Datenschutzbeauftragte beraten und informieren die Verantwortlichen in Unternehmen sowie deren Auftragsverarbeiter in Datenschutzfragen. Zur Rolle gehört es, die Einhaltung der DSGVO-Vorgaben zu überwachen und entsprechende Maßnahmen zu ergreifen – gegebenenfalls auch in Abstimmung mit den Aufsichtsbehörden. Das ist aus Sicht der Unternehmensleitung nicht immer populär. Um weisungsfrei und unabhängig handeln zu können, genießen interne Datenschutzbeauftragte daher besonderen Kündigungsschutz.
Das Wichtigste in Kürze
- Laut DSGVO und nationalem Bundesdatenschutzgesetz (BDSG-neu) genießen interne Datenschutzbeauftragte (DSB) einen besonderen Kündigungsschutz.
- Eine ordentliche Kündigung des Datenschutzbeauftragten ist ausgeschlossen. Es müssen schon Gründe vorliegen, die eine fristlose Kündigung rechtfertigen.
- Auch bei einer einvernehmlichen Abberufung des internen DSB genießt dieser noch für die Dauer eines weiteren Jahres einen Sonderkündigungsschutz.
- Die Haftung für Datenpannen bleibt dagegen weitgehend beim Unternehmen.
- Anders sieht es mit einem externen DSB aus. Dieser haftet für seine Aktivitäten in vollem Umfang. Die Zusammenarbeit kann im Rahmen der vertraglichen Regelungen ohne besondere Gründe beendet werden.
In diesem Beitrag
- Auf welcher gesetzlichen Grundlage genießen interne betriebliche Datenschutzbeauftragte einen besonderen Kündigungsschutz?
- Ist die ordentliche Kündigung des Datenschutzbeauftragten ausgeschlossen?
- Was sind die Unterschiede zwischen Abberufung und Kündigung?
- Gibt es bei Unternehmen mit Betriebsrat ein Mitbestimmungsrecht in DSB-Fragen?
- Wäre eine schwere Datenpanne eigentlich ein Grund für die Kündigung des DSB – und kann dieser haftbar gemacht werden?
- Wie liefe der Prozess einer DSB-Kündigung überhaupt ab?
- Ist ein externer Datenschutzbeauftragter die arbeitsrechtlich bessere Alternative?
- Wie sieht die Situation mit einem externen DSB haftungsrechtlich aus?
- Fazit: Ein externer DSB reduziert die rechtlichen Risiken für Unternehmen
Auf welcher gesetzlichen Grundlage genießen interne betriebliche Datenschutzbeauftragte einen besonderen Kündigungsschutz?
Auf europäischer Ebene ist die Datenschutz-Grundverordnung (DSGVO) heranzuziehen. Diese gibt in Artikel 38 Absatz 3 Satz 2 vor: „Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“ Mit dieser Aussage bleibt die DSGVO in der Frage nach dem Kündigungsschutz für Datenschutzbeauftragte jedoch recht allgemein. Einen arbeitsrechtlich wirksamen Kündigungsschutz formuliert die DSGVO nicht.
Anders sieht es auf nationaler Ebene aus: In Deutschland kommt das Bundesdatenschutzgesetz in neuer Fassung (BDSG-neu) zur Anwendung. Dort heißt es in § 6 Absatz 4 Satz 1 und 2: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 (Fristlose Kündigung aus wichtigem Grund) des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.“
Mehr Informationen über den Vergleich von einem internen und einem externen Datenschutzbeauftragten finden Sie in diesem Artikel.
Ist die ordentliche Kündigung des Datenschutzbeauftragten ausgeschlossen?
Korrekt. Bei internen Datenschutzbeauftragten (DSB) kommt nur die Möglichkeit der außerordentlichen Kündigung infrage. Sprich: Es müssten Gründe für eine fristlose Kündigung gemäß § 626 BGB vorliegen. Arbeitsrechtlich relevant könnte beispielsweise ein schwerwiegendes persönliches Fehlverhalten sein oder ein schwerwiegender betrieblicher Pflichtverstoß wie ein wiederholtes Ignorieren von Datenschutzanfragen. Nur wenn ein solcher Grund vorliegt, können Unternehmen ihren DSB ohne dessen Einwilligung abberufen und die Kündigung aussprechen.
Eine zweite Möglichkeit ist die Abberufung auf Verlangen der zuständigen Datenschutzbehörde. Gemäß § 40 Absatz 6 Satz 2 BDSG-neu können die Aufsichtsbehörden die Abberufung verlangen, wenn die oder der DSB die zur Erfüllung der Aufgaben erforderliche Fachkunde nicht besitzt oder ein schwerwiegender Interessenkonflikt gemäß Artikel 38 Absatz 6 DSGVO vorliegt.
Was sind die Unterschiede zwischen Abberufung und Kündigung?
Gemäß Artikel 37 DSGVO müssen Unternehmen und Organisationen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Die Benennung erfolgt unbefristet und kann nur aus oben geschilderten Gründen widerrufen werden. Ansonsten endet eine unbefristete Benennung nur, wenn sie zwischen der verantwortlichen Stelle und Datenschutzbeauftragten einvernehmlich aufgehoben wird.
Da betriebliche Datenschutzbeauftragte oftmals aus den Reihen der eigenen Belegschaft kommen und ihre DSB-Tätigkeit zusätzlich zu ihrer sonstigen Funktion im Unternehmen ausüben, bleibt die Beschäftigung in der ursprünglichen Rolle durch das Sonderkündigungsrecht geschützt.
In § 6 Absatz 4 Satz 3 BDSG heißt es: „Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“
Gibt es bei Unternehmen mit Betriebsrat ein Mitbestimmungsrecht in DSB-Fragen?
Ein interner Datenschutzbeauftragter wird vom Arbeitgeber ausgewählt und bestellt. Die Auswahl, Bestellung und Abberufung unterliegen nicht der Mitbestimmung des Betriebsrats. Zum Tragen kommt allenfalls ein sehr eng gefasstes Zustimmungsverweigerungsrecht gemäß § 99 Betriebsverfassungsgesetz (BetrVG), sofern die Bestellung des Datenschutzbeauftragten als Versetzung oder Einstellung im Sinne des BetrVG anzusehen ist.
Vor der Abberufung eines Datenschutzbeauftragten ist der Betriebsrat dagegen grundsätzlich anzuhören (§§ 102 Absatz 1 und 2 Satz 3 BetrVG). Gleiches gilt im Falle einer außerordentlichen Kündigung, diese ist ebenso wie die Bestellung als eine Versetzung gemäß § 95 Absatz 3 BetrVG anzusehen, für die der Arbeitgeber die Zustimmung des Betriebsrats einholen muss. Verweigert der Betriebsrat diese, so ist gemäß § 99 Absatz 4 BetrVG die Zustimmung durch arbeitsgerichtliche Ersetzung einzuholen.
Wäre eine schwere Datenpanne eigentlich ein Grund für die Kündigung des DSB – und kann dieser haftbar gemacht werden?
Wenn überhaupt, dann in beiden Fällen unter der Voraussetzung, dass dem internen DSB ein eindeutig schuldhaftes Verhalten nachgewiesen werden kann. Und selbst das reicht pauschal nicht aus. So haftet ein angestellter Datenschutzbeauftragter beispielsweise nicht, wenn er durch leicht fahrlässiges Verhalten schuldhaft eine Datenpanne verursacht haben sollte. In einem solchen Fall müsste das Unternehmen den angestellten DSB von der Haftung freistellen und diese selbst übernehmen.
Bei normaler oder mittlerer Fahrlässigkeit ist immerhin eine Schadenteilung verhandelbar, nur bei grober Fahrlässigkeit kann ein Unternehmen je nach individueller Vereinbarung mit dem DSB womöglich aus der Haftung entlassen werden. Nur eine solche grobe Fahrlässigkeit rechtfertigt dann wohl auch eine fristlose Kündigung des DSB und damit seine Abberufung. Gesetzlich geregelt ist dies in § 6 Absatz 4 Satz 1 BDSG in Verbindung mit § 626 BGB.
Wie liefe der Prozess einer DSB-Kündigung überhaupt ab?
Der interne DSB müsste zunächst einmal abberufen werden – unter Beachtung der gerade genannten gesetzlichen Vorgaben. Noch mal: Eine Kündigung des Arbeitsverhältnisses ist nur möglich, wenn das Verhalten oder grob fahrlässige Fehler des DSB zu einer Kündigung aus wichtigem Grund ohne Einhaltung der Kündigungsfrist berechtigen.
Erfolgt die Abberufung als DSB einvernehmlich, ist eine Kündigung des Arbeitsverhältnisses innerhalb eines Jahres nach Ausscheiden als Datenschutzbeauftragter unzulässig. Es sei denn, es liegen Gründe vor, die eine fristlose Kündigung rechtfertigen. Wichtig: Bei Abberufung des DSB auf freiwilliger Basis ist das Unternehmen verpflichtet, dem Arbeitnehmer eine gleichwertige Tätigkeit anzubieten. Dies ist insbesondere dann eine Herausforderung, wenn der Datenschutzbeauftragte diese Aufgabe in Vollzeit ausgeübt hat.
Wollen Sie sich von Ihrem aktuellen externen DSB trennen? Mit dieser Checkliste ist der Prozess leicht gemacht. Jetzt herunterladen!
Ist ein externer Datenschutzbeauftragter die arbeitsrechtlich bessere Alternative?
In arbeitsrechtlicher Hinsicht haben Unternehmen mit einem externen Datenschutzbeauftragten wie DataGuard gar nichts zu bedenken. Der Grund: Zwischen Unternehmen und externem Datenschutzbeauftragten gibt es kein Arbeitsverhältnis. Es wird lediglich ein Dienstvertrag auf Gegenseitigkeit geschlossen, für den die vertraglich vereinbarten Kündigungsfristen gelten. Es gibt rechtlich weder einen Kündigungsschutz noch arbeitsrechtlich begründete Sonderkündigungsregelungen.
Wie sieht die Situation mit einem externen Datenschutzbeauftragten haftungsrechtlich aus?
Da es zwischen einem Unternehmen und seinem externen Datenschutzbeauftragten kein Arbeitsverhältnis gibt, greift die Haftungsübernahme durch den Arbeitgeber hier nicht. Im Gegenteil: Der externe DSB haftet gegenüber etwaigen Geschädigten in vollem Umfang – dies gilt selbst für den Fall, dass der externe DSB nur leicht fahrlässig gehandelt hat. Haftungstechnisch sind Unternehmen mit einem externen Datenschutzbeauftragten also auf der sicheren Seite.
Mehr Infos zur Alternative externer Datenschutzbeauftragter gibt es hier.
Fazit: Ein externer DSB reduziert die rechtlichen Risiken für Unternehmen
Ein interner Datenschutzbeauftragter muss unabhängig agieren können. Arbeitsrechtlich genießt er daher besonderen Kündigungsschutz. Haftungsrechtlich bleiben die größten Risiken jedoch beim Arbeitgeber. Eine Abberufung des DSB ist nur auf freiwilliger Basis, durch behördliche Anordnung oder aufgrund schwerer Vergehen möglich, die eine fristlose Kündigung rechtfertigen können.
Wesentlich flexibler und freier in ihren Entscheidungen bleiben Unternehmen mit einem externen Datenschutzbeauftragten. Die Zusammenarbeit ist in diesen Fällen mit einem Dienstvertrag zwischen gleichrangigen wirtschaftlichen Partnern geregelt, der im Rahmen der vertraglichen Vereinbarungen jederzeit gekündigt werden kann. Bei schuldhaften Datenpannen und Verstößen gegen die DSGVO haftet der externe Datenschutzbeauftragte.
In unserem Artikel "Datenschutzbeauftragter: ein Überblick" finden Sie alle nützlichen Informationen rund um den DSB.