Navigation öffnen
Startseite » IT- und Internetrecht » Datenschutzrecht » Der Datenschutzbeauftragte

Der Datenschutzbeauftragte

Die Verarbeitung personenbezogener Daten gewinnt im Hinblick auf deren Schutz immer größere Bedeutung. Unternehmen und Öffentliche Stellen sind darauf angewiesen, personenbezogene Daten zu speichern und zu verarbeiten. Um den Schutz dieser Daten und der sog. betroffenen Person zu gewährleisten, hat der Gesetzgeber im Bundesdatenschutzgesetz (BDSG) und nun auch in der seit dem 25.05.2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) angeordnet, dass in bestimmten Unternehmen und Öffentlichen Stellen zwingend ein Datenschutzbeauftragter zu bestellen ist. Welche Unternehmen von dieser Regelung erfasst werden, welche Aufgaben ein Datenschutzbeauftragter zu erfüllen hat und welche Anforderungen an die Person eines Datenschutzbeauftragten gestellt werden, soll im Folgenden dargestellt werden.

Was macht ein Datenschutzbeauftragter?

Datenschutzbeauftragter

Der Datenschutzbeauftragte hatte bereits nach der alten Rechtslage eine zentrale Stellung für den Datenschutz im Unternehmen inne. Seine Bedeutung nimmt durch die DS-GVO und das mit seiner Einführung am 25.05.2018 in neuer Fassung geltende Bundesdatenschutzgesetz (BDSG n.F.) weiter zu. Die Aufgabe des Datenschutzbeauftragten besteht allgemein in der Unterrichtung und Beratung des Verantwortlichen sowie der mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter in allen datenschutzrechtlichen Fragen nach dem BDSG und der DS-GVO. Darüber hinaus überwacht er die Einhaltung der gesetzlichen Vorgaben und arbeitet mit den zuständigen Behörden zusammen.

Der Datenschutzbeauftragte soll beraten, unterstützen und Lösungen anbieten. Hierzu hat der Verantwortliche sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden wird. Der Verantwortliche hat den Datenschutzbeauftragen zudem bei der Erfüllung seiner Aufgaben zu unterstützen und darüber hinaus sicherzustellen, dass der Datenschutzbeauftragte seine Aufgaben weisungsfrei erfüllen kann.  Damit soll gewährleistet werden, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig wahrnehmen kann.

Die Bennennung des Datenschutzbeauftragten

Rechtsgrundlagen zur Benennung

Regelungen über die Benennung eines Datenschutzbeauftragten, seine Stellung sowie seine Aufgaben enthalten die Art. 37-39 DS-GVO.

Art. 37 DS-GVO enthält in seinem Absatz 4 eine sog. Öffnungsklausel, die es den Mitgliedsstaaten erlaubt, die Benennung eines Datenschutzbeauftragten unter erweiterten Voraussetzungen vorzuschreiben. Der deutsche Gesetzgeber hat hiervon in § 5 Abs. 1 BDSG (für öffentliche Stellen) und in § 38 Abs. 1 BDSG (für nicht-öffentliche Stellen) Gebrauch gemacht.

Wer muss einen Datenschutzbeauftragten benennen?

Bei den Voraussetzungen für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterscheiden sowohl die DS-GVO als auch das BDSG zwischen Behörden oder öffentlichen Stellen einerseits und Unternehmen und anderen nicht-öffentlichen Stellen andererseits.

Behörden und öffentliche Stellen

Nach Art. 37 Abs. 1 lit. a) DS-GVO ist die Benennung eines Datenschutzbeauftragten immer dann verpflichtend, wenn die Datenverarbeitung von einer Behörde oder sonstigen öffentlichen Stelle durchgeführt wird. Ausdrücklich von der Pflicht zur Benennung eines Datenschutzbeauftragten ausgenommen sind nur die Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

§ 5 BDSG übernimmt die Regelung in Art. 37 Abs. 1 lit. a) DS-GVO inhaltlich im Wesentlichen unverändert.

Unternehmen

Unternehmen sind zur Benennung eines Datenschutzbeauftragten verpflichtet, wenn die Voraussetzungen des Art. 37 Abs. 1 lit. b) und lit. c) DS-GVO erfüllt sind. Danach ist ein Datenschutzbeauftragter zu benennen, wenn entweder

  • die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  • die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO (z.B. Gesundheitsdaten, Daten über die Religionszugehörigkeit oder die sexuelle Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO besteht.

Auch wenn ein Unternehmen die vorstehend genannten Voraussetzungen für die Benennung eines Datenschutzbeauftragten nicht erfüllt, ist von Unternehmen mit Sitz in Deutschland die Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DS-GVO zu beachten. Diese Regelung erlaubt es den Mitgliedsstaaten, weitergehende Voraussetzungen für die Verpflichtung zur Benennung eines Datenschutzbeauftragten zu normieren. Der deutsche Gesetzgeber hat diesen Spielraum in § 38 BDSG genutzt, um eine größtmögliche inhaltliche Kontinuität zu § 4f BDSG a.F. zu erzielen.

Nach § 38 BDSG besteht eine Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn entweder

  • in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • bei besonders gefahrgeneigten Verarbeitungen auch unabhängig von der Anzahl der mit der automatisierten Datenverarbeitung befassten Personen.

Für die Bestimmung der Anzahl der relevanten Beschäftigten ist es unerheblich, ob es sich um Voll- oder Teilzeitbeschäftigte, um Auszubildende, freie Mitarbeiter, Leiharbeitnehmer oder Praktikanten handelt. Die Mindestzahl von 10 Personen dürfte auch in kleineren Unternehmen, in denen nahezu jeder Mitarbeiter regelmäßig unter Einsatz von PC, Laptop, Notebook oder Smartphone personenbezogene Daten verarbeitet, erreicht werden. Denn es ist nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Kernaufgabe der beschäftigten Person zählt. Es kann bereits ausreichen, dass die beschäftigte Person über einen personalisierten Email-Account verfügt. Daher zählen zum Kreis dieser Personen nur solche Beschäftigte nicht, die keinerlei Zugang zu Datenverarbeitungssystemen mit personenbezogenen Daten haben.

Wann muss der Datenschutzbeauftragte benannt werden?

Weder die DS-GVO noch das BDSG enthalten Fristen für die Benennung des Datenschutzbeauftragten. Daher hat die Benennung unverzüglich zu erfolgen, wenn die dafür normierten Voraussetzungen vorliegen.

Welche Form muss bei der Benennung eingehalten werden?

Eine bestimmte Form der Benennung ist nicht vorgeschrieben. Da jedoch sowohl für das Unternehmen als auch den Datenschutzbeauftragten selbst an die Benennung Rechtsfolgen geknüpft sind, das Unternehmen zudem Nachweispflichten gegenüber der zuständigen Aufsichtsbehörde zu erfüllen hat, empfiehlt sich eine schriftliche Benennung.

Formell wird die Benennung gemäß Art. 37 Abs. 7 DS-GVO durch die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörden vollzogen.

Konzernprivileg – gemeinsamer Datenschutzbeauftragter

Gemäß Art. 37 Abs. 2 DS-GVO können Unternehmensgruppen im Sinne des Art. 4 Nr. 19 DS-GVO einen gemeinsamen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist. Die leichte Erreichbarkeit beinhalten drei Komponenten, eine

  • räumliche,
  • sprachliche und
  • zeitliche.

Die räumliche Komponente erfordert, dass ein persönliches Treffen mit dem Datenschutzbeauftragten mit geringem Aufwand möglich ist.

Die sprachliche Komponente verlangt, dass der Datenschutzbeauftragte die Sprache der Niederlassung fließend beherrscht.

Die zeitliche Komponente bedeutet, dass der Datenschutzbeauftragte tatsächlich kurzfristig erreichbar ist und er alle Unternehmen, für die er verantwortlich ist, tatsächlich ausreichend betreuen kann.

Interner oder externer Datenschutzbeauftragter?

Die gesetzlichen Vorschriften lassen sowohl die Benennung eines externen wie auch eines internen Datenschutzbeauftragten zu, vgl. Art 38 Abs. 6 Satz 1 DS-GVO.

Ein externer Datenschutzbeauftragter bietet sich insbesondere dann an, wenn in dem Unternehmen selbst kein ausreichend qualifizierter Mitarbeiter beschäftigt ist. Das bei einem Externen vorhandene Fachwissen führt allerdings dazu, dass diese Lösung für das Unternehmen sicherlich teurer wird, als eine interne Benennung.

Ein interner Datenschutzbeauftragter bietet gegenüber einem Externen den Vorteil der Kenntnis der Unternehmensstrukturen sowie der Prozesse. Bei der Benennung eines internen Datenschutzbeauftragten ist allerdings gemäß Art. 38 Abs. 6 Satz 2 DS-GVO zwingend sicherzustellen, dass es nicht zu Interessenkonflikten kommen kann. Daher scheiden Leitungsorgane sowie leitende Mitarbeiter in der Regel als Datenschutzbeauftragte aus, weil sie sich andernfalls selbst beraten und kontrollieren müssten. Nicht zu empfehlen ist auch die Benennung von Mitgliedern des Betriebsrates zu Datenschutzbeauftragten, weil diese primär bereits andere Interessen zu vertreten haben und daher Konzessionsentscheidungen nicht ausgeschlossen werden können. Schließlich ist bei jeder internen Lösung sicherzustellen, dass der grundsätzlich weisungsabhängige Mitarbeiter bei der Wahrnehmung seiner Aufgaben als Datenschutzbeauftragter auch tatsächlich weisungsfrei handeln kann.

Qualifikation und Zuverlässigkeit des Datenschutzbeauftragten

Gemäß Art. 37 Nr. 5 DS-GVO ist der Datenschutzbeauftragte auf der Grundlage folgender Voraussetzungen zu benennen:

  • seine berufliche Qualifikation,
  • sein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis,
  • seine Fähigkeit zur Erfüllung der in Art. 39 DS-GVO sowie im BDSG normierten Aufgaben eines Datenschutzbeauftragten.

Im Rahmen der beruflichen Qualifikation sollte der Datenschutzbeauftragte über ausreichende Kenntnisse und/oder Berufserfahrung im Tätigkeitsbereich des Unternehmens verfügen und in der Lage sein, die verschiedenen Verarbeitungsprozesse zu erfassen. Er muss darüber hinaus über Kenntnisse des nationalen und Europäischen Datenschutzrechts, insbesondere über ein vertieftes Verständnis der DS-GVO verfügen.

Neben der Kenntnis der gesetzlichen Grundlagen muss der Datenschutzbeauftragte zusätzlich über organisatorische Fähigkeiten verfügen.

Das erforderliche Niveau des Fachwissens eines Datenschutzbeauftragten orientiert sich an der Komplexität und dem Umfang der durchgeführten Verarbeitungsvorgänge sowie dem erforderlichen Schutz für die personenbezogenen Daten, die der Verantwortliche verarbeitet.

Je komplexer die Datenverarbeitung ist, desto höhere Anforderungen sind insbesondere an die technischen Kenntnisse und Fähigkeiten des Datenschutzbeauftragten zu stellen.

Zu Voraussetzungen der persönlichen Zuverlässigkeit des Datenschutzbeauftragten enthalten die gesetzlichen Vorschriften keine Vorgaben, obwohl die Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben ein hohes Maß an persönlicher Integrität und Berufsethik voraussetzt. Daher kommen Personen, die bereits Verstöße gegen datenschutzrechtliche Vorschriften oder gegen Verschwiegenheitspflichten begangen haben, als Datenschutzbeauftragte nicht in Frage.   

Domain WBS

Stellung des Datenschutzbeauftragten

Um eine wirkungsvolle und nachhaltige Tätigkeit des Datenschutzbeauftragten zu gewährleisten, ist eine unabhängige, insbesondere weisungsfreie und zudem herausgehobene Stellung im Unternehmen des Verantwortlichen von besonderer Bedeutung.

Daher enthält insbesondere Art. 38 DS-GVO Regelungen, die die organisatorische Stellung des Datenschutzbeauftragten betreffen und ihm verschiedene Privilegien einräumen. Diese Regelungsbereiche lassen sich im Überblick wie folgt zusammenfassen:

  • frühzeitige Einbindung des Datenschutzbeauftragten;
  • Unterstützung durch den Verantwortlichen;
  • Bereitstellung der erforderlichen Ressourcen;
  • Sicherstellung der Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragten und Verhinderung von Nachteilen durch die Ausübung der Funktion;
  • Eröffnung eines unmittelbaren Berichtsweges zur obersten Führungsebene;
  • Anrufungsrecht der Betroffenen.

Frühzeitige Einbindung

Der Datenschutzbeauftragte ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubeziehen. Dies betrifft sämtliche Aktivitäten und Entscheidungen, bei denen personenbezogene Daten eine Rolle spielen. Frühzeitig bedeutet, dass der Datenschutzbeauftragte bereits bei der Konzipierung von Verfahren oder Produkten, spätestens in der Phase der Aufgabenstellung bei Formulierung von Pflichten- bzw. Lastenheft einzubinden ist.

Unterstützung durch den Verantwortlichen

Der Verantwortliche muss dem Datenschutzbeauftragten Zugang zu allen personenbezogenen Daten sowie allen Verarbeitungsvorgängen gewähren. Es darf aus der Sicht des Datenschutzbeauftragten keine kontrollfreie Datenverarbeitung existieren.

Die Leistungsorgane des Verantwortlichen haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben aktiv zu unterstützen.

Ressourcen

Der Verantwortliche hat dem Datenschutzbeauftragten alle für die Erfüllung seiner in Art. 39 DS-GVO normierten Aufgaben erforderlichen Ressourcen zur Verfügung zu stellen.

Dies betrifft materielle Ressourcen, u.a. wie Räumlichkeiten, Kommunikationsmittel, Fachliteratur, Mitarbeiter und finanzielle Mittel.

Darüber hinaus sind dem Datenschutzbeauftragten auch die für den Erhalt seines Fachwissens erforderlichen Ressourcen zur Verfügung zu stellen. Dies betrifft z.B. die Zurverfügungstellung von Fachliteratur oder die Finanzierung der Teilnahme an Fortbildungsveranstaltungen.

Sicherstellung der Weisungsfreiheit und Unabhängigkeit

Zentrale Voraussetzung für die ordnungsgemäße Erfüllung seiner Aufgaben ist die Weisungsfreiheit und Unabhängigkeit des Datenschutzbeauftragten. Dementsprechend hat der Verantwortliche gemäß Art. 38 Abs. 3 Satz 1 DS-GVO sicherzustellen, dass der Datenschutzbeauftragte keine Weisungen bezüglich der Ausübung seiner Aufgaben erhält. Damit soll gewährleistet werden, dass der Datenschutzbeauftragte seinen Aufgaben ohne Beeinflussung durch seine Vorgesetzten nachgehen kann.

Ordnungsgemäß nachkommen kann der Datenschutzbeauftragte seinen Aufgaben zudem nur dann, wenn er dem Verantwortlichen auch „lästig“ werden kann, ohne Sanktionen befürchten zu müssen. Dementsprechend darf der Datenschutzbeauftragte gemäß Art. 38 Abs. 3 Satz 2 DS-GVO von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.

Berichtslinie

Nach Art. 38 Abs. 3 Satz 3 DS-GVO muss der Datenschutzbeauftragte eine unmittelbare Berichtslinie an die oberste Leitungsebene des Verantwortlichen haben. Hierdurch soll sichergestellt werden, dass der Datenschutzbeauftragte im Rahmen seiner Beratungs- und Überwachungspflicht von den Leitungsorganen des Unternehmens tatsächlich gehört wird bzw. werden muss.

Das bedeutet nicht, dass der Datenschutzbeauftragte zwingend organisatorisch unmittelbar der Leitungsebene zu unterstellen ist. Es empfiehlt sich aber, die Stellung des Datenschutzbeauftragten innerhalb der Organisation des Verantwortlichen transparent im Organigramm des Unternehmens darzustellen.

Anrufungsrecht der Betroffenen

Weil der Datenschutzbeauftragte auch Ansprechpartner der Betroffenen zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Zusammenhang stehenden Fragen ist, gewährt Art. 38 Abs. 4 DS-GVO den Betroffenen das Recht, sich in diesen Fragen unmittelbar an den Datenschutzbeauftragten zu wenden und ihn zu Rate zu ziehen, soweit es um ihre personenbezogenen Daten und die Wahrnehmung ihrer Rechte geht.

Geheimhaltung und Vertraulichkeit

Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

Eine umfassende Verschwiegenheitspflicht auch gegenüber dem Verantwortlichen ist Voraussetzung dafür, dass der Datenschutzbeauftragte umfassende Informationen über evtl. Missstände erhält und seine ihm obliegenden Aufgaben erfüllen kann.

Vermeidung von Interessenkonflikten

Gemäß Art. 38 Abs. 6 Satz 1 DS-GVO kann der Datenschutzbeauftragte auch andere Aufgaben und Pflichten wahrnehmen. Die Wahrnehmung dieser anderen Aufgaben und Pflichten darf nach Art. 38 Abs. 6 Satz 2 DS-GVO allerdings nicht zu Interessenskonflikten führen. Interessenskonflikte sind in erster Linie bei der Benennung eines internen Datenschutzbeauftragten denkbar. Daher kann an dieser Stelle auf die Ausführungen oben unter „Interner und externer Datenschutzbeauftragter“ verwiesen werden.

Zusammenarbeit mit der Aufsichtsbehörde

Gemäß § 39 Abs. 1 lit. d) und e) DS-GVO hat der Datenschutzbeauftragte nicht nur mit der Aufsichtsbehörde zusammenzuarbeiten, er dient der Aufsichtsbehörde darüber hinaus auch als Anlaufstelle in allen mit der Datenverarbeitung zusammenhängenden Fragen. Der Datenschutzbeauftragte ist damit erster Ansprechpartner der Aufsichtsbehörde in datenschutzrechtlichen Angelegenheiten.

Durch diese Regelungen wird die Position des Datenschutzbeauftragten im Unternehmen, soweit Fragen des Datenschutzes betroffen sind, deutlich gestärkt.   

Aufgaben und Pflichten des Datenschutzbeauftragten

Die Aufgaben und Pflichten des Datenschutzbeauftragten sind in Art. 39 DS-GVO geregelt und lassen sich wie folgt zusammenfassen:

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten;
  • Überwachung und Einhaltung der gesetzlichen Regelungen sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten;
  • Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Unterrichtung und Beratung des Verantwortlichen und den Beschäftigten

Die Pflicht zur Beratung bezieht sich auf das gesamte anwendbare Datenschutzrecht. Der Datenschutzbeauftragte ist zu dieser Beratung auch unabhängig von einer entsprechenden Anfrage des Verantwortlichen verpflichtet. Er muss mithin proaktiv auf der Grundlage seiner umfassenden Kenntnis und Einbeziehung tätig werden.

Überwachung

Gemäß Art. 39 Abs. 1 lit. b) DS-GVO hat der Datenschutzbeauftragte umfassende Überwachungspflichten zu erfüllen. Das geht über das „Hinwirken“ auf die Einhaltung des Gesetzes nach § 4g Abs. 1 Satz 1 BDSG a.F. weit hinaus.

Zu überwachen hat der Datenschutzbeauftragte neben der Einhaltung des gesamten anwendbaren Datenschutzrechts auch die Einhaltung der vom Verantwortlichen entwickelten Datenschutzstrategie. Überwachung umfasst auch Überprüfung. Daher ist der Datenschutzbeauftragte verpflichtet, die Einhaltung und Umsetzung datenschutzrechtlicher Pflichten des Verantwortlichen durch geeignete Maßnahmen zu kontrollieren.

Sensibilisierung und Schulung

Verstöße gegen datenschutzrechtliche Vorschriften sind häufig auf mangelndes Bewusstsein der handelnden Mitarbeiter zurückzuführen. Die Schulung und Sensibilisierung der Mitarbeiter in und für Fragen des Datenschutzes hat daher besondere Bedeutung. Vor diesem Hintergrund verpflichtet Art. 39 Abs. 1 lit. b) DS-GVO den Datenschutzbeauftragten ausdrücklich zur Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter sowie zur Überprüfung seiner diesbezüglichen Maßnahmen.

Die konkreten Anforderungen an die erforderliche Sensibilisierung sowie die Geeignetheit der Schulungsmaßnahmen richtet sich nach den Umständen des Einzelfalles.

Zusammenarbeit mit und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Art. 39 Abs. 1 lit. d) und e) DS-GVO normieren eine umfassende Verpflichtung des Datenschutzbeauftragten zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde. Dies geht weit über das bisherige Recht des Datenschutzbeauftragten nach Art. 4g BDSG a.F. hinaus, sich in Zweifelsfällen an die Aufsichtsbehörde zu wenden. Nach der DS-GVO hat der Datenschutzbeauftragte eine aktive Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde.

Seine Funktion als Anlaufstelle für die Aufsichtsbehörde weitet diese Kooperationspflicht noch aus. Danach soll der Datenschutzbeauftragte auch die Beratung durch die Aufsichtsbehörde in Anspruch nehmen. Das bedeutet z.B., dass der Datenschutzbeauftragte die Aufsichtsbehörde auch bei Meinungsverschiedenheiten mit dem Verantwortlichen unterrichten und hinzuziehen soll.

Symbolbild Datenschutzrecht

Abberufungs- und Kündigungsschutz des Datenschutzbeauftragten

Art. 38 Abs. 5 DS-GVO enthält eine weitere Öffnungsklausel für die Normierung weitergehender Bestimmungen durch den nationalen Gesetzgeber. Hiervon hat der deutsche Gesetzgeber mit der Vorschrift des § 38 Abs. 2 BDSG und die dortige Verweisung auf § 6 Abs. 4 BDSG Gebrauch gemacht.

§ 6 Abs. 4 BDSG normiert arbeitsrechtliche Regelungen zum Kündigungsschutz sowie spezifisch datenschutzrechtliche Regelungen zur Abberufung des Datenschutzbeauftragten.

Abberufung

§ 6 Abs. 4 BDSG beschränkt die Abberufung des Datenschutzbeauftragten auf Fälle, in denen eine fristlose Kündigung aus wichtigem Grund gemäß § 626 BGB zulässig wäre. Für die Abberufung muss also ein wichtiger Grund vorliegen, der es dem Verantwortlichen unter Berücksichtigung aller Umstände des Einzelfalls sowie der Interessen beider Beteiligten unzumutbar macht, den Datenschutzbeauftragten auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen. Eine ordentliche Abberufung ist daher bei nicht befristet benannten Datenschutzbeauftragten nicht möglich, so dass für die Interessenabwägung in diesem Fall entscheidend ist, ob dem Verantwortlichen eine unbefristete Fortsetzung der Benennung zumutbar ist.

Als wichtige Gründe für eine Abberufung in Betracht kommen in erster Linie solche, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährdet. Das dürfte z.B. bei einem Verstoß gegen Verschwiegenheitspflichten oder der dauerhaften Verletzung von Kontrollpflichten zu bejahen sein.

Kündigung

§ 6 Abs. 4 Satz 2 und 3 BDSG gewähren dem Datenschutzbeauftragten – allerdings nur, soweit es sich um einen internen Datenschutzbeauftragten handelt – einen starken Schutz vor Kündigung des Arbeitsverhältnisses.

Während der Amtszeit und bis ein Jahr nach deren Ablauf ist eine Kündigung des Arbeitsverhältnisses nur zulässig, wenn der Arbeitgeber zur fristlosen Kündigung berechtigt wäre.

Bei externen Datenschutzbeauftragten sind die vertraglichen Vereinbarungen maßgebend. Darüber hinaus kann das Vertragsverhältnis mit einem externen Datenschutzbeauftragten bei Vorliegen eines wichtigen Grundes fristlos beendet werden.

WBS Eingang

Haftung des Datenschutzbeauftragten

Zunächst ist darauf hinzuweisen, dass der Datenschutzbeauftragte keinerlei Weisungs- oder Entscheidungsbefugnisse gegenüber dem Verantwortlichen hat und damit keine Erfolgsverantwortung trägt.

Haftung gegenüber betroffenen Personen

Der Datenschutzbeauftragte ist Teil der Stelle, für die er zum Datenschutzbeauftragten bestellt ist. Eine eigene Haftung gegenüber betroffenen Personen als Verantwortlicher scheidet daher aus.

Der Datenschutzbeauftragte hat auch keine vertraglichen Schutzpflichten zu Gunsten betroffener Personen als Dritte zu erfüllen.

Haftung gegenüber dem Verantwortlichen

Gegenüber dem Verantwortlichen kann der Datenschutzbeauftragte sich wegen Verletzung seiner vertraglichen Pflichten gemäß den §§ 280 ff. BGB schadenersatzpflichtig machen. In diesem Zusammenhang ist darauf hinzuweisen, dass der Datenschutzbeauftragte die konkrete Aufgabe der „Überwachung“ zu erfüllen hat. Nicht ausreichende Überwachung kann daher ein Mitverschulden des Datenschutzbeauftragten begründen.

Soweit ein Arbeitnehmer als – interner – Datenschutzbeauftragter benannt ist, gelten die Grundsätze der beschränkten Arbeitnehmerhaftung.

In besonderen Fällen kann der Datenschutzbeauftragte auch deliktisch haften, z.B. bei einem Verstoß gegen Verschwiegenheitspflichten, bewusster Falschberatung oder dem Unterlassen von Überwachungsmaßnahmen, die bei dem Verantwortlichen zu einem Schaden führen.

Sie haben Fragen zum Datenschutzbeauftragten? Wir helfen Ihnen

Die Risiken eines Datenschutzbeauftragten sind nicht unbeachtlich – ebenso allerdings die für das Unternehmens, wenn hier Fehler gemacht werden. Daher ist es sinnvoll, sich bei der Ernennung eines Datenschutzbeauftragten von erfahrenen Rechtsanwälten für Datenschutz begleiten zu lassen.

Auch in anderen datenschutzrechtlichen Fragen entwickeln wir für Sie ein maßgeschneidertes Datenschutzkonzept. 

Das Expertenteam im Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.