Fragen und Antworten zum DSB in der betrieblichen Praxis Der Datenschutzbeauftragte und sein Schutz vor Kündigung und Abberufung

Von Daniel Wasser, LL.M.*

Anbieter zum Thema

Können Unternehmen einen internen Datenschutzbeauftragten abberufen und kündigen, wenn sich dessen Position wirtschaftlich nicht mehr rentiert und ein externer Dienstleister dieselbe Leistung im Ergebnis effizienter erbringt? Nein sagt das Bundesarbeitsgericht. Wir erklären die Entscheidung und beantworten andere wichtige Fragen um den betrieblichen DSB.

Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen.
Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen.
(Bild: fotogestoeber - stock.adobe.com)

Kann man einen internen Datenschutzbeauftragten (aus Gründen der Einfachheit wird das generische Maskulin verwendet) abberufen und kündigen, wenn sich dessen Position wirtschaftlich nicht mehr rentiert und ein externer Dienstleister dieselbe Leistung im Ergebnis effizienter erbringt?

Nein! Das Bundesarbeitsgericht (BAG) hat in seiner Ende August 2022 erfolgten Entscheidung betont, dass die Kündigung einer Datenschutzbeauftragen aus organisatorischen, finanziellen oder personalpolitischen Gründen unwirksam sei und einer dahingehenden Personalrestrukturierung eine Abfuhr erteilt.

Konkret kündigte die Beklagte das Arbeitsverhältnis ordentlich und berief sich zur Wirksamkeit der Kündigung auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Klägerin geführt habe.

Diese Kündigung hat das BAG – auch wenn bisher lediglich das Sitzungsergebnis bekannt wurde (2 AZR 225/20 - Das Bundesarbeitsgericht) – für unwirksam erklärt. Damit schloss sich das BAG im Ergebnis der Entscheidung der Instanzgerichte an, wonach die ordentliche Kündigung bereits deshalb unwirksam ist, weil der Klägerin als Datenschutzbeauftragter nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG) nur außerordentlich aus wichtigem Grund gekündigt werden kann. Zudem konstatierten schon die Instanzgerichte: Die von der Beklagten beschriebene Umstrukturierungsmaßnahme stellt allgemein keinen wichtigen Grund für eine außerordentliche Kündigung dar.

Mit der Entscheidung behandelt das BAG zwei für die Praxis relevante Fragen. Einerseits inkorporiert die BAG Entscheidung das diesjährige Urteil des Gerichtshofes der Europäischen Union (EuGH Urteil vom 22.06.2022 - C 534/20) . Der EuGH erkannte die deutsche Regelung, welche die Abberufung sowie Kündigung eines internen Datenschutzbeauftragten an einen wichtigen Grund knüpft, als zulässig an. Ein europarechtlicher Verstoß ergebe sich nicht aus dem Umstand, dass die deutsche Regelung die Vorgaben der Datenschutzgrundverordnung (DSGVO) übersteigt, obwohl diese bereits als europäische Verordnung unmittelbar verbindlich in den Mitgliedsstaaten gilt. Aus dem Gesetzteszweck der DSGVO ergebe sich eine – ungeschriebene – Kompetenz strengere Voraussetzungen an die Abberufung und Kündigung von Datenschutzbeauftragten zu stellen.

Andererseits bildet das Urteil des BAG ein weiteres Mosaik in der Beantwortung der Frage, wann ein wichtiger Grund zur Abberufung oder Kündigung eines Datenschutzbeauftragten vorliegt. Die Entscheidung des BAG soll vorliegend zum Anlass genommen werden, exemplarisch einige relevante Fragen rund um den Datenschutzbeauftragen aus der unternehmerischen Praxis zu beantworten:

1. Warum ist der Schutz vor Abberufung und Kündigung wichtig?

Die Antwort auf diese Frage ergibt sich im Wesentlichen aus Art. 38 Abs. 1 DSGVGO. Der Datenschutzbeauftragte ist nicht nur für die Unterrichtung und Beratung des Verantwortlichen (Arbeitgeber) und der Beschäftigten im Hinblick auf den Datenschutz zuständig. Er überwacht überdies die Einhaltung jedweder datenschutzrechtlicher Vorschriften, arbeitet mit der Aufsichtsbehörde zusammen und ist deren Anlaufstelle bei Fragen. Kurz: Der Datenschutzbeauftragte schützt personenbezogene Daten. Darunter fallen alle Informationen, die sich auf eine jedenfalls identifizierbare natürliche Person (nachfolgend: betroffene Person) beziehen.

Daraus wird deutlich, dass die Interessenlage im Zusammenhang mit dem Datenschutz etwa im Vergleich mit der Informationssicherheit oder aber der IT-Sicherheit eine andere ist. Die Informationssicherheit dient dem allgemeinen Schutz von unternehmensinternen Informationen, die IT-Sicherheit dem Schutz der IT-Infrastruktur. Während also die Informationssicherheit und die IT-Sicherheit mit dem Interesse des Arbeitgebers an einer Vorkehrung gegen Einwirkungen von außen korrelieren, muss dies beim Datenschutz gerade nicht der Fall sein. Dies wird besonders deutlich Anhang des nachfolgenden Beispiels.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

In der Praxis können Arbeitgeber ein gesteigertes tatsächliches Interesse daran haben, ihre Arbeitnehmer im Sinne einer möglichst effizienten Überwachung der Arbeitsleistung eine Totalüberwachung mittels „Keylogger“ zu installieren. Dies ist jedoch konträr zu dem Arbeitnehmerinteresse und entspricht diesem gerade nicht.

Diese Gemengelage macht die Stellung des Datenschutzbeauftragten – ähnlich wie den Betriebsrat –zu einer konfliktträchtigen Position. Um seine Funktion dennoch frei und unabhängig ausüben zu können, muss der Datenschutzbeauftragte – so auch das LAG Nürnberg in seiner Entscheidung vom 19.02.2020 (Az.: 2 Sa 274/19, Rn. 72) – vor Sanktionen durch Abberufung und Kündigung ausreichend geschützt werden.

2. Wann bestelle ich einen internen oder externen Datenschutzbeauftragten?

Als privatrechtlich organisierter Arbeitgeber besteht die Verpflichtung einen Datenschutz­beauftragten zu bestellen insbesondere dann, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wobei die regelmäßige Beschäftigung maßgeblich ist (§ 38 Abs. 1 S. 1 BDSG).

3. Wann darf ich einen internen Datenschutzbeauftragten kündigen oder abberufen?

Wie bereits festgestellt, genießt der interne Datenschutzbeauftragte in Deutschland einen weitreichenden Abberufungs- und Kündigungsschutz. Nach § 6 Abs. 4 S. 1, Abs. 4 S. 2 BDSG ist die Abberufung und Kündigung des internen Datenschutzbeauftragten nur zulässig, wenn es einen wichtigen Kündigungsgrund gibt, der eine fristlose Kündigung rechtfertigt. Einfache betriebliche Gründe reichen nicht.

Hiervon erfasst sind insbesondere schwerwiegende Pflichtverletzungen gegenüber dem Arbeitgeber, die eine weitere Zusammenarbeit schlichtweg unzumutbar erscheinen lassen und denen nicht durch mildere Maßnahmen beizukommen ist. Die Rechtsprechung stellt hier erfahrungsgemäß sehr hohe Anforderungen. Zu denken ist exemplarisch an Straftaten mit Bezug zum Arbeitsverhältnis, ein hinreichender Verdacht ebensolcher oder andere schwerwiegende Pflichtverletzungen (in der Regel, erst nach Abmahnung). Weiter bleibt der einvernehmliche Abschluss eines Aufhebungsvertrags ein gangbarer Weg, um sich von einem Datenschutzbeauftragten zu trennen.

4. Gilt der strenge Schutz vor Abberufung und Kündigung für jeden internen Datenschutzbeauftragten?

Nein! § 38 Abs. 2 BDSG normiert, dass der Kündigungsschutz des internen Datenschutz­beauftragten nur dann gilt, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist. Wird der Datenschutzbeauftragte freiwillig bestellt, so ist er gemäß Art. 38 Abs. 3 DSGVO „lediglich“ weisungsunabhängig und darf wegen der Erfüllung seiner Aufgaben nicht abberufen werden.

5. Existiert ein irgendwie gearteter Schutz auch für externe Datenschutzbeauftragte?

Der externe Datenschutzbeauftrage steht nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Damit kommen ihm auch keine Arbeitnehmerrechte, insbesondere kein weitreichender Kündigungsschutz zu. Eine wichtige Einschränkung besteht allerdings nach Art. 38 Abs. 3 S. 2 DSGVO auch für den externen Datenschutzbeauftragten (vgl. Frage 4).

Fazit

Der Schutz eines Datenschutzbeauftragen vor einer Kündigung und Abberufung ist in Deutschland jedenfalls bei verpflichtender Bestellung sehr hoch. Verantwortliche und Entscheider sind aus diesem Grund gut beraten, die Position nicht derjenigen Person aufzutragen, die gerade „das kürzeste Streichholz zieht“. Vielmehr sollte die Position des Datenschutzbeauftragten von Unternehmen als eine solche gesehen werden, die als qualifizierte Entscheidungshilfe die Prozesse einer Verarbeitung personenbezogener Daten innerhalb des Unternehmens proaktiv und konstruktiv mitbestimmt. Dies kann nur mit qualifiziertem Personal gelingen.

* Der Autor Daniel Wasser ist als Rechtsanwalt und zertifizierter Datenschutzbeauftragter (TÜV) bei Rödl & Partner tätig. Er berät in- und ausländische Unternehmen in Fragen des Individual- und Kollektivarbeitsrechts. Insbesondere berät er in der Schnittstelle von Arbeits- und Datenschutzrecht, wobei ein Fokus auch auf der Implementierung und Anpassung von Datenschutz- oder Compliance-Management Systemen liegt.

(ID:48746093)