Wann muss ein Datenschutzbeauftragter bestellt werden?
Werden personenbezogene Daten automatisiert von mehr als zwanzig Personen verarbeitet, ist ein Datenschutzbeauftragter gem. § 38 Abs. 1 BDSG zu bestellen.
Anmerkung: Der Schwellenwert wurde durch das zweite Datenschutz Anpassungs- und Umsetzungsgesetz von 10 auf 20 Mitarbeiter erhöht. Dies ist kritisch einzuordnen, wird doch den betroffenen Unternehmen suggeriert, damit müssten sie sich auch nicht mit dem Datenschutz auseinandersetzen. Genau das Gegenteil ist allerdings der Fall: Unabhängig von der Bestellpflicht eines Datenschutzbeauftragten ist die Einhaltung der DSGVO sowie des BDSG verpflichtend.
Vielmehr ist durch die Person des Datenschutzbeauftragten ein wertvoller und kompetenter Ansprechpartner für den Arbeitgeber im Unternehmen, der immer wieder auf geltende Regeln hinweisen kann.
Im Gegensatz zum alten BDSG gibt es keine Verpflichtung zur schriftlichen Bestellung des Datenschutzbeauftragten, eine Benennung im Sinne des Art. 37 Abs. 1 DSGVO ist ausreichend.
Voraussetzung für die Bestellung eines sog. Konzerndatenschutzbeauftragten (Art. 37 Abs. 2 DSGVO) ist das Vorliegen einer Unternehmensgruppe im Sinne von Art. 4 Nr. 19 DSGVO. Ferner muss die Erreichbarkeit der einzelnen Unternehmen durch den Datenschutzbeauftragten gewährleistet sein. Hier ist die Bewertung oftmals problematisch, da zwar durch eine gute Verkehrsanbindung schnelles Reisen möglich ist, im Ergebnis jedoch auch sprachliche Barrieren bei EU-weiten Konzerne zu enormen Hürden führen können. Bestellt beispielsweise ein Konzern einen Datenschutzbeauftragten für alle EU-weiten Niederlassungen, so müsste dieser auch idealerweise die entsprechenden Sprachen beherrschen. Englisch führt hier oftmals nur zu rudimentären Ergebnissen.
Der Betriebsrat darf die Zustimmung zur Einstellung oder Versetzung auch mit der Begründung verweigern, der vorgesehene Arbeitnehmer sei nicht fachkundig bzw. unzuverlässig.
Die Bestellung des Datenschutzbeauftragten unterliegt keinem speziellen Beteiligungsrecht des Betriebsrats. Wird die Bestellung mit der Einstellung oder Versetzung/Umsetzung eines Mitarbeiters verknüpft, so kommt hier ein Mitbestimmungsrecht gem. § 99 BetrVG in Betracht.
Wer kann Datenschutzbeauftragter werden?
Der Beauftragte für den Datenschutz muss die erforderliche Fachkunde besitzen. Dazu gehören das Datenschutzrecht, allgemeine Rechtskenntnisse, Verständnis für betriebswirtschaftliche Zusammenhänge, Grundkenntnisse für Verfahren und Technik der automatisierten Datenverarbeitung und Kenntnisse der von ihm betreuten Betriebe.
Auch darf es keine Interessenkollision mit der verantwortlichen Stelle geben. Die Bestellung des Leiters der EDV wird generell als unzulässig angesehen, ebenso des Personalleiters oder des Vertriebsleiters, da es hier zu Interessenkollision kommen kann. Die Zuverlässigkeit kann nur dann gegeben werden, wenn ihm entsprechend des Aufwandes eine Freistellung von der bisherigen Tätigkeit gewährt wird. Bei einem Betrieb mit weniger als 300 Beschäftigten kann die Position des Datenschutzbeauftragten mit in der Regel weniger als 20 % der Arbeitszeit ausgeübt werden (Arbeitsgericht Offenbach, RDV 1993, 83). Es kann jedoch nicht allein auf die Arbeitnehmerzahl ankommen, sondern ist abhängig von dem Zweck und dem damit verbundenen Datenaufkommen. Gerade mit Blick auf die umfangreichen Pflichten im Rahmen der DSGVO, scheint diese Rechtsprechung mittlerweile überholt und muss neu bewertet werden. Die Erfahrungen zeigen, dass die Tätigkeit mittlerweile wesentlich zeitintensiver ist, als es vor knapp 30 Jahren der Fall gewesen war. Insbesondere wenn man die Häufigkeit bzw. Umfang von personenbezogenen Daten, oder aber die technischen Möglichkeiten zwischen heute und der Zeit des Urteils vergleicht.
Kann ein Betriebsratsvorsitzender Datenschutzbeauftragter werden?
Das Amt des Betriebsratsvorsitzenden und das des Datenschutzbeauftragten sind nicht miteinander vereinbar, befand das Bundesarbeitsgericht.
Nicht beantwortet wurde die Frage, wie es mit „normalen“ Betriebsratsmitgliedern als Datenschutzbeauftragte ist. Im Zweifel sind es aber die gleichen Argumente, die auch hier eine Doppelrolle ausschließen.
Wichtig: Der Betriebsratsvorsitzende kann natürlich weiterhin die Rolle des „Datenschutzbeauftragten“ im Betriebsrat selbst übernehmen. Es kann sehr hilfreich sein, einen Datenschutzexperten innerhalb des Gremiums zu benennen, um das Thema nicht aus den Augen zu verlieren und die Pflichten der DSGVO zu erfüllen.
Welche Rechte hat der Datenschutzbeauftragte?
Grundsätzlich ist ein Widerruf der Bestellung des Datenschutzbeauftragten ohne Vorliegen eines wichtigen Grundes nicht möglich. Wenn solche Gründe ausnahmsweise nicht existieren sollten, ist auch eine Teilkündigung des Arbeitsverhältnisses möglich – nämlich der Teil, der sich auf die Tätigkeit als Datenschutzbeauftragter erstreckt.
Ferner genießt der Datenschutzbeauftragte einen Sonderkündigungsschutz gem. § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG: Eine Kündigung ist grundsätzlich unzulässig, es sei denn, es liegen Tatsachen vor, die den Verantwortlichen aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist zur Kündigung berechtigen. Damit ist die fristlose Kündigung gemeint.
Wichtig: Der Kündigungsschutz erfasst nur die Datenschutzbeauftragten, die aufgrund einer gesetzlichen Pflicht ernannt wurden. Benennt der Arbeitgeber freiwillig einen Datenschutzbeauftragten, so kommt diesem kein entsprechender Kündigungsschutz zugute.
§§ Rechtsprechung: Besonderer Kündigungsschutz für betriebliche Datenschutzbeauftragte
Nach §§ 38 Abs. 2, 6 Abs. 4 BDSG darf ein Datenschutzbeauftragter nur bei Vorliegen eines wichtigen Grundes gekündigt werden. Diese Regelung verstößt nicht gegen Europarecht.
Der Kündigungsschutz wirkt auch nach Abberufung als Beauftragter für den Datenschutz für einen Zeitraum von einem Jahr fort, es sei denn, es liegt ein Grund i.S.d. § 626 BGB vor. Der Datenschutzbeauftragte hat eine besondere organisatorische Stellung: Er ist funktionsgerecht eingegliedert, er ist mit der notwendigen Unabhängigkeit ausgestattet und die Unternehmensleitung und die seiner Kontrolle unterliegenden Personen sind zur Unterstützung verpflichtet. Er ist weisungsfrei. Dies erstreckt sich auch auf seine Mitarbeiter. Ihm können jedoch bestimmte Prüfaufträge erteilt werden.
Aus der für den Datenschutzbeauftragten geforderten Unabhängigkeit erfolgt auch das Verbot der Benachteiligung.
Die verantwortliche Stelle ist zur Unterstützung des Datenschutzbeauftragten verpflichtet, z.B. bzgl. Personal, Räumen und sachlichen Mitteln. Auch muss ihm durch entsprechende Schulungen die Aufrechterhaltung der Expertise ermöglicht werden.
Welche Aufgaben hat der Datenschutzbeauftragte?
Den Datenschutzbeauftragten treffen unter anderem folgende Pflichten:
Gegebenenfalls Einschaltung der Aufsichtsbehörden
Überwachung der Einhaltung der DSGVO als Schwerpunkt der Tätigkeit des Datenschutzbeauftragten.
Schulungsfunktion
Beratung zur Folgenabschätzung
Wann kann ein Datenschutzbeauftragter abberufen werden?
Gemäß § 40 Abs. 6 S. 2 BDSG kann die zuständige Aufsichtsbehörde die Abberufung des Datenschutzbeauftragten verlangen, wenn er nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt. Dieser Aufforderung sollte die datenverarbeitende Stelle nachkommen, da in einem solchen Fall ansonsten keine ordnungsgemäße Bestellung vorliegt. Vielmehr kommt es zu einer Ordnungswidrigkeit i. S. d. DSGVO.
Das Recht der verantwortlichen Stelle zur Abberufung des Datenschutzbeauftragten beschränkt sich auf zwei Tatbestände:
Die Bestellung kann nur dann widerrufen werden, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund i. S. d. § 626 BGB vorliegt. Darüber hinaus genießt der im Arbeitsverhältnis beschäftigte Datenschutzbeauftragte einen besonderen Kündigungsschutz (§ 38 Abs. 2, 6 Abs. 4 BDSG).