Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Datenschutz - Datenschutzbeauftragter
Datenschutz - Datenschutzbeauftragter
Inhaltsübersicht
- 1.
- 2.
- 3.
- 4.
- 5.Rechtsprechungs-ABC
- 5.1
- 5.2
- 5.3
- 5.4
- 5.5
- 5.6
- 5.7
- 5.8
- 5.9
- 5.10
- 5.11
- 5.12
Information
1. Allgemeines
Der Arbeitgeber hat in den von der EU-DSGVO, dem BDSG und anderen Vorschriften festgelegten Fällen einen Datenschutzbeauftragten zu benennen. Die Funktion Datenschutzbeauftragter kann sowohl intern - durch einen fachlich geeigneten Mitarbeiter des Betriebs/Unternehmens - als auch extern - durch einen qualifizierten Dienstleister - ausgeübt werden. Das BDSG lässt Arbeitgebern als nichtöffentliche Stelle die freie Wahl. Beide Beauftragte - sowohl der interne wie der externe - müssen allerdings sicherstellen, dass sie ihre Aufgaben nach den EU-DSGVO- und BDSG-Vorgaben erfüllen (s. dazu Gliederungspunkte 2. und 3.).
Praxistipp:
Zur Stellung des Datenschutzbeauftragten sagt Art. 38 Abs. 3 Satz 1 und Satz 2 EU-DSGVO (s. auch § 6 Abs. 3 BDSG): "Der Verantwortliche und der Auftragsbearbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von den Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden."
Der Datenschutzbeauftragte übt eine wichtige Funktion aus (s. dazu Gliederungspunkt 4.). Diese Funktion kann sich unter Umständen sogar gegen den Arbeitgeber richten. Aufgabe des Datenschutzbeauftragten ist es nämlich auch, dafür zu sorgen, dass die datenschutzrechtlichen Standards eingehalten werden - ob der Arbeitgeber das will oder nicht. Das BDSG lässt die Abberufung eines Datenschutzbeauftragten daher nur zu, wenn für seine Abberufung ein wichtiger Grund i.S.d. § 626 BGB vorliegt (§ 6 Abs. 4 Satz 1 BDSG, s. dazu auch Gliederungspunkt 4.2.). Und auch die Kündigung des Datenschutzbeauftragten ist nicht so ohne Weiteres möglich. § 6 Abs. 4 Satz 2 BDSG verlangt für sie ebenfalls einen wichtigen Grund (s. dazu Gliederungspunkt 4.3.).
2. Die Vorgaben der EU-DSGVO
Die Art. 37 ff. EU-DSGVO legen den Grundstein für die Benennung eines Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter. Seine Benennung ist nach Art. 37 Abs. 1 EU-DSGVO u.a. erforderlich, wenn
die Datenverarbeitung von einer Behörde oder öffentlichen Stelle (Ausnahme: Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln) durchgeführt wird (Art. 37 Abs. 1 lit. a) EU-DSGVO),
die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der "Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige oder systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Abs. 1 lit b) EU-DSGVO).
Die Benennung des Datenschutzbeauftragten erfolgt "auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens ..., das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben" (Art. 37 Abs. 5 EU-DSGVO). Er kann Beschäftigter von Verantwortlichem/Auftragsverarbeiter sein oder seine Aufgaben als Externer auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 EU-DSGVO).
Praxistipp:
Der Arbeitgeber muss nicht immer eigene Leute zum Datenschutzbeauftragten benennen, qualifizieren und fortbilden. Er kann externe Dienstleister als Datenschutzbeauftragte einsetzen - die selbstverständlich alle einschlägigen Pflichten nach EU-DSGVO und BDSG bedienen und erfüllen müssen.
Hinweis:
Wichtig nach Nr. (97) der Erwägungsgründe (EWG) zur EU-DSGVO: "Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können."
Die Stellung des Datenschutzbeauftragten wird in Art. 38 EU-DSGVO beschrieben. Zu seinen Aufgaben gehören nach Art. 39 EU-DSGVO u.a.:
Unterrichtung/Beratung von Verantwortlichem/Auftragsverarbeiter und Beschäftigten, die Datenverarbeitung durchführen, über ihre Pflichten nach der EU-DSGVO und sonstigen Datenschutzbestimmungen (Art. 39 Abs. 1 lit. a) EU-DSGVO),
Überwachung der Einhaltung der EU-DSGVO-Bestimmungen und anderer EU-Datenschutzregelungen sowie der nationalen Bestimmungen des jeweiligen Mitgliedsstaats (Art. 39 Abs. 1 lit. b) EU-DSGVO),
Zuammenarbeit mit den Aufsichtsbehörden (Art. 39 Abs. 1 lit. d) EU-DSGVO).
Der Datenschutzbeauftragte trägt bei Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung. Dabei hat er Art, Umfang, Umstände und Zweck der Datenverarbeitung zu berücksichtigen (Art. 39 Abs. 2 EU-DSGVO).
3. Die Regelungen des BDSG
Die §§ 5 ff. BDSG geben die maßgeblichen Bestimmungen für
den Datenschutzbeauftragten öffentlicher Stellen (§§ 5 bis 7 BDSG) und
den Bundesbeauftragten für Datenschutz und Informationsfreiheit (§§ 8 bis 16 BDSG)
vor. § 38 Abs. 1 Satz 1 BDSG ergänzt für nichtöffentliche Stellen wie den Arbeitgeber:
"Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."
Praxistipp:
§ 38 Abs. 1 Satz 1 BDSG stellt eine Erleichterung für mittelständische Arbeitgeber dar, bei denen nur wenige Mitarbeiter mit der Datenverarbeitung beschäftigt sind. Bevor man sich daher als Arbeitgeber/Personaler Gedanken über die Benennung eines Datenschutzbeauftragten macht, sollte man prüfen, wie viel Beschäftigte im Betrieb/Unternehmen überhaupt ständig und automatisiert personenbezogene Daten verarbeiten.
Unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen haben nichtöffentliche Stellen einen Datenschutzbeauftragten zu benennen, wenn "der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen" vornehmen, "die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen" oder wenn sie "personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung" verarbeiten (§ 38 Abs. 1 Satz 2 BDSG).
Mit der Regelung in § 38 Abs. 2 BDSG
"§ 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist."
wird der Datenschutzbeauftragte nichtöffentlicher Stellen kündigungsrechtlich dem Beauftragten öffentlicher Stellen gleichgestellt (s. dazu Gliederungspunkt 4. und das Stichwort Kündigungsschutz - gesetzlicher).
Der Datenschutzbeauftragte nichtöffentlicher Stellen hat die Aufgaben zur erfüllen, die EU-DSGVO und BDSG an Datenschutzbeauftragte stellen (s.o. Gliederungspunkt 2.) Das heißt insbesondere:
Unterrichtung/Beratung von Verantwortlichen/Beschäftigten in puncto ihrer datenschutzrechtlichen Rechte und Pflichten
Überwachung der Einhaltung aller Datenschutzvorschriften - z.B. durch regelmäßige Kontrollen
Überwachung der Strategien für den Schutz personenbezogener Daten
Schaffung von Transparenz in der betrieblichen Datenverarbeitung
Zuweisung von Zuständigkeiten
Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten
Erteilung von Auskünften
Benachrichtigung Betroffener über die Verarbeitung ihrer personenbezogenen Daten
Beratung in puncto Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
Zusammenarbeit mit der Aufsichtsbehörde
"und gegebenenfalls Beratung zu allen sonstigen Fragen"
Praxistipp:
Schon die wenigen aufgezählten Punkte lassen erkennen, dass die Benennung eines Datenschutzbeauftragten nicht einfach so ins Blaue hinein erfolgen sollte. Der Beauftragte hat eine verantwortungsvolle Position und braucht einschlägige Kenntnisse auf dem Gebiet des Datenschutzes. Kenntnisse, die ihm möglicherweise erst durch eine vom Arbeitgeber finanzierte Fortbildung vermittelt werden.
Das Maß der erforderlichen Fachkunde lässt sich nicht generell bestimmen. Entscheidend ist der konkrete betriebliche Bedarf. Dieser Bedarf wird durch den Umfang der zu verarbeitenden Daten und das Schutzbedürfnis der personenbezogenen Daten festgelegt. Der Datenschutzbeauftragte darf in Ausübung seiner Rechte und Pflichten nicht wegen gleichzeitig wahrzunehmender anderer Aufgaben in Interessenkonflikte kommen. Das könnte z.B. bei Betriebsratsmitgliedern und Leitern der IT-Abteilung der Fall sein.
4. Der besondere Schutz Datenschutzbeauftragter
Der betriebliche Datenschutzbeauftragte ist ein Funktionsträger. Er übt die Funktion "Datenschutzbeauftragter" unabhängig aus. Das kann unter Umständen dazu führen, dass der Schutz von Daten den wirtschaftlichen Interessen von Betrieb/Unternehmen zuwiderläuft. So darf der Datenschutzbeauftragte vom Arbeitgeber auch gegen dessen Willen Maßnahmen verlangen, die teuer bezahlt werden müssen. Ein Umstand mit, der es rechtfertigt, betrieblichen Datenschutzbeauftragten einen besonderen gesetzlichen Schutz zukommen zu lassen (s. dazu auch das Stichwort Kündigungsschutz - gesetzlicher).
4.1 Vertragliche und gesetzliche Grundlage
Das BDSG sagt nicht, welches Rechtsverhältnis mit der Benennung zum Datenschutzbeauftragten begründet wird beziehungsweise begründet werden soll. Denkbar sind grundsätzlich drei Modelle:
Arbeitsvertrag: Wird der Datenschutzbeauftragte bereits als Arbeitnehmer des Verantwortlichen beschäftigt, wird diese Tätigkeit Inhalt seines Arbeitsvertrags (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 22.03.1994 - 1 ABR 51/93).
Geschäftsbesorgungsvertrag: Wird einem Arbeitnehmer die Aufgabe "Datenschutzbeauftragter" gem. §§ 611, 675 BGB neben dem Arbeitsvertrag übertragen, muss das ausdrücklich vereinbart werden. Der Abschluss eines Geschäftsbesorgungsvertrags neben einem laufenden Arbeitsvertrag ist in der Praxis eher die Ausnahme (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 22.03.1994 - 1 ABR 51/93).
Dienstvertrag: Wird ein Externer als Datenschutzbeauftragter eingesetzt, ist dafür der BGB-Dienstvertrag die richtige Lösung.
Gem. § 38 Abs. 2 Halbs. 1 BDSG finden
§ 6 Abs. 4 BDSG (= besonderer Schutz vor Abberufung und Kündigung, s. dazu Gliederungspunkte 4.2. und 4.3.),
§ 6 Abs. 5 Satz 2 BDSG (= Verschwiegenheitspflicht) und
§ 6 Abs. 6 BDSG (= Zeugnisverweigerungsrecht)
auch für den Datenschutzbeauftragten nichtöffentlicher Stellen Anwendung.
Die Zustimmung des Arbeitnehmers zu seiner Benennung als Datenschutzbeauftragter erweitert seine arbeitsrechtlichen Rechte und Pflichten (BAG, 13.03.2007 - 9 AZR 612/05). Die Benennung führt zu einer Änderung des Arbeitsvertrags, die der Arbeitgeber nicht via Direktionsrecht umsetzen kann (BAG, 13.03.2007 - 9 AZR 612/05).
Der Betriebsrat hat bei der Frage, ob der Arbeitgeber einen internen oder externen, ja überhaupt einen Datenschutzbeauftragten bestellt, kein Beteiligungs- oder Mitbestimmungsrecht. Die Mitbestimmung nach § 99 BetrVG greift lediglich dann, wenn die Benennung gleichzeitig als Einstellung oder Versetzung i.S.d. § 99 BetrVG anzusehen ist.
4.2 Die Abberufung des Datenschutzbeauftragten
Die Abberufung eines Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 BGB zulässig - es muss also ein wichtiger Grund für die Abberufung vorliegen (s. dazu das Stichwort Kündigung - außerordentliche: wichtiger Grund).
Beispiel:
Datenschutzbeauftragter D verpasst eine Sitzung mit dem Betriebsrat, weil er im Verkehr stecken geblieben ist. Arbeitgeber G hatte sich für die Sitzung extra von Terminen mit Zulieferern freigehalten und ist über die "vertane" Zeit so erbost, dass er D gleich abberufen will. Das geht nicht. Das einmalige - hier zudem nicht mal verschuldete - Verpassen eines Termins ist kein wichtiger Grund i.S.d. § 626 Abs. 1 BGB.
Die Abberufung ist nach § 6 Abs. 4 Satz 1 BDSG nur zulässig, wenn es dem Verantwortlichen nicht zugemutet werden kann, den benannten Datenschutzbeauftragten länger in dieser Funktion zu behalten, weil er in erheblichem Maß gegen seine BDSG-Pflichten verstoßen hat.
Beispiel:
Datenschutzbeauftragter D hat Zugriff auf alle personenbezogenen Beschäftigtendaten von Arbeitgeber G. D's Freund F arbeitete als Versicherungsmakler und bittet ihn, ihm Beschäftigtendaten zur Verfügung zu stellen, damit er diese Beschäftigten gezielt wegen einer betrieblichen Altersversorgung via Entgeltumwandlung anschreiben und umwerben kann. D bekommt für seine "Freundschaftsdienste" eine Prämie von 20,00 EUR pro überlassener Adresse. Damit hat sich D eindeutig für seine Tätigkeit als Datenschutzbeauftragter disqualifiziert und G kann ihn abberufen.
Hat der Arbeitgeber die Funktion "Datenschutzbeauftragter" einem seiner Mitarbeiter übertragen, ist die Abberufung vom Ansatz her eine Teilkündigung. Diese - eigentlich unzulässige - Teilkündigung eines Arbeitsvertrags erfasst nicht den Bestand des Arbeitsverhältnisses als solches, sondern nur die Funktion "Datenschutzbeauftragter". Das schuldrechtliche Grundverhältnis Arbeitsvertrag und die Benennung nach dem BDSG sind insoweit (un)lösbar (Anm. d. Verf.) miteinander verknüpft. Die - hier ausnahmsweise - zulässige Teilkündigung ist in Fällen anerkannt, in denen sich ein Gesamtvertragsverhältnis aus mehreren Teilverträgen zusammensetzt und diese Teilverträge nach dem Gesamtbild des Vertrages jeweils für sich als selbstständig lösbar aufgefasst werden müssen (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 14.11.1990 - 5 AZR 509/89). Entscheidend sind immer die Umstände des Einzelfalls.
Ansonsten gilt: "Teilkündigungen, mit denen der Kündigende einzelne Vertragsbedingungen gegen den Willen der anderen Vertragspartei einseitig ändern will, sind grundsätzlich unzulässig. Sie stellen einen unzulässigen Eingriff in das ausgehandelte Äquivalenz- und Ordnungsgefüge des Vertrags dar" (s. dazu BAG, 25.02.1988 - 2 AZR 346/87; BAG, 23.08.1989 - 5 AZR 569/88 u. BAG, 14.11.1990 - 5 AZR 509/89). "Nur ausnahmsweise können Teilkündigungen zulässig sein, wenn dem einen Vertragspartner das Recht hierzu eingeräumt wurde und kein zwingender Kündigungsschutz umgangen wird" (BAG, 23.03.2011 - 10 AZR 562/09 - mit Hinweis auf BAG, 14.11.1990 - 5 AZR 509/89; BAG, 06.11.2007 - 1 AZR 826/06 - und BAG, 13.03.2007 - 9 AZR 612/05).
Praxistipp:
Was immer möglich ist: die einvernehmliche Abberufung (s. dazu das Stichwort Aufhebungsvertrag - Allgemeines). Arbeitgeber und Datenschutzbeauftragter müssen sich dann nur darüber einig werden, dass der Mitarbeiter seine Funktion "Datenschutzbeauftragter" ab dem Zeitpunkt X nicht mehr ausübt.
Der besondere Abberufungsschutz ergibt sich hier daraus, dass für die Abberufung ein wichtiger Grund vorhanden sein muss.
4.3 Die Kündigung des Datenschutzbeauftragten
Von der Abberufung eines Arbeitnehmers als Datenschutzbeauftragter ist die Kündigung seines Arbeitsverhältnisses zu unterscheiden (s. dazu auch das Stichwort Kündigungsschutz - gesetzlicher). Dazu sagt § 6 Abs. 4 Satz 2 BDSG:
"Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle [in diesem Zusammenhang: den Arbeitgeber] zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen."
Ein wichtiger Grund i.S.d. § 6 Abs. 4 Satz 2 BDSG kann nur bejaht werden,
"wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des" Arbeitsverhältnisses "bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des" Arbeitsverhältnisses "nicht zugemutet werden kann."
Der wichtige Grund i.S.d. § 6 Abs. 4 Satz 2 BDSG muss nicht unbedingt mit der Funktion "Datenschutzbeauftragter" verknüpft sein.
Beispiel:
Datenschutzbeauftragter D ist in Verdacht geraten, in größerem Umfang Ware aus Arbeitgeber G's Lager fortgeschafft zu haben. G spricht D auf seinen Verdacht an, der zuckt nur mit den Schultern und sagt großspurig: "Das müssen Sie mir erst mal nachweisen." Kann G die Verdachtsmomente nachprüfbar belegen, ist das ein Fall für eine außerordentliche Verdachtskündigung. Der Diebstahlsverdacht ist ein wichtiger Grund, D's Arbeitsverhältnis zu kündigen.
Der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG gilt gem. § 38 Abs. 2 Halbs. 2 BDSG aber nur dann, "wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist." Die Verpflichtung ergibt sich aus § 38 Abs. 1 BDSG, Art. 37 Abs. 1 EU-DSGVO und etwaigen Spezialgesetzen.
Praxistipp:
Arbeitgeber, die nicht benennungspflichtig sind, werden durch § 6 Abs. 4 Satz 2 BDSG nicht an einer Kündigung ihres freiwillig benannten Datenschutzbeauftragten gehindert.
Wie BetrVG-Mandatsträger haben auch Datenschutzbeauftragte einen nachwirkenden Kündigungsschutz. Ihre ordentliche Kündigung ist nach dem Ende ihrer Tätigkeit als Datenschutzbeauftragter innerhalb eines Jahres unzulässig (§ 6 Abs. 4 Satz 3 BDSG). Ausnahme: Der Arbeitgeber hat für die Kündigung einen wichtigen Grund.
Kündigt der Arbeitgeber betriebsbedingt einen oder mehrere Mitarbeiter, ist der Datenschutzbeauftragte wegen seines Sonderkündigungsschutzes nicht in die Sozialauswahl nach § 1 Abs. 3 KSchG einzubeziehen (LAG Baden-Württemberg, 26.08.2008 - 8 Sa 60/07).
5. Rechtsprechungs-ABC
In diesem Gliederungspunkt werden einige der interessantesten Entscheidungen zum Thema Datenschutzbeauftragter in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt:
5.1 Abberufung
Es passiert bisweilen, dass die EU-rechtlichen Anforderungen vom nationalen Gesetzgeber nicht ganz genau getroffen werden. So mag es möglich sein, dass die strengen BDSG-Bestimmungen zur Abberufung eines Datenschutzbeauftragten nicht mit der in diesem Punkt liberaleren EU-DSGVO konform gehen. Zum Beispiel in einem Fall, in dem der Datenschutzbeauftragte gleichzeitig Mitglied - hier sogar der freigestellte Vorsitzende - des Betriebsrats ist. Da kann es dann schon mal zu einer Interessenkollision kommen und die Unvereinbarkeit beider Ämter ein wichtiger Grund für die Abberufung des Datenschutzbeauftragten sein. Kann - muss aber nicht. Sicherheitshalber hat das BAG nun den EuGH um Vorabentscheidung ersucht, ob das Innehaben beider Ämter wirklich zu einem Interessenkonflikt führe und die - strengere - nationale Regelung in § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 Satz 1 BDSG mit dem Erfordernis eines wichtigen Grundes für die Abberufung gegenüber der Regelung in Art. 38 Abs. 3 Satz 2 EU-DSGVO Bestand hat (BAG, 27.04.2021 - 9 AZR 383/19 (A)).
5.2 Abberufung/Benachteiligung
Art. 38 Abs. 3 Satz 2 EU-DSGVO sieht vor: "Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden." Da könnte es bei der Anwendung nationalen Rechts Probleme geben. Und so hat das BAG dem EuGH die Frage vorgelegt: "1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?"
Aber das ist noch nicht alles: "Falls die erste Frage bejaht wird: 2. Steht Art. 38 Abs. 3 Satz 2 EU-DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?“ Schließlich meldet das BAG sogar Zweifel an der Legitimation des EU-Verordnungsgebers für den in Art. 38 Abs. 3 Satz 2 EU-DSGVO geregelten Sachverhalt an. Die EU wird nach den maßgeblichen EUV-Bestimmungen "nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben." Daher: "Falls die erste Frage bejaht wird: 3. Beruht Art. 38 Abs. 3 Satz 2 EU-DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?" (BAG, 30.07.2020 – 2 AZR 225/20 (A)).
5.3 Arbeitsvertragliche Grundlage
Das Arbeitgeber-Direktionsrecht ist keine geeignete Basis, einem Arbeitnehmer die Funktion "Datenschutzbeauftragter" zu übertragen. Arbeitgeber und Arbeitnehmer müssen vereinbaren, dass die Funktion und die mit ihr verbundenen Tätigkeiten Teil der vertraglich geschuldeten Leistung sein sollen. Die Vereinbarung kann sogar durch schlüssiges Verhalten und bloße Annahme des Amtes erfolgen. "Damit erweitern sich die arbeitsvertraglichen Rechte und Pflichten des Arbeitnehmers um die Tätigkeit eines Beauftragten für den Datenschutz" (s. dazu BAG, 13.03.2007 - 9 AZR 612/05 - und BAG, 22.03.1994 - 1 ABR 51/93). Der konkrete Inhalt der Vertragsänderung ist durch Auslegung zu ermitteln (§§ 133, 157 BGB). Dabei sind alle tatsächlichen Begleitumstände der Erklärung zu berücksichtigen (BAG, 29.09.2010 - 10 AZR 588/09 - mit Hinweis auf BAG, 02.07.2008 - 10 AZR 378/07 - und BAG, 13.12.2006 - 10 AZR 787/05).
5.4 Interessenkonflikt
"Betriebsbedingte Kündigungsgründe können die fristlose Kündigung nur im Ausnahmefall rechtfertigen. Entscheidend ist, dass das Arbeitsverhältnis auf Dauer sinnentleert wäre. Eine analoge Anwendung von § 15 IV auf den Datenschutzbeauftragten scheidet aus. § 4 f BDSG enhält eine eigenständige abschließende Regelung. Bei einem bestehenden Interessenkonflikt ist die Abberufung als Datenschutzbeauftragter möglich" (LAG Düsseldorf, 23.07.2012 - 9 Sa 593/12 - Leitsatz - zu einem Fall, in dem der Datenschutzbeauftragte gleichzeititg als IT-Leiter tätig geworden ist).
5.5 Intern/extern - 1
Der Arbeitgeber ist weitgehend frei darin, sein Unternehmen zu organisieren. Eine einmal getroffene Organisationsentscheidung muss daher nicht auf Dauer angelegt sein. Sie kann geändert oder widerrufen werden. Bei der Entscheidung für einen internen Datenschutzbeauftragten ist das allerdings nicht so ohne Weiteres möglich: "Wirtschaftliche und betriebsorganisatorische Gründe können nur im Ausnahmefall den Widerruf der Bestellung eines Datenschutzbeauftragten im Sinne von § 4f Abs. 3 Satz 4 BDSG a.F. (= § 6 Abs. 4 Satz 1 BDSG n.F.) begründen. Die Absicht einer konzernweit einheitlichen Betreuung des Datenschutzes durch einen externen Beauftragten ist kein wichtiger Grund im Sinne dieser Vorschrift" (LAG Berlin-Brandenburg, 28.05.2009 - 5 Sa 434/09).
5.6 Intern/extern - 2
Die nichtöffentliche Stelle hat bei der erstmaligen Bestellung eines Datenschutzbeauftragten die Wahlfreiheit zwischen einem internen oder einem externen Beauftragten. Dieses freie Bestellungs- und Auswahlrecht eröffnet aber nicht die Möglichkeit, den "bereits bestellten Beauftragten für den Datenschutz ohne Weiteres aufgrund einer erneuten Organisationsentscheidung wieder abzuberufen." Der besondere Abberufungsschutz des einmal bestellten Datenschutzbeauftragten würde hinfällig, wenn man der nichtöffentlichen Stelle für den Fall, dass sie in puncto Datenschutzbeauftragter neu ausrichtet, eine jederzeitige Widerrufsmöglichkeit einräumen würde. Die "Umentscheidung" ist kein wichtiger Grund i.S.d. § 4f Abs. 3 Satz 4 BDSG a.F. = § 6 Abs. 5 Satz 1 BDSG n.F. (BAG, 23.03.2011 - 10 AZR 562/09).
5.7 Kündigungsschutz
Die Vorschriften über die Bestellung eines Datenschutzbeauftragten galten nach § 4f Abs. 1 Satz 4 BDSG a.F. nicht "für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigten. "Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF" (BAG, 05.12.2019 - 2 AZR 223/19 - Leitsatz).
5.8 Rechtsanwalt als externer Beauftragter
"1. Ein externer Datenschutzbeauftragter übt auch dann, wenn er zugleich als Rechtsanwalt tätig ist, keinen in § 18 Abs. 1 Nr. 1 EStG genannten Katalogberuf aus. 2. Da ein Datenschutzbeauftragter ohne eine akademische Ausbildung tätig werden kann, übt er auch keine dem Beruf des Rechtsanwalts ähnliche Tätigkeit i.S. des § 18 Abs. 1 Nr. 1 Satz 2 EStG aus (Anschluss an BFH-Urteile vom 05.06.2003 - IV R 34/01, BFHE 202, 336, BStBl II 2003, 761; vom 26.06.2003 - IV R 41/01, BFH/NV 2003, 1557). 3. Die Tätigkeit des externen Datenschutzbeauftragten ist auch nicht den sonstigen selbständigen Tätigkeiten i.S. des § 18 Abs. 1 Nr. 3 EStG zuzuordnen" (BFH, 14.01.2020 – VIII R 27/17 – Leitsätze – mit dem Ergebnis, dass Anwalt hier als gewerblicher Unternehmer i.S.d. § 141 AO und nicht als Freiberufler anzusehen war).
5.9 Stellvertretende Datenschutzbeauftragte - 1
"Eine gesetzliche Pflicht zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten ergibt sich aus § 4f Abs. 1 BDSG" (a.F. = § 5 Abs. 1 BDSG n.F.), wenn der zunächst bestellte Datenschutzbeauftragte für einen längeren Zeitraum verhindert ist und Aufgaben im Zuständigkeitsbereich des Datenschutzbeauftragten zu erledigen sind. Stellvertretende Datenschutzbeauftragte genießen jedenfalls dann den Sonderkündigungsschutz gem. § 4f Abs. 3 Satz 5 BDSG" (a.F. = § 6 Abs. 4 Satz 1 BDSG n.F.), "wenn sie während der Verhinderung des (Haupt-)Datenschutzbeauftragten dessen Tätigkeit tatsächlich wahrgenommen haben" (LAG Hamburg, 21.07.2016 - 8 Sa 32/16 - Leitsätze).
5.10 Stellvertretende Datenschutzbeauftragte - 2
Unterliegt eine Stelle der Bestellpflicht nach § 4f Abs. 1 BDSG a.F. (= § 5 BDSG n.F.) und benennt diese Stelle gleich mehrere Datenschutzbeauftragte, bekommen alle Datenschutzbeauftragte den Sonderkündigungsschutz nach § 4f Abs. 3 Satz 5 BDSG a.F. (= § 6 Abs. 4 Satz 2 BDSG n.F.). Ob die Bestellung eines weiteren - stellvertretenden - Datenschutzbeauftragten überhaupt erforderlich war, ist in diesem Zusammenhang unerheblich. Eine Kündigung, die gegen § 4f Abs. 3 Satz 5 BDSG a.F. (= § 6 Abs. 4 Satz 2 BDSG n.F.) verstößt, ist nach § 134 BGB nichtig (BAG, 27.07.2017 - 2 AZR 812/16).
5.11 Weiterbeschäftigungsanspruch
Vereinigen sich Krankenkassen, werden die bisherigen Krankenkassen geschlossen, § 144 Abs. 4 Satz 1 SGB V. Mit Wirksamwerden der Vereinigung tritt die neue Kasse in die Rechte und Pflichten der bisherigen Krankenkassen ein, § 144 Abs. 4 Satz 2 SGB V. Das bedeutet für den BDSG-Datenschutzbeauftragten: "1. Wird ein Arbeitnehmer im bestehenden Arbeitsverhältnis zum Beauftragen für den Datenschutz bestellt, liegt darin regelmäßig das Angebot des Arbeitgebers, den Arbeitsvertrag um die mit dem Amt verbundenen Aufgaben für dessen Dauer nach Maßgabe der gesetzlichen Bestimmungen zu erweitern. 2. Bei einer Fusion gesetzlicher Krankenkassen erlischt das Amt des Datenschutzbeauftragten bei den geschlossenen Krankenkassen. Das Amt geht nicht nach § 144 Abs. 4 Satz 2 SGB V auf die neu gebildete Krankenkasse über" (BAG, 29.09.2010 - 10 AZR 588/09 - Leitsätze - mit dem Ergebnis, dass es keinen Anspruch gibt, in Fällen dieser Art als Datenschutzbeauftragter weiterbeschäftigt zu werden).
5.12 Wichtige Gründe
Der wichtige Grund i.S.d. § 4f Abs. 3 Satz 4 BDSG a.F. (= § 6 Abs. 4 Satz 1 BDSG n.F.) muss es dem Arbeitgeber unzumutbar machen, seinen Mitarbeiter bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin als Datenschutzbeauftragten einzusetzen. "Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden". In Frage kommen beispielsweise Geheimnisverrat oder eine dauerhafte Verletzung von Kontrollpflichten, aber auch die Beendigung des zugrunde liegenden Arbeitsverhältnisses (BAG, 23.03.2011 - 10 AZR 562/09).
