Es gibt viele Gründe, weshalb ein Unternehmen über den Wechsel des Datenschutzbeauftragten (DSB) nachdenken kann. Etwa weil er oder sie früher engagierter oder nicht so kritisch war. Möglicherweise geht der oder die DSB bald in Rente und man möchte die Übergabe frühzeitig einleiten. Vielleicht sind Sie auch schlicht über die Sichtweise des DSB nicht froh, der Ihrer Ansicht nach zu wenig pragmatisch und zu sehr als Projektverhinderer auftritt? Oder aber der externe DSB hat zu wenig Zeit für Sie und Sie möchten deshalb wechseln.
Sicherlich gibt es noch viel mehr Erwägungen, die Unternehmen zu dem Schritt bringen, den Datenschutzbeauftragten zu wechseln. Neben der Überlegung, wer die Aufgabe als nächstes übernehmen soll, steht natürlich die große Frage: Kann man eine(n) Datenschutzbeauftragte(n) kündigen und unter welchen Voraussetzungen? Die typische Juristinnen-Antwort lautet bekanntlich: Es kommt darauf an. Zum einen darauf, ob der Datenschutzbeauftragte extern oder intern ist. Ein interner DSB ist im Unternehmen beschäftigt und hat meistens zusätzlich zu den im Arbeitsvertrag vereinbarten Tätigkeiten die Aufgabe übernommen, als Datenschutzbeauftragte(r) aktiv zu sein. Ein externer DSB dagegen ist bei einem Dienstleister beschäftigt und zumeist von mehreren Unternehmen als ihr DSB benannt worden. Zum anderen kommt es darauf an, ob die Benennung zum Datenschutzbeauftragten befristet erfolgt ist.
Wir schauen uns also vier Konstellationen für die Frage der Kündigung und/oder Abberufung an:
- Interne(r) Datenschutzbeauftragte(r) ohne Befristung
- Interne(r) Datenschutzbeauftragte(r) mit Befristung
- Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag ohne feste Laufzeit
- Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag mit fester Laufzeit
Zudem wird erörtert, ob Covid19 ein Grund sein kann, die Zusammenarbeit mit dem Datenschutzbeauftragten zu beenden.
Noch ein kleiner Exkurs zur Ausräumung eines häufigen Missverständnisses, dann geht es los:
Ein Datenschutzbeauftragter hat nicht die Aufgabe, das gesamte Unternehmen – quasi im Alleingang – datenschutzkonform aufzustellen. Er kontrolliert und unterstützt das Unternehmen dabei, dass sich das Unternehmen um den Datenschutz kümmert. Verantwortlich für die Einhaltung der Vorgaben des Datenschutzes ist nach wie vor das Unternehmen selbst.
1. Interne Datenschutzbeauftragte
Nahezu jedes Unternehmen, in dem – vereinfacht gesagt – mindestens 20 Personen ständig am PC sitzen, benötigt einen Datenschutzbeauftragten. (Es kann auch die Pflicht zur Benennung eines DSB bestehen, wenn Sie weniger als 20 Personen beschäftigen. Was sagen die Juristen so gerne „Es kommt drauf an!“. Aber das soll nicht Gegenstand dieses Artikels sein.) Es liegt nahe, diese Position des Datenschutzbeauftragten mit einem eigenen Mitarbeiter zu besetzen. Vorteil: Dieser kennt das Unternehmen schon und auch das Unternehmen kennt den Mitarbeiter.
Ein Mitarbeiter kann also die Aufgabe des Datenschutzbeauftragten zusätzlich zu seinem bisherigen Tätigkeitsfeld oder aber auch ausschließlich anstelle seines bisherigen Tätigkeitsfeldes übernehmen. Es bedarf dazu keines neuen Arbeitsvertrages. Das ist ein wichtiger Punkt: Der interne DSB übernimmt „nur“ eine weitere, zugegeben besondere, Aufgabe. Aus datenschutzrechtlicher Sicht heißt diese Übertragung „Benennung“. Aus der Tatsache, dass jedoch kein (neuer) Arbeitsvertrag abgeschlossen wird, folgt aber auch: Eine etwaige Abberufung eines Datenschutzbeauftragten, also das erneute Verändern der Aufgaben, ändert grundsätzlich nichts am Arbeitsvertrag des internen DSB. In aller Regel ist er vor und nach seiner Tätigkeit als Datenschutzbeauftragter Beschäftigter im Unternehmen.
Obwohl sich am Arbeitsvertrag nichts ändert, sollte die Übertragung der neuen Aufgabe, also die Benennung zum Datenschutzbeauftragten, schriftlich erfolgen. Weil es ein Schriftformerfordernis gibt? Nein. Weil Sie nun einmal gemäß Art. 5 Abs. 2 DSGVO nachweisen können müssen, dass Sie die Vorgaben der DSGVO einhalten. Und im Hinblick auf die Benennung des DSB können Sie das tun, in dem Sie ihn schriftlich als solchen benennen – das Ganze wird auch gerne „Benennungsurkunde“ genannt. (Aufgrund der arbeitsrechtlichen Auswirkungen – dazu so gleich – könnte man auch darüber streiten, ob sich die Pflicht zur Schriftform nicht aus aus dem Nachweisgesetz ergibt, aber ach, wir schweifen ab.)
Wir halten fest: Jemandem als internen DSB zu benennen ist offenbar recht einfach. Wie aber beendet man diese Benennung?
1.1. Interner Datenschutzbeauftragter ohne Befristung
Beim internen Datenschutzbeauftragen ist – wie ausgeführt – streng zwischen der Benennung zum DSB und dem Arbeitsverhältnis zu unterscheiden.
Abberufung des DSB: wichtiger Grund erforderlich
Schon nach der DSGVO kann der DSB nicht einfach abberufen werden, wie es der Geschäftsführung gerade passt. In Art. 38 Abs. 3 DSGVO heißt es nämlich:
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Daraus folgt, dass ein DSB nicht etwa nur deswegen abberufen werden darf, weil er sein Amt ernst und wahr nimmt und etwa kritisch Software-Projekte prüft, obwohl die Geschäftsführung doch hoffte, einen „loyalen“, also willfährigen DSB gewonnen zu haben. Diese Regelung ist äußerst sinnvoll, schließlich ließe sich die Tätigkeit als Datenschutzbeauftragter kaum sinnvoll ausführen, wenn der oder die DSB bei jedem Widerspruch gegenüber Wünschen der Geschäftsführung eine Abberufung fürchten müsste.
In Deutschland geht dieser Schutz aber noch weiter. Hier hat sich der Gesetzgeber dafür entschieden, die Unabhängigkeit des internen Datenschutzbeauftragten noch weiter zu stärken. Und zwar in dem ein DSB sowohl im Hinblick auf die Abberufung als auch auf die Kündigung des Arbeitsverhältnis einen besonderen Schutz genießt.
Schon die Abberufung des DSB ist nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 1 BDSG nur unter der entsprechenden Anwendung der Regelung zur fristlosen Kündigung eines Dienstverhältnisses nach § 626 BGB zulässig. Demnach muss also bereits für die Abberufung des Datenschutzbeauftragten ein wichtiger Grund vorliegen.
Ein solch wichtiger Grund in Form etwa eines schwerwiegender Pflichtverstoß gegen die Pflichten als DSB kann vorliegen, wenn der DSB wiederholt nicht auf Anfragen reagiert und seine Aufgaben nicht oder nur sehr rudimentär wahrnimmt. Auch eine Vernachlässigung einzelner Prüfungsbereiche, Verstöße gegen die Verschwiegenheitspflicht oder schlicht die beharrliche Weigerung, der Beratungstätigkeit nachzukommen, können einen jeweils wichtigen Grund zur Abberufung darstellen.
Ordentliche Kündigung des Arbeitsverhältnisses des DSB: ausgeschlossen
Eine Abberufung aus der Stellung als DSB bedeutet aber eben nicht, dass damit auch ein Ende des Arbeitsverhältnisses einherginge. Denn wie dargelegt, sind die Benennung und Stellung des DSB unabhängig von seinem Arbeitsverhältnis zu betrachten. Auch dies dient der Stärkung der Unabhängigkeit des DSB. Schließlich würde es wenig Sinn machen, wenn ich den DSB zwar nur bei Vorliegen eines wichtigen Grundes abberufen, ihn oder sie aber schlichtweg einfach kündigen könnte und mich als Geschäftsführung so „dieses Übels“ entledigen könnte. Konsequenterweise genießt der DSB deswegen in seiner Arbeitnehmerstellung deswegen noch einen besonderen Kündigungsschutz. Nach § 38 Abs. 2 iVm § 6 Abs. 4 S. 2 BDSG ist die ordentlich Kündigung eines Arbeitnehmers, der als DSB benannt ist, ausgeschlossen.
Möglich bleibt selbstverständlich die außerordentliche Kündigung. Das heißt, wenn sich der Arbeitnehmer im Rahmen seiner Tätigkeit – nicht im Hinblick auf seine Stellung als DSB – schwerwiegende Fehltritte im Sinne des § 626 BGB erlaubt, dann ist eine fristlose Kündigung des Arbeitsverhältnisses selbstverständlich möglich. Hierzu zählen etwa Verhaltensweisen wie das Transferieren der Kundendatenbank zum Wettbewerber, der berühmte „Klau der silbernen Löffel“ oder etwa das wüste Beschimpfen der Geschäftsführung, so dass eine Fortführung des Dienstverhältnisses aufgrund des zerütteten Vertrauensverhältnisses nicht mehr möglich ist. In solch einem Fall kann natürlich auch die Tätigkeit als DSB natürlich nicht mehr ausgeführt werden.
Nachwirkender Kündigungschutz
Wer nun denkt, er habe den Trick gefunden, um den unliebsamen DSB doch schnell loszuwerden und glaubt, er müsse den DSB nur wegen vorgeblicher Pflichtverletzung binnen seiner Tätigkeit abberufen, um ihn dann ordentlich zu kündigen, liegt falsch. Diese Möglichkeit hat der Gesetzgeber natürlich auch gesehen und unterbindet sie sogleich mit dem nachlaufenden oder nachwirkendem Kündigungsschutz, in § 38 Abs. 2 iVm § 6 Abs. 4 S. 3 BDSG ist statuiert: Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die […]Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
Demnach genießt der abberufene DSB eben noch für ein Jahr den gleichen Kündigungsschutz wie der benannte DSB. Der Kündigungsschutz „wirkt nach“.
Ausnahme 1: Einvernehmliche Aufhebung der Benennung, Niederlegung
Keine Grundsätze ohne Ausnahmen: Selbstverständlich können die Beteiligten auch einvernehmlich entscheiden, dass der DSB abberufen wird. Arbeitgeber und Arbeitnehmer vereinbaren dann, dass die Tätigkeit des Datenschutzbeauftragten nicht länger ausgeführt wird und legen gegebenenfalls die neuen Aufgaben des Arbeitnehmers fest. Daneben kann eine Datenschutzbeauftragte ihr Amt auch niederlegen. Ebenso kann natürlich auch ein Arbeitsvertrag einvernehmlich aufgehoben werden. Oder die Arbeitnehmerin kündigt.
In jedem Fall genießt der interne DSB nach dem Ende seiner Tätigkeit ein Jahr lang Schutz vor einer ordentlichen Kündigung seines Arbeitsverhältnisses, den sogenannten nachwirkenden Kündigungsschutz (§ 38 Abs. 2 iVm § 6 Abs. 4 S. 3 BDSG).
Ausnahme 2: Der DSB wurde freiwillig benannt.
Ein weitere Ausnahme gilt für den Fall, dass der DSB freiwillig benannt wurde. In diesem Fall können Sie die Benennung jederzeit einseitig widerrufen. Relevant kann dies insbesondere für kleine Unternehmen sein, bei denen zwischen 10 und 20 Personen am PC mit personenbezogenen Daten arbeiten. Denn: Bis 25.11.2019 war die Grenze zur Benennung des DSB 10 Personen, seitdem sind es 20 Personen. Wenn Sie nach der alten Regelung einen DSB haben mussten, nach der neuen aber nicht mehr, können Sie den DSB einfach abberufen. Der nachwirkende Kündigungsschutz von einem Jahr ab Ende der Tätigkeit läuft in diesen Fällen ab dem Tag, an dem die Pflicht zur Benennung eines Datenschutzbeauftragten entfallen ist, so das Bundesarbeitsgericht, 2 AZR 223/19. In diesem Fall also bis 26.11.2020. In den Fällen, in denen die Zahl der Personen, die am PC mit personenbezogenen Daten arbeiten, durch Kündigungen unter 20 fällt, gilt das gleiche. Auch hier beginnt der nachwirkende Kündigungsschutz an dem Tag, an dem die Pflicht zur Benennung entfällt und endet ein Jahr später.
Denken Sie aber bitte daran: Keine Pflicht zur Benennung des DSB bedeutet nicht, dass Sie sich mit Ihrem Unternehmen nicht an die DSGVO halten müssen. Ein DSB unterstützt Sie dabei, auch wenn Sie ihn freiwillig benannt haben.
Zusammenfassung
Im Regelfall kann der unbefristet benannte Datenschutzbeauftragte nur bei vorliegen eines wichtigen Grundes im Sinne von § 626 BGB abberufen werden und das zu Grunde liegenden Arbeitsverhältnis auch nur außerordentlich bei Vorliegen eines wichtigen Grundes nach § 626 BGB gekündigt werden. Der besondere Kündigungsschutz des abberufenen DSB wirkt für ein Jahr nach.
1.2. Interner Datenschutzbeauftragter mit Befristung
In diesem Fall übernimmt jemand zusätzlich zu seinen Aufgaben – manchmal auch tatsächlich statt der bisherigen Aufgaben – die Aufgabe des Datenschutzbeauftragten für eine bestimmte Zeit. Dies wurde in der Benennungsurkunde entsprechend festgehalten. Es geht hier nicht um ein befristetes Arbeitsverhältnis, sondern um die Befristung der Benennung als Datenschutzbeauftragter.
Geht befristen so einfach? Grundsätzlich schon, allerdings sollte der Zeitraum nicht zu kurz gewählt sein. Eine zu kurze Befristung kann die Unabhängigkeit des Datenschutzbeauftragten gefährden. Denn wenn ein DSB damit rechnen muss, dass seine Benennung bei zu genauen Kontrollen oder heiklen Nachfragen nicht verlängert wird, wird er sich möglicherweise eher weniger streng äußern. Außerdem benötigen manche Aufgaben schlicht Zeit, da sie ja von allen neben der regulären Arbeit erledigt werden müssen. Wenn dann schon wieder ein möglicher Wechsel ansteht, schadet die fehlende Kontinuität dem Datenschutz. Im Extremfall könnte eine zu kurze Benennung sogar so ausgelegt werden, als hätte ein Unternehmen keinen Datenschutzbeauftragten, da dieser eben nicht wirksam arbeiten kann. Es gibt allerdings bisher keine Rechtsprechung die näher erläutert, was eine zu kurze Befristung ist. Die Datenschutzbehörden haben zum alten BDSG in ihrer gemeinsamen Zusammenkunft als „Düsseldorfer Kreis“ empfohlen, bei der ersten Befristung 1-2 Jahre und bei Verlängerungen einen längeren Zeitraum vorzusehen.
Bei einer befristeten Benennung endet diese einfach mit Zeitablauf. Eine Abberufung vor diesem Zeitpunkt ist – wie unter 1.1. erläutert – nur aus wichtigem Grund möglich.
2. Externe Datenschutzbeauftragte
Externe Datenschutzbeauftragte übernehmen die gleichen Aufgaben im Unternehmen wie ein interne DSB. Sie sind dort nur nicht Mitarbeiter, sondern bei einem Dienstleister angestellt. Mit diesem Dienstleister schließt das Unternehmen einen Dienstleistungsvertrag über die Erbringung der Leistung eines externen Datenschutzbeauftragten. Benannt wird aber ein konkreter Mitarbeiter des Dienstleisters. Das heißt auch in diesem Fall gibt es zum einen die Benennung zum Datenschutzbeauftragten und zum anderen einen Vertrag. Dieser Dienstleistungsvertrag lässt sich befristet oder unbefristet abschließen.
2.1. Unbefristeter Dienstleistungsvertrag
Oft werden Dienstleistungsverträge unbefristet abgeschlossen und laufen so lange, bis sie gekündigt werden. Wer also die Tätigkeit des externen Datenschutzbeauftragten einem Ende zuführen möchte, kündigt einfach den Vertrag? Sie ahnen es vielleicht: So einfach ist es natürlich nicht.
Zunächst noch einmal die Erinnerung an diesen wichtigen, der DSGVO entströmenden, Grundsatz: Der Datenschutzbeauftragte darf nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden, Art. 38 Abs. 3 S. 2 DSGVO. Dieses Benachteiligungsverbot umfasst auch ein Abberufungsverbot aus Gründen, die im Zusammenhang mit der Erfüllung der Aufgaben des DSB stehen. Ist ein Datenschutzbeauftragter bei der Amtsführung bspw. kritischer, als das so manchem lieb ist, darf er nicht deshalb abberufen werden.
Die Abberufung des DSB und die Kündigung des dazugehörigen Dienstleistungsvertrages hängen beim externen DSB zusammen. Denn wenn ein DSB abberufen wurde, kann er auch den Vertrag über die Dienstleistung als Datenschutzbeauftragter nicht mehr erfüllen. Selbst dann, wenn der Vertrag also einfach gekündigt werden könnte, ist die Kündigung nur erlaubt, wenn die gleichzeitige Abberufung des DSB nicht mit der konkreten Erfüllung der Aufgaben des DSB in Zusammenhang steht. Sollte es hierüber Streit geben, müsste das Unternehmen nachweisen, dass es den Vertrag über die Leistung des DSB nicht wegen dessen Amtsführung gekündigt hat, sondern wegen anderer nachvollziehbarer Gründe. Ein solcher Grund könnte etwa sein, dass der DSB künftig intern besetzt werden soll.
Findet der besondere Kündigungsschutz auch auf externe DSB Anwendung?
Nun gibt es – wie schon bei oben bei der Abberufung des internen DSB dargelegt – in Deutschland im BDSG eine Regelung, die die Abberufung des DSB an strenge Anforderungen knüpft (§ 38 Abs. 2 iVm § 6 Abs. 4 BDSG). Der interne DSB, der Arbeitnehmer in dem Betrieb ist, für den er die Aufgabe des Datenschutzbeauftragten übernimmt, kann nur dann abberufen werden, wenn ein wichtiger Grund im Sinne des § 626 BGB vorliegt. Die spannende Frage ist nun, ob diese Regelung auch für externe DSB Anwendung findet.
Die Befürworter sagen, dass das eben der Wortlaut des Gesetzes ist. § 38 Abs. 2 iVm § 6 Abs. 4 BDSG spricht nur von Datenschutzbeauftragten, ohne zu differenzieren. Außerdem werden somit sowohl externe als auch interne DSB vor Willkür besser geschützt.
Die Vertreter der anderen Seite argumentieren, dass die externen DSB bereits über das oben dargelegte Benachteiligungsverbot ausreichend geschützt sind. Den Materialien zum BDSG lässt sich zudem entnehmen, dass der Gesetzgeber nur eine arbeitsrechtliche Regelung schaffen wollte. Schon deshalb kann, so die Befürworter, die Regelung nicht für externe DSB gelten. Daneben gibt es erhebliche Zweifel daran, ob der deutsche Gesetzgeber überhaupt strengere Regelungen für die Abberufung und Kündigung von externen DSB schaffen durfte. Die DSGVO ist als europäische Verordnung direkt in den Mitgliedsstaaten anwendbar und überlagert nationales Recht. Gleichzeitig gibt die DSGVO den Mitgliedsstaaten aber die Möglichkeit, bestimmte Aspekte nach ihren Vorstellungen zu regeln, etwa bei der Frage, ab wann Unternehmen einen Datenschutzbeauftragten benennen müssen. Dabei gewährt die DSGVO jedoch nur die Freiheit, weitergehende Pflichten bei der Benennung des externen DSB zu normieren, nicht aber bei der Abberufung (Art. 37 Abs. 4 S. 1 DSGVO). Strengere Vorgaben für die Abberufung des externen DSB, die der DSGVO widersprechen, sind also möglicherweise europarechtswidrig und unwirksam. (Anders bei internen DSB, da hier über die Öffnungsklausel des Art. 88 DSGVO konkretere und strengere Regelungen für Beschäftigte durch den Gesetzgeber geschaffen werden können.)
Insgesamt sprechen daher die besseren Gründe dafür, den externen DSB ohne Vorliegen eines wichtigen Grundes abberufen zu dürfen.
Sollten im Vertrag keine Kündigungsfristen geregelt sein, kann der Vertrag natürlich trotzdem gekündigt werden. Wird der Dienstleister – wie es wohl die Regel sein dürfte – monatlich bezahlt, so kann der Vertrag spätestens am 15. eines Monats mit Wirkung zum Ende des Kalendermonats gekündigt werden (§ 621 Nr. 3 BGB). Unjuristisch gesprochen hat man also etwa 14 Tage Kündigungsfrist. In jedem Fall sollte bei der Kündigung schon geklärt sein, wer die Aufgabe des Datenschutzbeauftragten nach der Kündigung wahrnehmen wird
2.2. Befristeter Vertrag / Vertrag mit fester Laufzeit
Wenn der Dienstleistungsvertrag befristet ist, läuft er zum vereinbarten Datum automatisch aus. Die Regelung lautet dann etwa „Die Vertragslaufzeit beträgt zwei Jahre nach Unterzeichnung des Vertrages“ oder „Der Vertrag läuft bis 31.07.2025“.
Kann ein solcher Vertrag nun vorzeitig gekündigt werden, wenn man den externen Datenschutzbeauftragten abberufen möchte? Grundsätzlich ist eine vorzeitige Beendigung eines befristeten Vertrages nicht möglich. Denn in diesem Fall haben sich die Parteien vorab darauf verständigt, dass der Vertrag während der vereinbarten Laufzeit gelten soll. Diese Vereinbarung kann nun nicht einfach durch eine Kündigung zunichte gemacht werden.
In solchen Fällen bedarf es für die außerordentliche Kündigung wieder eines wichtigen Grundes, dessen Vorliegen ausnahmsweise zur Kündigung berechtigt, § 626 BGB.
3. Covid19 als wichtiger Grund?
So mancher mag auf die Idee kommen, die Pandemie als willkommen Grund für die Kündigung des DSB zu sehen. Aus fachlicher Sicht ist diese Zeit bei vielen Unternehmen eher ein Grund, den Datenschutzbeauftragten stärker einzubeziehen und das Budget aufzustocken. Denn die rechtlichen Anforderungen an die Digitalisierung, das Home Office und veränderte Geschäftsmodelle dürften eher mehr als weniger datenschutzrechtliche Arbeit bringen.
Doch selbstverständlich gibt es derzeit auch viele Unternehmen, die ihre Tätigkeit massiv runterfahren oder gar temporär einstellen mussten. Ändert dieser Umstand etwas an der Pflicht, einen Datenschutzbeauftragten zu benennen? Ob ein DSB benannt werden muss, ergibt sich gemäß der DSGVO daraus, ob zur Kerntätigkeit des Unternehmens die Verarbeitung personenbezogener Daten in regelmäßiger und systematischer Art gehört oder aber besonders sensible personenbezogene Daten verarbeitet werden. Reduzierter Geschäftsbetrieb ändert nichts am Kern der Tätigkeiten des Unternehmens und führt daher nicht dazu, dass man ausnahmsweise keinen Datenschutzbeauftragten benötigt.
Bei der temporären Einstellung des Geschäftsbetriebs kann man die Frage stellen, ob bei fehlender Tätigkeit jemand benötigt wird, der diese fehlende Tätigkeit datenschutzrechtlich überwacht. Zumal ein Unternehmen einen DSB nur dann benennen muss, wenn mehr als 20 Personen „ständig“ am Rechner personenbezogene Daten verarbeiten. Ist es denn noch ständig, wenn ohnehin kaum jemand arbeitet und somit auch keine Datenverarbeitung besteht? Auch wenn der eigentliche Geschäftsbetrieb ruht, fallen dennoch weiterhin Datenverarbeitungsvorgänge an. Gehälter und Rechnungen werden bezahlt, Sozialabgaben abgeführt etc.. Dass diese Arbeiten faktisch durch weniger Personen erledigt werden als sonst, weil es auch weniger zu tun gibt, spielt indes keine Rolle. Temporäre Veränderungen von einigen Wochen werden bei der Frage, ob mehr oder weniger als 20 Personen ständig mit der Datenverarbeitung beschäftigt sind, nicht berücksichtigt. So soll erreicht werden, dass bei zusätzlichem Personalbedarf, etwa in der Weihnachtszeit, nicht deshalb jemand zum Datenschutzbeauftragten benannt werden muss, weil kurzfristig mehr als 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
So ist es auch aktuell: Nach gut vier Wochen Pandemie mit weniger Datenverarbeitung oder mit weniger Personen, die die Datenverarbeitung durchführen, ist datenschutzrechtlich noch kein Grund ersichtlich, dass dies dauerhafte Änderungen nach sich zieht, so dass auch die Pflicht, einen Datenschutzbeauftragten zu benennen, weiterhin besteht.
4. Fazit
Die Abberufung und Kündigung eines oder einer Datenschutzbeauftragten ist nicht ganz einfach möglich. Das gilt insbesondere, aber nicht ausschließlich, bei der Benennung eines internen Datenschutzbeauftragten.
Das mag nun alles danach klingen, als sollte man als Unternehmen in jedem Fall auf externe DSB setzen. Einzig und allein aus Sicht der möglicherweise schnelleren Kündigungsmöglichkeit mag das richtig sein. Es spielen jedoch noch weit mehr Aspekte eine Rolle. So etwa die Kosten (ein externer DSB, der seinen Job richtig macht und machen soll, ist weit teurer als interne DSB) oder die Frage des Know-How-Aufbaus im Unternehmen. Dazu kommt: Die Lösung, die für das eine Unternehmen perfekt ist, kann für das andere furchtbar sein. Es kann gute Gründe für einen internen wie auch einen externen DSB geben und es kann sehr gute Gründe gegen einen internen oder externen geben. Hierzu könnte ich jetzt jede Menge schreiben. Aber ich glaube für heute langt es einfach.
Ganz grundsätzlich ist es wichtig, sich die potentiellen DSB – gleich ob intern oder extern – utner allen Aspekten gründlich anzusehen und vielleicht zunächst auch eine Befristung der Benennung in Betracht zu sehen.
Last but not least, manchmal liegt eine gewisse Unzufriedenheit mit dem eigenen Datenschutzbeauftragten und dem Gedankenspiel diesen unbedingt ersetzen zu wollen, auch an der Unkenntnis über dessen gesetzlich vorgegebenen Aufgabengebiet oder die Arbeitsumstände. Hier gilt wie so oft: Ein offenes Gespräch kann mehr als nur hilfreich sein. Und vielleicht müssen Sie den Gedanken an eine Kündigung und wie Sie dies bewerkstelligen dann gar nicht weiter ausführen.
In diesem Sinne,
viel Freude in der konstruktiven Arbeit mit Ihrem/Ihrer Datenschutzbeauftragten!
Hallo Nina,
guter Beitrag, aber wenn sich ein Unternehmen nicht nur temporär verkleinert, sondern dies durch bessere IT realisiert und somit keine 20 Mitarbeiter mehr mit der EDV beschäftigt sind, dann kann man doch den externen/internen DSB abbestellen? Mitarbeiter-Gehälter, Steuer usw. wird eh bei den meisten von einem externen Steuerbüro erledigt. So kenne ich das von etlichen KMUs. Die Mitarbeitergrenze lag ja auch mal bei 10 und nicht wie jetzt 20 (gemäß § 38 Abs. 1 S. 1 BDSG). Wäre nett wenn du mal dazu was schreiben könntest, die Frage kommt nämlich bei uns immer wieder auf?!