2. DSAnpUG: Abberufung des betrieblichen Datenschutzbeauftragten

Fachbeitrag

Nachdem der Bundesrat am 20.09.2019 seine Zustimmung zum 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG -EU) gab, wurde die finale Fassung des Gesetzes am gestrigen Tage im Bundesgesetzblatt veröffentlicht. Die hierin vorgenommenen Änderungen im Bundesdatenschutzgesetz und zahlreichen weiteren Gesetzen traten somit am 26.11.2019 in Kraft. Enthalten sind nicht nur Anpassungen etwa im Arbeitnehmerdatenschutz, sondern auch eine grundlegende Anpassung der Pflicht zur Benennung eines Datenschutzbeauftragten.

Was hat sich geändert?

Die europarechtliche Voraussetzungen für die Verpflichtung zur Benennung eines Datenschutzbeauftragten sind in Art. 37 DSGVO geregelt. Nach der europäischen Norm besteht eine Benennungspflicht insbesondere für Unternehmen, die beispielsweise bei Ausübung ihrer Kerntätigkeit sensible Daten verarbeiten oder für deren Tätigkeit umfangreiche Überwachung von betroffenen Personen nötig ist.

Der deutsche Gesetzgeber hat von der Öffnungsklausel des Art. 37 Abs. 4 S. 1 DSGVO Gebrauch gemacht. § 38 BDSG regelte bislang für deutsche Verantwortliche die Pflicht, einen Datenschutzbeauftragten zu benennen, soweit „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind.

Durch die aktuelle Änderung wurde diese Grenze auf 20 Personen erhöht. Somit entfällt für viele kleinere Unternehmen die Verpflichtung, einen Datenschutzbeauftragten zu benennen. Oftmals stellt sich nun die Frage, ob und wie bereits benannte Datenschutzbeauftragte von dieser Pflicht wieder entbunden werden können und ob dies überhaupt sinnvoll ist.

Bereits benannte Datenschutzbeauftragte

Viele kleinere Unternehmen dürften – gebeutelt von den Strapazen des vergangenen Datenschutzjahres – im ersten Moment aufatmen. Ein externer Datenschutzbeauftragter stellt einen Kostenfaktor dar, die interne Wahrnehmung dieser Aufgabe ebenso oder sie bindet Ressourcen, die viel besser anderweitig eingesetzt werden könnten. Doch kann man einen Datenschutzbeauftragten so leicht wieder loswerden?

Die Aufgaben des Datenschutzbeauftragten soll dieser gem. Art. 38 DSGVO unabhängig und frei ausüben können. Zu diesem Zweck genießt der Datenschutzbeauftragte diverse Sicherheiten, die vor einer Einflussnahme der verantwortlichen Stelle schützen sollen. Diese betreffen in besonderem Maße interne Datenschutzbeauftragte. Ein externer Dienstleister ist als solcher im Wesentlichen an den geschlossenen Dienstleistungsvertrag gebunden, der beispielsweise nach Ablauf der vereinbarten Vertragslaufzeit endet. Außerplanmäßige Kündigungen sind jedoch in der Regel nur bei Vorliegen eines wichtigen Grundes möglich. Die Erhöhung der gesetzlichen Obergrenze für die Pflicht zur Bestellung eines Datenschutzbeauftragten stellt einen solchen wichtigen Grund dar. Weitaus höhere Schutzmechanismen bestehen hingegen für interne betriebliche Datenschutzbeauftragte.

Abberufungsschutz

Der interne betriebliche Datenschutzbeauftragte genießt grundsätzlich einen Schutz vor Abberufung. Einmal benannt, kann er nur bei Vorliegen eines wichtigen Grundes wieder abberufen werde. Dies folgt aus § 6 Abs. 4 S. 1 i.V.m. § 38 Abs. 2 BDSG sowie einer entsprechenden Anwendung des § 626 BGB. Ein wichtiger Grund kann insbesondere in einer Vernachlässigung der Pflichten als Datenschutzbeauftragter, in schwerwiegenden Versäumnissen bei der Beratung oder eklatanten Mängeln der Fachkunde, gesehen werden.

Gerade nicht ausreichend ist aber beispielsweise ein Zerwürfnis mit dem Arbeitgeber. So ist es nicht möglich, den Datenschutzbeauftragten schlicht deshalb abzuberufen, weil er „unbequem“ geworden ist. Ebenfalls ist es bereits aus der DSGVO heraus nicht möglich, einen Datenschutzbeauftragten gerade aufgrund der (ordnungsgemäßen) Wahrnehmung seiner Aufgaben abzuberufen. Dies ergibt sich aus Art. 38 Abs. 3 DSGVO.

An dieser Stelle sei erwähnt, dass zumindest der hier geschilderte nationale Abberufungsschutz europarechtlich zumindest umstritten ist. Denn die DSGVO sieht genau genommen für die Abberufung – als Spiegelbild der Benennung – keine gesonderten Voraussetzungen vor. Auch enthält die DSGVO keine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglichen würde, entsprechende Regelungen zu treffen. Der Gesetzgeber beruft sich darauf, dass es sich hierbei um Regelungen des Arbeitsrechtes handele. Dies mag für den unten dargestellten Sonderkündigungsschutz zwar stimmen, ob dies aber auch für die Abberufung als solche gilt, kann zumindest hinterfragt werden.

Sonderkündigungsschutz

Der interne betriebliche Datenschutzbeauftragte genießt zusätzlich ein Sonderkündigungsrecht aus § 6 Abs. 4 S. 2 i.V.m. § 38 Abs. 2 BDSG. Danach können Beschäftigte, die zu betrieblichen internen Datenschutzbeauftragten bestellt wurden, nur bei Vorliegen der Voraussetzungen für eine außerordentliche (fristlose) Kündigung entlassen werden. Dieser Kündigungsschutz besteht darüber hinaus für ein Jahr nach dem Ende der Tätigkeit als interner Datenschutzbeauftragter fort. Dies soll sicherstellen, dass unliebsame betriebliche Datenschutzbeauftragte nicht einfach entfernt werden können und Mitarbeiter auch nicht mit unmittelbaren Repressalien nach Ende der Tätigkeit rechnen müssen.

Keine Nichtigkeit wegen Interessenkonflikts

Wie bereits an anderer Stelle besprochen gilt es bei der Benennung von betrieblichen Datenschutzbeauftragten, Interessenkonflikte zu vermeiden. So ist beispielsweise die Benennung eines Mitgliedes der Geschäftsführung zum Datenschutzbeauftragten kritisch zu betrachten, da eine Unabhängigkeit von betrieblichen Belangen hier nicht sichergestellt werden kann.

Das reine Vorliegen eines solchen Interessenkonfliktes sorgt jedoch nicht per se für eine ursprüngliche Nichtigkeit der Benennung. Selbst wenn also ein Konflikt festgestellt werden sollte, so sind oben genannte Schutzregelungen bei der Abberufung zu beachten. Zwar ist ein Interessenkonflikt wohl regelmäßig als wichtiger Grund für eine Abberufung anzusehen. Allerdings ist auch die Konstellation denkbar, dass ein ehemals vorliegender Interessenkonflikt zum Zeitpunkt der gewünschten Abberufung schlicht nicht mehr vorliegt. In diesem Fall muss geprüft werden, ob die frühere Kollision der Interessen auch jetzt noch als wichtiger Grund fortwirkt.

Diese Konsequenz ergibt sich bereits daraus, dass Art. 38 Abs. 6 S. 2 DSGVO zwar besagt, dass Interessenkonflikte zu vermeiden sind, nicht jedoch die Rechtsfolgen eines solchen Verstoßes beschreibt. Angesichts der grundsätzlichen Möglichkeit einer Abberufung besteht hierfür allerdings auch kein Bedarf.

Auswirkungen der Gesetzesänderung

Angesichts der Änderung der Voraussetzungen für eine verpflichtende Benennung stellt sich nun die Frage: Können vormals verpflichtend zu benennende betriebliche interne Datenschutzbeauftragte in kleineren Unternehmen nun ohne Weiteres abberufen und gekündigt werden? Oder bestehen die restriktiven Anforderungen zur Abberufung und der Kündigung fort?

Sicherstellung der Unabhängigkeit

Für ein Fortbestehen der Schutzmechanismen spricht, dass die Aufgaben des Datenschutzbeauftragten nach der DSGVO unabhängig und frei von Weisungen wahrgenommen werden sollen. Dazu gehört gemäß Art. 38 Abs. 3 DSGVO insbesondere ein Schutz vor Repressalien oder Abberufung aufgrund der entsprechenden Aufgabenerfüllung.

Für die Stellung und die Aufgaben des Datenschutzbeauftragten kommt es überdies nicht darauf an, ob dieser obligatorisch ist oder mangels einer Verpflichtung freiwillig benannt wurde.

Exemplarisch lässt sich hierfür eine Entscheidung des Hessischen Landesarbeitsgerichts vom 13.02.2019 heranziehen. Danach verliert ein Datenschutzbeauftragter sein Sonderkündigungsrecht nicht allein deshalb, weil das Unternehmen die zur verpflichtenden Benennung nötige Mitarbeiterzahl nach der Benennung unterschreitet. Argumentiert wurde damit, dass der Datenschutzbeauftragte zur Wahrung seiner Aufgaben nicht gezwungen sein sollte, stets die aktuelle Mitarbeiterzahl des Unternehmens im Blick zu behalten, bevor kontroverse Einschätzungen abgegeben werden. Hierzu muss angemerkt werden, dass die zitierte Entscheidung noch auf Basis des alten BDSG gefällt wurde.

Klarer Gesetzeswortlaut

Allerdings ist der Sachverhalt, die das LAG Hessen zu beurteilen hatte, nicht wirklich mit der vorliegenden Gesetzeslage zu vergleichen. Wo es bei Schwankungen des Mitarbeiterbestandes innerhalb eines einzelnen Unternehmens durchaus vertretbar erscheint, das Bestehen eines Sonderkündigungsrechts nicht von betrieblichen Veränderungen abhängig zu machen, handelt es sich hier um eine bundesweite Änderung einer gesetzlichen Voraussetzung. Zu Schwankungen und einer daraus resultierenden Unsicherheit, wie es im oben genannten Rechtsstreit der Fall war, wird es hier nicht kommen.

Überdies besagt der eindeutige Wortlaut des Gesetzes in § 38 Abs. 2 BDSG, dass die hier dargestellten Schutzregelungen des § 6 Abs. 4 BDSG nur dann gelten, wenn die Benennung verpflichtend ist. Es gibt keine Hinweise, dass es sich hierbei um eine planwidrige Regelungslücke handelt, die der Gesetzgeber bei der Änderung der Norm schlichtweg übersehen hätte.

Ausgehend vom relativ klaren Wortlaut des § 38 Abs. 2 BDSG spricht vieles dafür, von einem Wegfall der bestehenden Schutzregelungen – sowohl bei der Abberufung, als auch bei der Kündigung – für den betroffenen Kreis von Datenschutzbeauftragten in kleinen Unternehmen auszugehen. Der Gesetzgeber hat explizit keine Vertrauensschutzregelungen im Zuge der Änderung des BDSG eingefügt. Zudem verweist der Wortlaut der Norm gerade nicht auf den Zeitpunkt, zu dem der Datenschutzbeauftragte benannt wurde, sondern verwendet die Gegenwartsform, was auf die aktuellen Verhältnisse hinweist.

Somit bleibt es bei wortlautgetreuer Auslegung beim Schutz vor Abberufung gerade wegen der Ausübung der gesetzlichen Aufgaben gem. Art. 38 Abs. 3 DSGVO. Ob diese jedoch auch vor einer Abberufung aufgrund betrieblicher Belange oder – wie hier – der Veränderung gesetzlicher Anforderungen schützt, mag stark bezweifelt werden.

Dennoch dürfte diese Frage die Arbeitsgerichte in absehbarer Zukunft voraussichtlich noch beschäftigen. Erst mit aussagekräftiger, obergerichtlicher Entscheidungen kann hierzu eine belastbare Aussage getroffen werden.

Nicht vorschnell handeln

Allen Verantwortlichen, die nun einen Silberstreif am Horizont sehen mögen sei jedoch eines mitgegeben: Der Wegfall der Pflicht zur Benennung eines Datenschutzbeauftragten bedeutet ausschließlich dies. Keinesfalls entfallen nämlich die weiteren Pflichten der Datenschutz-Grundverordnung, deren Einhaltung der Datenschutzbeauftragte überwachen und hierbei Unterstützung bieten sollte. Bereits Mitte diesen Jahres warnte der Bundesdatenschutzbeauftragte Ulrich Kelber vor einer „Aufweichung des Datenschutzes“ in kleinen Betrieben. Da stellt sich die Frage, ob es richtig ist, erleichtert aufzuatmen oder doch die konkrete Notwendigkeit eines Datenschutzbeauftragten ungeachtet einer gesetzlichen Pflicht kritisch zu hinterfragen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Wie sieht es aus mit der Abberufung, wenn die verpflichtende Berufung bei einer Mitarbeiterzahl von ca. 200 MA stattfand, die Organisation nun kurzfristig die notwendige Mitarbeiterzahl (<20) unterschreitet und dann anschließend wieder massiv erhöht?
    Kann der verpflichtend bestellte DSB in der Zeit (<20 MA) einfach abberufen werden?

    • Vielen Dank für diese interessante Frage. Einen sehr ähnlichen Sachverhalt hatte das hessische Landesarbeitsgericht im zitierten Urteil zu klären. Für die Beurteilung der Frage, ob die kritische Personenzahl erreicht wird, kommt es darauf an, ob „regelmäßig“ mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Kurzfristige Schwankungen haben hierauf keinen Einfluss. Wenn also üblicherweise mehr als 20 Personen im Unternehmen mit personenbezogenen Daten arbeiten und diese Grenze nur gelegentlich oder kurzfristig unterschritten wird, entfällt hierdurch nicht die Pflicht zur Benennung.

  2. Wie endete die Bestellung der DSB der deutschen Auslandsvertretungen am 26.11.19?
    Mit Art. 51 des 2. DatenSchutzAnpUG wurde Para 34 GAD gestrichen, der festlegte, daß das Auswärtige Amt (Zentrale) und die Auslandsvertretungen selbständige Stellen i.S.d. Datenschutzrechts seien. Eine Abberufung zum 26.11. hätten allenfalls die jeweiligen Auslandsvertretungen als „Stellen“ aussprechen können, nicht aber das Auswärtige Amt (Zentrale) als bis 25.11. andere Stelle. Mit Anbruch des 26.11. hörten die Auslandsvertretungen auf, als eigene „Stellen“ zu existieren. Folglich dürften mit Fortfall der Stellen auch die Bestellungen der DSB erloschen sein.
    Fraglich könnte sein, ob auch die Bestellung des DSB des „Auswärtigen Amts (Zentrale)“ erloschen ist, denn auch diese „Stelle“ gibt es nicht mehr – sie wurde durch das Auswärtige Amt mitsamt den Auslandsvertretungen i.S.d. Para. 2 GAD ersetzt.
    Oder handelt es sich um eine Analogie zur Unternehmensfusion – dann mit welchen Folgen für die DSB der vormals selbstständigen Unternehmen?

    • Vielen Dank für diesen durchaus interessanten Aspekt. Wie Sie richtig bemerken, entfällt die Eigenschaft als verantwortliche Stelle für die Auslandsvertretungen durch die Änderung im 2. DSAnpUG. Somit dürfte meiner Ansicht nach auch die Stelle des hierfür benannten Datenschutzbeauftragten erlöschen. Allerdings stellt dies tatsächlich einen besonderen Sachverhalt dar, der aufgrund unserer Spezialisierung auf die Beratung von Unternehmen genauer recherchiert werden müsste. Wir behalten uns diesen Aspekt aber gerne für einen zukünftigen Blogbeitrag im Kopf.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.