicht nicht aus, dass die Rechtsausübung nur den äußeren Anlass für die Maßnahme bildet (BAG, Urteil vom 15.07.2009, NZA 2009, 1202 ff.). Die Kündigung ist insbesondere keine unmittelbare Reaktion auf eine Krankmeldung als Retourkutsche. Anlass der Kündigung war vielmehr die noch im Zeitpunkt der Kündigung fortbestehende Arbeitsunfähigkeit des Klägers. Es fehlt erkennbar an einem unmittelbaren Zusammenhang. b) Der Ausspruch der ordentlichen Kündigung verstößt auch nicht gegen Treu und Glauben. Der in § 242 BGB niedergelegte Grundsatz von Treu und Glauben bildet eine allen Rechten, Rechtslagen und Rechtsnormen immanente Inhaltsbegrenzung. Eine gegen diesen Grundsatz verstoßene Rechtsausübung oder Ausnutzung einer Rechtslage ist wegen der darin liegenden Rechtsüberschreitung unzulässig. § 242 BGB ist auf Kündigungen allerdings neben § 1 KSchG nur in beschränktem Umfang anwendbar. Das Kündigungsschutzgesetz hat die Voraussetzungen und Wirkungen des Grundsatzes von Treu und Glauben konkretisiert und abschließend geregelt, soweit es um den Bestandsschutz und das Interesse des Arbeitnehmers an der Erhaltung seines Arbeitsplatzes geht. Eine Kündigung verstößt deshalb in der Regel nur dann gegen § 242 BGB, wenn sie Treu und Glauben aus Gründen verletzt, die von § 1 KSchG nicht erfasst sind. Es geht vor allem darum, Arbeitnehmer vor willkürlichen oder auf sachfremden Motiven beruhenden Kündigungen zu schützen, zum Beispiel vor Diskriminierungen. Schließlich darf auch ein durch langjährige Mitarbeit verdientes Vertrauen in den Fortbestand eines Arbeitsverhältnisses nicht unberücksichtigt bleiben. Der Vorwurf willkürlicher, sachfremder oder diskriminierender Ausübung des Kündigungsrechts scheidet dagegen aus, wenn ein irgendwie einleuchtender Grund für die Rechtsausübung vorliegt (ständige Rechtsprechung, BAG 21.02.2001 - 2 AZR 579/99 -; BAG 28.08.2003 - 2 AZR 333/02 -, juris). Vorliegend scheidet in Anwendung dieser Grundsätze eine Treuwidrigkeit der Kündigung bereits deshalb aus, da diese auf Gründe gestützt wird, die - dessen Anwendbarkeit vorausgesetzt - dem Kündigungsschutzgesetz unterfallen würden. Die Beklagte hat die Kündigung erkennbar aus krankheitsbedingten Gründen ausgesprochen, wie die interne Telefonnotiz vom Telefonat mit dem Kläger vom 06.11.2020 ergibt. Wenn die Beklagte sich danach entschließt, aufgrund der noch bestehenden Arbeitsunfähigkeit des Klägers zu kündigen, so verletzt dies nicht die oben genannten Grundsätze von Treu und Glauben. Ein solcher krankheitsbedingter Ausspruch der Kündigung wäre nach § 1 KSchG erfasst, wenn das Kündigungsschutzgesetz Anwendung findet. Auf die soziale Rechtfertigung kommt es dabei nicht an." Auch diesen Ausführungen des Arbeitsgerichts schließt sich die Kammer voll inhaltlich an und stellt dies hiermit ausdrücklich gemäß § 69 Abs. 2 ArbGG fest. Das Berufungsvorbringen des Klägers rechtfertigt keine abweichende Beurteilung des insoweit maßgeblichen Lebenssachverhalts. Denn es enthält keinerlei neue, nach Inhalt, Ort, Zeitpunkt und beteiligten Personen substantiierte Tatsachenbehauptungen, die eine abweichende Beurteilung rechtfertigen könnten. Gleiches gilt für etwaige Rechtsbehauptungen. Es macht vielmehr lediglich, wenn auch aus der Sicht des Klägers heraus verständlich, deutlich, dass der Kläger mit der tatsächlichen und rechtlichen Würdigung des tatsächlichen und rechtlichen Vorbringens der Parteien im erstinstanzlichen Rechtszug durch das Arbeitsgericht, der die Kammer voll inhaltlich folgt, nicht einverstanden ist. Entgegen der Auffassung des Klägers sind die Voraussetzungen des § 38 Abs. 1 Satz 1 BDSG nicht erfüllt. Denn die Beklagte nimmt keine Verarbeitung personenbezogener Daten in einer Weise vor, dass eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO durchgeführt werden muss. Auch die Voraussetzungen des § 38 Abs. 1 Satz 2 1. Alt. BDSG sind nicht erfüllt. Die Beklagte nimmt auch insoweit keine Verarbeitungen vor, die der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Denn die Beklagte verarbeitet selbst weder personenbezogene Daten, die zu den besonderen Kategorien personenbezogener Daten gehören, also von hoher Schutzwürdigkeit sind, noch Daten, die in der Art ihrer Verarbeitung eine umfangreiche Überwachung der jeweiligen Personen erforderlich machen. Die Kerntätigkeit der Beklagten liegt ausschließlich in der beratenden Tätigkeit ihrer Kunden und nicht in der Verarbeitung von personenbezogenen Daten. Die Kerntätigkeit der Beklagten besteht auch weder in Verarbeitungsvorgängen, mit denen in erheblichem Umfang die regelmäßige und systematische Überwachung von betroffenen Personen verbunden ist, noch in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen oder Straftaten. Substantiiertes tatsächliches Vorbringen des Klägers, dass auch nur einem substantiierten Bestreiten durch die Beklagte zugänglich wäre, fehlt insoweit in beiden Rechtszügen. Nichts Anderes gilt für Art. 35 Abs. 3 lit. b), c) DSGVO. Inwieweit die Beklagte besondere Kategorien von sensiblen Daten i.S.d. Art. 9 Abs. 1 DSGVO verarbeitet, lässt sich dem Vorbringen des Klägers nicht hinreichend substantiiert entnehmen, außer dass er in beiden Rechtszügen behauptet, diese Voraussetzungen seien - ohne nähere Angaben - vorliegend gegeben. Inwieweit eine umfangreiche Verarbeitung sensibler personenbezogener Daten vorgenommen wird, betreffend eine große Zahl von Personen, erschließt sich nach dem Vorbringen des Klägers nicht. Das gilt erst recht vor dem Hintergrund des Tätigkeitsfeldes der Beklagten, dass sich in den Bereichen Datenschutz, Informationssicherheit, Governance Risk und Compliance bewegt. Damit liegt, darauf hat die Beklagte zutreffend hingewiesen, ihre Kerntätigkeit nicht in der Verarbeitung von personenbezogenen Daten, sondern sie ist beratend für ihre Kunden tätig. Das Tätigkeitsfeld umfasst die Planung, die Organisation und Implementierung von Datenschutz- und Informationssicherheits-Systemen bis hin zum Regelbetrieb bei externen Kunden. Durch die bloße Bereitstellung von externen Datenschutzbeauftragten werden durch die Beklagte innerbetrieblich keine personenbezogenen Daten bearbeitet, denn etwaige externe Datenschutzbeauftragte sind speziell für die entsprechenden Unternehmen vor Ort zuständig. Die Beklagte ist nicht intensiv in den Datenverarbeitungsprozess der Kunden eingebunden. Mit der Beklagten ist des Weiteren nicht nachvollziehbar, inwieweit der Internetauftritt der Beklagten eine Begründung dafür liefern soll, dass eine konkrete Verarbeitungstätigkeit vorliegt, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründet. Der Hinweis des Klägers auf die Stellungnahme des hessischen Datenschutzbeauftragten vom 02.12.2020 ersetzt substantiiertes tatsächliches Vorbringen des Klägers insoweit schon deshalb nicht, weil dieser gerade ausgeführt hat, dass die Beantwortung der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, nicht ohne Analyse der Geschäftsprozesse geklärt werden kann. Die ihr damit letztlich aufgegebene Überprüfung hat die Beklagte vorgenommen und ist zu dem Ergebnis gekommen, dass ein Datenschutzbeauftragter von ihr nicht verpflichtend einzustellen ist. Nachdem die Beklagte im Einzelnen bestritten hat, dass sie keine besonderen Datenkategorien gemäß Art. 9 Abs. 1 DSGVO verarbeitet, die auch entgegen des Vorbringens des Klägers nicht in der Microsoft-Cloud der Beklagten gespeichert werden, fehlt jegliches nähere tatsächliche Vorbringen des Klägers insoweit. Demgegenüber hat die Beklagte dargelegt, dass sie lediglich Kunden im Bereich des Datenschutzes berät und eine Microsoft 365 Cloud mit eingeschlossenem E-Mail-System in der europäischen Microsoft-Cloud betreibt, in der aber keine Kundendaten gespeichert werden. Vielmehr betreiben alle Kunden der Beklagten ihre eigenen Systeme getrennt von den Systemen der Beklagten. Warum dem Kläger insoweit angesichts seiner Arbeitstätigkeit im Betrieb der Beklagten keine substantiierten Angaben für seine gegenteilige Auffassung möglich sein sollten, erschließt sich nach seinem Vorbringen nicht. Folglich ist die Beklagte auch kein Auftragsverarbeiter i.S.v. Art. 28 DSGVO; sie verarbeitet keine personenbezogenen Daten im Auftrag, sondern berät Unternehmen rund um das Thema Datenschutz. Die Verarbeitung der Daten erfolgt demgegenüber stets durch die Kunden selbst. Dass die Beklagte ihrerseits sensitive Daten i.S.v. Art. 9 DSGVO ihrer Kunden speichert, hat sie nachvollziehbar in Abrede gestellt; gegenteiliges substantiiertes Vorbringen des Klägers fehlt. Sein Vortrag ist pauschal und allgemein gehalten; es fehlt an der Nennung der konkreten personenbezogenen Daten der Kunden, die die Beklagte vermeintlich verarbeitet. Eine Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinung usw. hervorgehen sowie die Verarbeitung von genetischen Daten usw. i.S.v. Art. 9 DSGVO lassen sich dem Vorbringen des Klägers auch nicht im Ansatz entnehmen. Etwas Anderes folgt entgegen der Auffassung des Klägers auch nicht daraus, die spezielle Thematik des Art. 9 DSGVO bei einem "Vor-Ort-Audit" angesprochen zu haben; dies ist mangels näherem Sachvortrag des Klägers nur im Rahmen der systematischen Überprüfung und Bewertung von Prozessen, durch die nachgewiesen wird, ob alle geforderten Standards und Anforderungen erfüllt werden, möglich; diese Beratung kann aber nicht dahin verstanden werden, dass die Beklagte selbst sensible Daten i.S.v. Art. 9 DSGVO ihrer Kunden verarbeitet. Die Daten ihrer Beschäftigten darf die Beklagte schon nach § 26 Abs. 1, 3 BDSG zum Zwecke des Beschäftigungsverhältnisses verarbeiten. Entgegen der Auffassung des Klägers ist die Beklagte auch nicht wegen der Videoüberwachung im Eingangsbereich des Foyers verpflichtet, eine Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen. Die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 lit. c) DSGVO) liegt, davon ist das Arbeitsgericht zutreffend ausgegangen, entgegen der Auffassung des Klägers nicht vor. Das Foyer ist, auch insoweit folgt die Kammer dem Arbeitsgericht, nicht ein Bereich, der von jedermann genutzt werden kann; insoweit wird der Begriff "öffentlich zugänglich" keineswegs zu eng ausgelegt. Das Ziel des Unternehmers ist darauf gerichtet, den Zugang nur den Personen zu gestatten, mit denen er in einer Beziehung steht, z.B. auch bei Postboten und Getränkelieferanten, nicht dagegen bei dem allgemeinen Publikumsverkehr auf der Straße. Auch aus Art. 37 Abs. 1 c) DSGVO folgt keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Denn entgegen der Auffassung des Klägers gehört zu den Kerntätigkeiten der Beklagten keineswegs die umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO; mit dem Arbeitsgericht ist davon auszugehen, dass mangels näherem Vorbringen des Klägers keine sensiblen Daten von der Beklagten verarbeitet werden. Die Unwirksamkeit der streitgegenständlichen Kündigung folgt entgegen der Auffassung des Klägers auch nicht aus §§ 242, 612 a, 134 BGB. Aus der Telefonnotiz der Beklagten vom 06.11.2020 sind weder willkürliche noch sachfremde Motive der Beklagten ersichtlich. Der Eintritt einer Arbeitsunfähigkeit ist zudem ein organisches und/oder psychisches Geschehen, dagegen keine Rechtsausübung. Die Kündigung des Arbeitsverhältnisses wegen des Arbeitsausfalls infolge Arbeitsunfähigkeit stellt demzufolge keine unzulässige Maßregelung i.S.d. § 612 a BGB dar (LAG Baden-Württemberg 30.10.2020 - 12 Sa 33/20, Beck RS 2020 34665; s. DLW-Dörner, 16. Aufl. 2022, Kap. 3 Rn. 3377). Auch verstößt eine Kündigung nicht gegen § 242 BGB, wenn ein Arbeitsverhältnis durch eine langanhaltende Krankheit des Arbeitnehmers mit ungewissem Zeitpunkt der Wiederherstellung der Arbeitsfähigkeit belastet ist. Das gilt auch dann, wenn der Arbeitgeber gleichzeitig für die Arbeitsaufgabe des gekündigten Arbeitnehmers eine Ersatzkraft unbefristet einstellt (LAG Mecklenburg-Vorpommern 24.01.2012 - 5 Sa 153/11). Vorliegend war der Kläger nach seinem eigenen Vorbringen nicht in der Lage, der Beklagten eine konkrete Aussage über seine mögliche Rückkehr mitzuteilen. Wenn die Beklagte es in dieser Situation angesichts der sehr dünnen Personaldecke (eines Kleinbetriebes) für notwendig hielt, sofort Gegenmaßnahmen, auch durch Neueinstellungen zu ergreifen, dann geschah dies nicht nur im berechtigten Eigeninteresse, sondern durchaus auch im Interesse der übrigen Mitarbeiter, die erst einmal den Ausfall des Klägers kompensieren mussten. Ein Verstoß gegen das Verhältnismäßigkeitsprinzip kann darin entgegen der Auffassung des Klägers nicht gesehen werden. Das gilt erst Recht vor dem Hintergrund der recht kurzen Betriebszugehörigkeit von 2 ½ Jahren. Der Rechtsgedanke der §§ 38 Abs. 2, 6 Abs. 4 BDSG ist schließlich schon deshalb nicht zu berücksichtigen, weil die Beklagte zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten nicht verpflichtet war und deshalb der besondere Kündigungsschutz nach § 38 Abs. 2 BDSG nicht eingreift. Ob der Kläger mit Wissen und Wollen der Beklagten überhaupt als stellvertretender Datenschutzbeauftragter wirksam bestellt wurde (s. Bl. 213 ff. d.A.) bedarf folglich keiner Entscheidung. Die Parteien haben insoweit kontrovers vorgetragen; allerdings lässt sich dem Vorbringen des Klägers in beiden Rechtszügen nicht entnehmen, dass er zum Ausdruck bringen will, dass eine derartige Bestellung mit Wissen und Wollen der Beklagten in Kenntnis der fehlenden Verpflichtung zur Bestellung eines Datenschutzbeauftragten, ebenso wie eines stellvertretenden Datenschutzbeauftragten erfolgt ist mit der weiteren Folge, dass ihm, dem Kläger, demzufolge trotz Nichteingreifens des gesetzlichen Kündigungsschutzes des BDSG eine vergleichbare Rechtsposition eingeräumt werden sollte. Auch wenn dies vertraglich zwischen den Arbeitsvertragsparteien grundsätzlich vereinbart werden könnte, fehlt jegliches substantiierte Vorbringen des Klägers dazu, dass entsprechende Willenserklärungen abgegeben worden sein könnten. Hinsichtlich der Mitarbeiterzahl hat der Kläger eine Aufstellung vorgelegt mit der weiteren Maßgabe, abweichendes Vorbringen der Beklagten pauschal bestreiten zu müssen. Warum der Kläger hinsichtlich zu dem im Einzelnen substantiierten Vorbringen der Beklagten (z.B. für den zweitinstanzlichen Rechtszug Bl. 217 ff. d.A.) keine substantiierte Stellungnahme abgeben kann, erschließt sich nicht und wird von ihm auch nicht erläutert. Das Vorbringen der Beklagten ist deshalb als zugestanden anzusehen. Etwas Anderes folgt insbesondere nicht aus Angaben des Netzwerkes Xing; selbst dazu fehlen jegliche näheren Angaben des Klägers. Soweit der Kläger schließlich behauptet hat, die Beklagte und ihre Muttergesellschaft hätten gemeinsam Datenschutzbeauftragte bestellt, hat die Beklagte im Einzelnen substantiiert vorgetragen, dass dies nicht zutrifft, sondern vielmehr die Beklagte Dienstleistungen für die Muttergesellschaft im Bereich Datenschutz erbracht hat und zudem das Mandat des externen Datenschutzbeauftragten für diese übernommen hat. Sie hat dies u.a. durch entsprechende Rechnungen und das Angebot der Beklagten an die Muttergesellschaft vom 12.01.2018 belegt (s. Bl. 220 ff. d.A., 245 ff d.A.). Dieses Vorbringen hat der Kläger nicht substantiiert bestritten und zudem auch nicht substantiiert die von ihm gleichwohl behauptete gemeinsame Bestellung von Datenschutzbeauftragten dargelegt. Nach alledem war die Berufung des Klägers zurückzuweisen. Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO. Für eine Zulassung der Revision war nach Maßgabe der gesetzlichen Kriterien des § 72 ArbGG keine Veranlassung gegeben. Die Parteien des vorliegenden Rechtsstreits streiten darüber, ob die ordentliche Kündigung der Beklagten vom 06.11.2020 das zwischen den Parteien bestehende Arbeitsverhältnis beendet hat, oder aber nicht. Der Kläger war auf der Grundlage eines schriftlich abgefassten Arbeitsvertrages, hinsichtlich dessen weiteren Inhalts auf Blatt 5 - 11 d.A. Bezug genommen wird, seit dem 01.01.2018 bei der Beklagten als Management Consultant gegen eine monatliche Bruttovergütung von zuletzt 7.336,55 EUR beschäftigt. Die Beklagte ist ein Unternehmen im Bereich des Datenschutzes und IT-Sicherheit. Sie berät ihre Kunden in den Bereichen Datenschutz, z.B. durch Implementierung von Datenschutzmanagementsystemen oder durch die Übernahme des Mandats eines betrieblichen oder behördlichen Datenschutzbeauftragten. Hinsichtlich der insoweit wahrgenommenen Kerntätigkeiten der Beklagten wird zur Vermeidung von Wiederholungen auf den Beklagtenschriftsatz vom 20.11.2020 (S. 3 = Bl. 22 d.A.) Bezug genommen. Die Beklagte hat im Jahr 2020 weniger als 10 Mitarbeiter beschäftigt. Gemäß Änderungsmitteilung vom 22.06.2020 (Bl. 34, 35 d.A.) wurde der Kläger mit Wirkung ab dem 01.07.2020 - weiterhin - als stellvertretender Datenschutzbeauftragter benannt. Mit Schreiben vom 26.11.2020 (Bl. 25 d.A.) hat die Beklagte die Benennung des Klägers zum stellvertretenden Datenschutzbeauftragten mit sofortiger Wirkung widerrufen. Der Kläger hat in der Nacht vom 25. auf den 26.09.2020 einen Schlaganfall erlitten und war seitdem arbeitsunfähig erkrankt. Vom 12.10. bis 13.11.2020 unterzog er sich einer REHA-Maßnahme. Er war noch bis zum 20.11.2020 krankgeschrieben. Der Geschäftsführer der Beklagten rief den Kläger am 06.11.2020 an. Noch am selben Tag sprach die Beklagte die ordentliche Kündigung des zwischen den Parteien bestehenden Arbeitsverhältnisses aus, die dem Kläger am 07.11.2020 zuging. Dem Kündigungsschreiben war eine Telefonnotiz vom 06.11.2020 beigefügt, hinsichtlich deren Inhalts auf Blatt 16 d.A. Bezug genommen wird. Mit der am 09.11.2020 beim Arbeitsgericht Koblenz eingegangenen und der Beklagten am 25.11.2020 zugestellten Klage wendet sich der Kläger gegen diese Kündigung. Der Kläger hat vorgetragen, ihm könne als stellvertretendem Datenschutzbeauftragten nicht ordentlich gekündigt werden. Jedenfalls sei die Kündigung wegen eines Verstoßes gegen Treu und Glauben sowie gegen das Maßregelungsverbot nach § 612 a BGB unwirksam. Die Beklagte habe ihn als stellvertretenden Datenschutzbeauftragten bestellt. In dieser Funktion habe er auch zahlreiche Aufgaben übernommen, z.B. das Erstellen ihrer, der Beklagten, Datenschutzleitlinien im Herbst 2018. Die Beklagte sei auch aufgrund zahlreicher Umstände zur Bestellung eines Datenschutzbeauftragten verpflichtet gewesen. Denn sie nehme Verarbeitungen nach Art. 35 DSGVO vor, die einer Datenschutz-Folgenabschätzung unterlägen. Sie verarbeite im Rahmen ihrer Tätigkeit als externe Datenschutzbeauftragte personenbezogene Daten wie auch sensible Daten nach Art. 9 DSGVO ihrer Kunden. Zudem verarbeite sie solche sensiblen und personenbezogenen Daten auch ihrer Mitarbeiter (Konfession, Familienstand, usw.) bei der Herstellung der Gehaltsabrechnungen. Sie speichere die Daten ihrer Kunden in einer Microsoft-Cloud. Ihre Verpflichtung zur Bestellung eines Datenschutzbeauftragten ergebe sich auch aus Art. 35 Abs. 3 DSGVO, da sie auch eine Videoüberwachung im öffentlichen Eingangsbereich ihres Foyers der Büroräume vornehme und damit in der Lage sei, über eine App auf dem Mobilfunktelefon die Kamerabilder aus der Ferne abzurufen. Die Beklagte habe zusammen mit ihrer Muttergesellschaft, der Z. GmbH, einen gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO bestellt. In den Jahren 2018 und 2019 seien bei der Beklagten mehr als 10 Mitarbeiter bei der automatisierten Verarbeitung personenbezogener Daten beschäftigt gewesen. Die Angaben in der Telefonnotiz vom 06.11.2020 seien unzutreffend, da er, der Kläger, in diesem Telefonat darauf hingewiesen habe, dass eine Wiederaufnahme seiner Tätigkeit in einer, zwei, drei oder notfalls auch vier Wochen nach Beendigung der REHA-Maßnahme wahrscheinlich sei, jedenfalls aber in absehbarer Zeit. Schließlich verstoße die Kündigung aufgrund der gesamten Umstände gegen Treu und Glauben sowie gegen den sich daraus abzuleitenden Verhältnismäßigkeitsgrundsatz unter Berücksichtigung der Rechtsprechung zum Kündigungsschutz im Kleinbetrieb. Der Kläger hat beantragt, 1. festzustellen, dass das Arbeitsverhältnis der Parteien durch die Kündigung der Beklagten vom 6. November 2020 nicht aufgelöst wird. 2. festzustellen, dass das Arbeitsverhältnis der Parteien auch nicht durch sonstige Beendigungstatbestände endet, sondern zu unveränderten Bedingungen fortbesteht. Die Beklagte hat beantragt, die Klage abzuweisen. Die Beklagte hat vorgetragen, das zwischen den Parteien bestehende Arbeitsverhältnis sei aufgrund ihrer, der Beklagten, ordentlichen Kündigung wirksam beendet worden. Zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten sei sie gesetzlich nicht verpflichtet gewesen, da sie keine der in Art. 37 DSGVO genannten Kerntätigkeiten ausübe. Auch ergebe sich die Verpflichtung nicht aus Art. 38 Abs. 1 Satz 2 BDSG, da sie keine Verarbeitung von personenbezogenen oder sensiblen Daten vornehme, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliege. Die Bestellung eines Datenschutzbeauftragten sei lediglich aus Marketinggründen und daher - wenn überhaupt - nur freiwillig erfolgt. Auch liege kein gemeinsamer Bestellakt zusammen mit ihrer Muttergesellschaft für einen gemeinsamen Datenschutzbeauftragten vor. Der Kläger sei zu keinem Zeitpunkt als stellvertretender Datenschutzbeauftragter tätig geworden. Bei den vom Kläger angeführten Aufgaben vermenge er die öffentlichen Aufgaben eines Datenschutzbeauftragten mit den vertraglich geschuldeten Tätigkeiten der Beklagten für ihre Kunden. Der von der Kamera überwachte Bereich im Eingangsbereich im inneren der Büroräume sei nicht öffentlich zugänglich, da er einer Zutrittskontrolle unterliege. Die Kündigung sei aus krankheitsbedingten Gründen erfolgt, da der Kläger bei dem Telefonat am 06.11.2020 keine Aussage über seine Rückkehr habe machen können. Das Arbeitsgericht Koblenz hat die Klage daraufhin durch Urteil vom 05.05.2021 - 12 Ca 3829/20 - abgewiesen. Hinsichtlich des Inhalts von Tatbestand und Entscheidungsgründen wird auf Blatt 95 - 110 d.A. Bezug genommen. Gegen das ihm am 19.05.2021 zugestellte Urteil hat der Kläger durch am 14.06.2021 beim Landesarbeitsgericht Rheinland-Pfalz eingegangenem Schriftsatz Berufung eingelegt. Er hat die Berufung durch am (Montag), den 19.07.2021 beim Landesarbeitsgericht eingegangenem Schriftsatz begründet. Die Beklagte hat darauf durch Schriftsatz vom 19.08.2021, beim Landesarbeitsgericht eingegangen am 19.08.2021, schriftsätzlich erwidert. Der Kläger wiederholt sein erstinstanzliches Vorbringen und hebt insbesondere hervor, die Beklagte sei verpflichtet gewesen, einen Datenschutzbeauftragten zu bestellen; dies folge aus § 38 Abs. 1 Satz 2 1. Alt. BDSG. Sowohl die Voraussetzungen des Art. 35 Abs. 1 als auch die Voraussetzungen des Art. 35 Abs. 1 i.V.m. Abs. 3 b), c) seien erfüllt. Die Beklagte erbringe Dienstleistungen im Bereich Datenschutz (s. Bl. 147 ff. d.A.). Sie sei damit intensiv in den Datenverarbeitungsprozess ihrer Kunden eingebunden. Dies sei mit einem hohen Risiko behaftet, so dass eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO geboten sei. Als externer Datenschutzbeauftragter für ihre Kunden verarbeite die Beklagte zudem die Daten ihrer Kunden, es handele sich insbesondere auch um besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO. Auch personenbezogene Daten der Kunden i.S.d. Art. 9 Abs. 1 DSGVO würden in umfangreicher Form verarbeitet und in der Microsoft-Office 365 Cloud gespeichert. Daten wie Familienstand, Unterhaltspflichten usw. seien besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO (Bl. 150 f. d.A.). So würden gerade in Kitas sensible Daten erfasst (Gesundheitsdaten, Allergien, Medikamenteneinnahmen usw.; Bl. 151 d.A.). Zudem habe die Beklagte für ihre Beschäftigten und die Beschäftigten der Z. GmbH die personenbezogenen Daten in der EDV erfasst und verarbeitet (Bl. 151 d.A.). Dass die Beklagte einer Datenschutz-Folgenabschätzung unterliege, folge auch aus deren Datenschutzerklärung (Bl. 152 f. d.A.). Schließlich führe die Beklagte eine Videoüberwachung ihrer Räumlichkeiten am Standort L. durch, und zwar im Eingangsbereich des Foyers (Bl. 153 d.A.). Der Begriff "öffentlich zugänglich" dürfe nicht zu eng ausgelegt werden. Ob ein Betreten mit oder ohne Abmeldung erfolge, sei unerheblich. Auch die Voraussetzungen des Art. 37 Abs. 1 c) DSGVO seien gegeben. Die Beklagte verarbeite sensible Daten. Folglich sei eine ordentliche Kündigung des Klägers ausgeschlossen, weil die Beklagte verpflichtet gewesen sei, einen Datenschutzbeauftragten zu bestellen. Die streitgegenständliche Kündigung sei unwirksam. Dies folge hilfsweise jedenfalls aus § 612 a BGB i.V.m. § 134 BGB (s. Bl. 155 ff. d.A.). Der Beklagten wäre es, nachdem er, der Kläger, einen Schlaganfall erlitten habe, aus Verhältnismäßigkeitsgründen zumutbar gewesen, den überschaubaren Zeitraum bis zu seiner vollständigen Genesung zu überbrücken. Der Kläger habe keineswegs mitgeteilt, dass eine Wiedergenesung nicht absehbar sei. In diesem Zusammenhang müsse auch der Rechtsgedanke der §§ 38 Abs. 2, 6 Abs. 4 BDSG berücksichtigt werden, wonach der Gesetzgeber die Unabhängigkeit des Datenschutzbeauftragten gegenüber dem Arbeitgeber stärken wolle (s. Bl. 156 f. d.A.). Der Kläger sei von der Beklagten und deren Muttergesellschaft, der Z. GmbH als stellvertretender Datenschutzbeauftragter bestellt und die entsprechende Meldung sei am 22.06.2020 abgegeben worden (Bl. 188 ff. d.A.). Wenn die Beklagte als externer Datenschutzbeauftragter für ihre Kunden tätig werde, sei sie nicht ausschließlich beratend tätig. Vielmehr müsse sie für die Kunden deren Verfahren und Prozesse ermitteln, bewerten und datenschutzrechtliche Handlungsoptionen aufzeigen. Das Ergebnis dieser Bewertungen dokumentiere sie, die Beklagte, in ihrer Cloud. Damit speichere und verarbeite sie die entsprechenden Daten der Kunden. In einem Mitarbeitergespräch am 05.06.2020 mit dem Geschäftsführer Y. der Beklagten habe sich Herr X. bereit erklärt, die Funktionen des Datenschutzbeauftragten für die Beklagte und die Z. GmbH ab 01.07.2020 zu übernehmen mit der Unterstützung des Klägers als stellvertretender Datenschutzbeauftragter. In diesem Gespräch habe der Geschäftsführer der Beklagten Herr Y. den Kläger beauftragt, die erforderlichen Meldungen über die Bestellung des Herrn X. und seine, des Klägers, an die Aufsichtsbehörden zu erstellen; der Kläger habe diese Meldungen dann vorgenommen (s. Bl. 199 d.A.). Die Beklagte und die Muttergesellschaft verfügten ab 01.07.2020, aber auch bei Zugang der streitgegenständlichen Kündigung, zusammen über mehr als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt gewesen seien (s. Bl. 199 ff. d.A.). Im Netzwerk Xing seien 18 Mitarbeiter für die Z. GmbH ausgewiesen. Namentlich benennen könne der Kläger diese nicht, weiterer substantiierter Sachvortrag sei ihm nicht möglich. Die digitalen "Projektordner", die für jeden der Kunden der Beklagten existierten, in dem sich die Vorgänge und Unterlagen, bezogen auf diesen Kunden befinden, würden in der Microsoft Office 365 Cloud gespeichert (s. Bl. 202 f. d.A.). Die Einbindung der Beklagten als externer Datenschutzbeauftragter in die Datenschutzprozesse der Kunden sei mit einem hohen Risiko für die Rechte und Freiheit natürlicher Personen verbunden, der Kunden der Auftraggeber der Beklagten, z.B. die Kinder der kommunalen Kita, die Bezieher von Sozialleistungen usw.. Die damit verbundenen Verarbeitungen bedingten eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO, so dass die Beklagte zur Bestellung eines Datenschutzbeauftragten verpflichtet sei, unabhängig von der Anzahl der mit der ständigen Verarbeitung von Daten bei ihr beschäftigten Personen. Die Bestellung des Klägers als stellvertretender Datenschutzbeauftragter hätte nicht, wie von der Beklagten behauptet, zu einem Interessenkonflikt mit seiner Funktion als Competence Center-Leiter geführt. Die Behauptung der Beklagten, er, der Kläger, habe nicht eine Unterstützung für die Funktion des Datenschutzbeauftragten leisten sollen, treffe ebenso wenig zu (Bl. 234 f. d.A.). Auch habe er sich nicht eigenmächtig als stellvertretender Datenschutzbeauftragter gegenüber den zuständigen Behörden eingetragen. Das weitere Vorbringen der Beklagten zu den seinerzeit beschäftigten Personen könne er, der Kläger, nur pauschal bestreiten (Bl. 237 d.A.). Gleiches gelte für die Behauptungen der Beklagten, dass sie Dienstleistungen für die Z. GmbH wie für jeden anderen Kunden erbracht habe, und zwar im Rahmen eines Mandats als externer Datenschutzbeauftragter (Bl. 237 d.A.). Hinsichtlich des weiteren Vorbringens des Klägers im Berufungsverfahren wird auf die Berufungsbegründungsschrift vom 19.07.2021 (Bl. 145 - 157 d.A.) nebst Anlagen (Bl. 158, 159 d.A.) sowie seine Schriftsätze vom 16.11.2021 (Bl. 188 - 190 d.A.), vom 22.12.2021 (Bl. 198 - 204 d.A.) nebst Anlagen (Bl. 205 - 209 d.A.) sowie schließlich vom 31.01.2022 (Bl. 234 - 239 d.A.). Bezug genommen. Der Kläger beantragt, 1. festzustellen, dass das Arbeitsverhältnis der Parteien durch die Kündigung der Beklagten vom 06.11.2020 nicht aufgelöst wird; 2. festzustellen, dass das Arbeitsverhältnis der Parteien auch nicht durch sonstige Beendigungstatbestände endet, sondern zu unveränderten Bedingungen fortbesteht. Die Beklagte beantragt, die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Koblenz vom 05.05.2021 - 12 Ca 3829/20 - zurückzuweisen. Die Beklagte verteidigt die angefochtene Entscheidung unter Wiederholung ihres erstinstanzlichen Vorbringens und hebt insbesondere hervor, die Voraussetzungen des § 38 Abs. 1 Satz 1 BDSG seien nicht erfüllt (s. Bl. 172 ff. d.A.). Sie, die Beklagte, beschäftige nicht in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten. Sie nehme auch keine Verarbeitung personenbezogener Daten in einer Weise vor, dass eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO durchgeführt werden müsse (s. Bl. 173 ff. d.A.). Ein voraussichtlich hohes Risiko, das mit der Verarbeitung verbunden sein könne, bestehe bei ihr, der Beklagten, nicht. Es bestehe kein hoher Grad an Wahrscheinlichkeit für den Schadenseintritt. Denn sie verarbeite selbst weder personenbezogene Daten, die zu den besonderen Kategorien personenbezogener Daten gehörten, also von hoher Schutzwürdigkeit seien, noch Daten, die in der Art ihrer Verarbeitung eine umfangreiche Überwachung der jeweiligen Personen erforderlich machten. Die Kerntätigkeit der Beklagten liege ausschließlich in der beratenden Tätigkeit ihrer Kunden und nicht in der Verarbeitung von personenbezogenen Daten (s. Bl. 174 ff. d. A.). Art. 35 Abs. 3 lit. b, c DSGVO seien nicht einschlägig, da sie, die Beklagte, keine besonderen Kategorien von sensiblen Daten i.S.v. Art. 9 Abs. 1 DSGVO verarbeite (Bl. 174 ff. d.A.). Denn die Kerntätigkeit liege nicht in der Verarbeitung von personenbezogener Daten, sondern in der Beratung ihrer, der Beklagten, Kunden. Es gehe um die Planung, die Organisation und Implementierung von Datenschutz- und Informationssicherheits-Systemen bis hin zum Regelbetrieb bei externen Kunden. Etwas Anderes folge auch nicht aus dem Internetauftritt der Beklagten, ebenso wenig aus der Stellungnahme des hessischen Datenschutzbeauftragten vom 02.02.2020 (Bl. 175 f. d.A.). Die Daten der Kunden würden entgegen des Vorbringens des Klägers nicht der Microsoft-Cloud der Beklagten gespeichert. Die Kunden betrieben eigene Systeme getrennt von dem System der Beklagten (Bl. 176 d.A.). Folglich sei die Beklagte auch kein Auftragsverarbeiter i.S.v. Art. 28 DSGVO (Bl. 176 ff. d.A.). Wenn die spezielle Thematik des Art. 9 DSGVO bei einem Vor-Ort-Audit angesprochen worden sei, dann könne dies nur im Rahmen der systematischen Überprüfung und Bewertung von Prozessen erfolgt sein. Eine dahingehende Beratung könne aber nicht so verstanden werden, dass die Beklagte selbst sensible Daten i.S.v. Art. 9 DSGVO ihrer Kunden verarbeite (Bl. 177 f. d.A.). Die Beklagte dürfe gemäß § 26 Abs. 1, 3 BDSG schließlich auch die Daten ihrer Beschäftigten verarbeiten. Letztlich führe die Videoüberwachung im Eingangsbereich des Foyers nicht zur Notwendigkeit einer Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 1 DSGVO (Bl. 179, 180 d.A.). Eine systematische Überwachung öffentlich zugänglicher Bereiche finde insoweit nicht statt. Auch aus Art. 37 Abs. 1 lit. c) DSGVO folge keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Zu den Kerntätigkeiten der Beklagten gehöre gerade nicht die umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO; sensible Daten würden von der Beklagten nicht verarbeitet. Ein Verstoß gegen §§ 242, 612 a, 134 BGB sowie den Verhältnismäßigkeitsgrundsatz sei ebenso wenig gegeben (Bl. 181 ff. d.A.). Der Kläger könne mit seiner recht kurzen Betriebszugehörigkeit von 2 ½ Jahren und der doch recht häufigen und längeren krankheitsbedingten Fehlzeiten in der Vergangenheit kein durch langjährige Mitarbeit verdienendes Vertrauen in den Fortbestand seines Arbeitsverhältnisses geltend machen. Für die Anwendung des Rechtsgedankens der §§ 38 Abs. 2, 6 Abs. 4 BDSG sei in diesem Zusammenhang kein Raum und zudem zu berücksichtigen, dass der Kläger kein Datenschutzbeauftragter im Sinne dieser Vorschriften im Unternehmen der Beklagten gewesen sei. Eine Benennung des Klägers als Datenschutzbeauftragter sei seitens der Beklagten zu keinem Zeitpunkt erfolgt (Bl. 213 ff. d.A.). Vielmehr habe sich der Kläger ohne Kenntnis der Beklagten eigenmächtig als stellvertretender Datenschutzbeauftragter gegenüber den zuständigen Behörden eingetragen und sei insoweit als "Meldender" aufgetreten. Eine Vereinbarung zwischen den Parteien über die Ausübung der mit diesem Amt verbundene Tätigkeiten gebe es nicht. Im Zeitpunkt der vermeintlichen Bestellung sei zudem der Schwellenwert des § 38 Abs. 1 Satz 1 BDSG nicht überschritten gewesen. Die Ausführungen des Klägers zu der Angabe der Anzahl der mindestens ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigter Arbeitnehmer der Beklagten treffe nur teilweise zu. Der Kläger trenne insoweit nicht nach den einzelnen Beschäftigten innerhalb der Kalenderjahre und stelle bezüglich des Jahres 2019 wohl auf den Schwellenwert von 10 Mitarbeitern ab, der nicht relevant sei (Einzelheiten s. Bl. 217 ff. d.A.). Der Ausdruck einer Internetrecherche des Netzwerks Xing belege nichts Anderes; er sei insgesamt für den Nachweis der tatsächlich beschäftigten Mitarbeiter nicht geeignet, da die jeweiligen Profile nicht selbstverständlich durch die Nutzer aktualisiert würden. Auch nach dem Vorbringen des Klägers sei nicht ersichtlich, dass ein gemeinsamer Bestellungsakt für ein weiteres Unternehmen, nämlich der Muttergesellschaft und damit der Z. GmbH vorliege. Vielmehr habe die C. Dienstleistungen auch im Bereich Datenschutz für die Muttergesellschaft, wie für jeden anderen Kunden auch, erbracht (Bl. 220 f. d.A.). Das Mandat des externen Datenschutzbeauftragten habe die Beklagte ebenfalls übernommen; von einem gemeinsamen Datenschutzbeauftragten könne keine Rede sein. Insgesamt liege das Tätigkeitsfeld der Beklagten im Bereich Datenschutz, Informationssicherheit, die Kerntätigkeit liege aber eben nicht in der Verarbeitung von personenbezogenen Daten (Bl. 221 ff. d.A.). Im Übrigen gehe Art. 35 Abs. 3 lit. b) DSGVO von umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO aus. Für die insoweit erforderliche Risikoanalyse (Erwägungsgrund 9 Abs. 1) sei eine große Zahl von Personen erforderlich; der Parlamentsentwurf zur DSGVO mache in Zusammenhängen, in denen ebenfalls auf eine größere Anzahl an Personen abzustellen sei, die Verarbeitung von Daten von mehr als 5000 Personen innerhalb von 12 Monaten zum Anknüpfungspunkt datenschutzrechtlicher Pflichten (Bl. 223 d.A.). Hinsicht des weiteren Vorbringens der Beklagten im Berufungsverfahren wird auf die Berufungserwiderungsschrift vom 19.08.2021 (Bl. 169 - 183 d.A.) nebst Anlagen (Bl. 184, 185 d.A.) sowie ihre Schriftsätze vom 27.12.2021 (Bl. 213 - 223 d.A.) nebst Anlagen (Bl. 224 - 230 d.A.) sowie schließlich vom 31.01.2022 (Bl. 243, 244 d.A.) nebst Anlagen (Bl. 245 - 262 d.A.) Bezug genommen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den vorgetragenen Inhalt der Schriftsätze der Parteien, die Gegenstand der mündlichen Verhandlung waren, sowie die zu den Akten gereichten Schriftstücke verwiesen. Schließlich wird Bezug genommen auf die Sitzungsprotokolle vom 29.11.2021 und 29.08.2022.