Für Unternehmen, die in den Anwendungsbereich der DS-GVO fallen, stellt sich immer wieder die Frage, ob sie einen Datenschutzbeauftragten berufen müssen und wenn ja, ob sie hierbei auf eigene Arbeitnehmer oder externe Dienstleister zurückgreifen sollen.
Sehen Sie sich alle Mitglieder an
Ob ein Unternehmen als verarbeitende Stelle einen Datenschutzbeauftragten berufen muss, bestimmt sich einerseits nach Art. 37 der DS-GVO und andererseits hierzu ergänzend nach § 38 BDSG(neu). Sobald in einem Unternehmen regelmäßig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, schreibt das BDSG(neu) zwingend die Benennung eines Datenschutzbeauftragten vor. Soweit dieser Schwellenwert unterschritten wird, kann eine Benennungspflicht aus Art. 37 DS-GVO resultieren. Exemplarisch ist hier auf eine Benennungspflicht nach Art 37 Abs. 1, lit. c) DS-GVO hinzuweisen, wenn eine Kerntätigkeit in der Verarbeitung von besonders geschützten personenbezogenen Daten nach Maßgabe des Art. 9 DS-GVO zu sehen ist.
Soweit ein Unternehmen feststellt, dass es einen Datenschutzbeauftragten zwingend zu benennen hat, stellt sich regelmäßig die Frage, ob hierfür ein eigener Mitarbeiter oder alternativ ein externer Dienstleister herangezogen werden soll. Hierbei stehen einerseits wirtschaftliche Erwägungen im Blickpunkt und andererseits arbeitsrechtliche Fragestellungen, die Unternehmen bei einer solchen Entscheidung berücksichtigen sollten.
Zwar resultiert aus der DS-GVO selbst kein besonderer Kündigungsschutz eines internen Datenschutzbeauftragten, allerdings regelt auch die DS-GVO in Art. 38 Abs. 3, Satz 2 DS-GVO, dass ein Unternehmen seinen Datenschutzbeauftragten nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligen darf.
Allerdings enthält die DS-GVO gerade im Hinblick auf dieses Thema sogenannte Öffnungsklauseln, die es dem nationalen Gesetzgeber ermöglichen, weitere (nationale) Regelungen zu dieser Thematik zu treffen. Dies hat der Gesetzgeber in Deutschland mit den §§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG(neu) unternommen.
Durch diese Regelungen genießt ein interner Datenschutzbeauftragter sowohl einen sogenannten verlängerten, als auch einen besonderen Kündigungsschutz, wobei insbesondere der besondere Kündigungsschutz von einem Unternehmen bei seiner Entscheidung, ob ein eigener Mitarbeiter zu einem Datenschutzbeauftragten ernannt wird unbedingt berücksichtigt werden sollte.
Besonderer Kündigungsschutz
Der besondere Kündigungsschutz des internen Datenschutzbeauftragten bedeutet, dass sowohl eine Abberufung des internen Datenschutzbeauftragten von seiner Stellung als Datenschutzbeauftragter, als auch eine Kündigung des Beschäftigungsverhältnisses des internen Datenschutzbeauftragten während seiner Benennung als Datenschutzbeauftragter des Unternehmens grundsätzlich unzulässig ist, außer es liegen Tatsachen vor, die den Arbeitgeber zur Kündigung aus einem wichtigen Grund ohne Einhaltung jeglicher Kündigungsfrist nach Maßgabe des § 626 BGB berechtigen würden (vgl. § 38 Abs. 2 i.V.m § 6 Abs. 4 BDSG(neu)).
Dieser besondere Kündigungsschutz hat in der arbeitsrechtlichen Praxis weitreichende Bedeutung. Ist ein Mitarbeiter eines Unternehmens erst einmal offiziell als Datenschutzbeauftragter benannt, ist eine Abberufung nur aus wichtigem Grund möglich. Erst nach einer solchen Abberufung kann – außer in den Fällen einer außerordentlichen Kündigung – überhaupt erst an eine ordentliche Beendigung des Arbeitsverhältnisses des entsprechenden Mitarbeiters gedacht werden.
Ein Unternehmen kann sich in diesem Zusammenhang in aller Regel nicht einmal auf eine unternehmerische Entscheidung berufen, zukünftig den Bereich des Datenschutzes extern bearbeiten zu lassen (vgl. zuletzt LArbG Nürnberg, Urteil v. 19.02.2020 – 2 Sa 274/19).
Aus diesen Regelungen folgt, dass die Abberufung und die Kündigung eines internen Datenschutzbeauftragten nur unter der hohen Hürde des § 626 BGB für ein Unternehmen möglich sind.
Verlängerter Kündigungsschutz
Selbst wenn die Abberufung eines internen Datenschutzbeauftragten entweder bei Erfüllung der Voraussetzungen des § 626 BGB durch das Unternehmen möglich ist oder der interne Datenschutzbeauftragte selbst sein Amt als Datenschutzbeauftragter niederlegen bzw. seine Benennung einvernehmlich zwischen dem Unternehmen und ihm aufgehoben wird, wirkt der besondere Kündigungsschutz ein Jahr nach. Das hat zur Folge, dass selbst in den vorgenannten Fallgruppen eine ordentliche Kündigung frühestens mit Ablauf der Nachwirkungsfrist von einem Jahr möglich ist.
Fazit:
Ein Unternehmen sollte bei der Überlegung, ob ein eigener Mitarbeiter zu seinem Datenschutzbeauftragten ernannt wird, den besonderen und verlängerten Kündigungsschutz des Mitarbeiters hinreichend berücksichtigen. Auf einen externen Datenschutzbeauftragten ist der besondere Kündigungsschutz des BDSG(neu) nicht anwendbar.
