Mit Urteil vom 22.06.2022 (C-534/20) entschied der Europäische Gerichtshof (EuGH), dass der deutsche Sonderkündigungsschutz von internen Datenschutzbeauftragten aus § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 Bundesdatenschutzgesetz (BDSG) europarechtskonform ist. Wie zukünftig die Gerichte in der Praxis damit umgehen, bleibt abzuwarten.
Details zum Fall
Bei dem EuGH vorgelegten Fall ging es um eine Arbeitnehmerin, welche im Januar 2018 für eine Rechtsabteilung des Unternehmens mit mehr als 50 Arbeitnehmern angestellt gewesen ist. Im Februar 2018 erfolgte dann die Benennung zur internen Datenschutzbeauftragten. Zum August 2018 sollte dann eine Kündigung auf Grund einer Restrukturierung erfolgen. Die Position des internen Datenschutzbeauftragten solle fortan durch einen externen Dienstleister ersetzt werden.
Daraufhin legte die Arbeitnehmerin Klage gegen ihre Kündigung ein. Nach § 6 Absatz 4 BDSG durfte sie nicht gekündigt werden, da sie Datenschutzbeauftragte war. Die ersten Instanzen gaben ihr Recht, jedoch zog der Arbeitgeber hiergegen aber in Berufung und schließlich in Revision. Zum einen wurde darüber gestritten, ob die Restrukturierung nicht als „wichtiger Grund“ anzusehen war und ggf. trotzdem zu einer Kündigung berechtigte. Andererseits wurde auf die Vorschrift der DSGVO verwiesen, die nur eine Kündigung „wegen“ der Erfüllung der Aufgaben ausschloss. Hier lag der Kündigungsgrund jedoch nur in der Umstrukturierung.
Zuerst wurde der Fall vor dem Arbeitsgericht und später beim Landesarbeitsgericht Nürnberg behandelt. Letztlich gelangte er zum Bundesarbeitsgericht, welches die Fragen an den EuGH über die Auslegung der DSGVO vorlegte. Denn immer, wenn es einen Konflikt zwischen EU-Gesetzen und nationalen Gesetzen gibt, ist der Europäische Gerichtshof für die Auslegung des EU-Rechts zuständig und kann dabei möglicherweise einen Anwendungsvorrang des europäischen Rechts feststellen.
Die Entscheidung des EuGH
Die DSGVO selbst dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr. Die Regelung der Artikel 38 DSGVO unterstützt dieses Ziel, indem die mit dem Datenschutz betrauten Mitarbeiter nicht für die Erfüllung ihrer gesetzlichen Aufgaben – die Überwachung der Einhaltung der DSGVO durch ihren Arbeitgeber – gekündigt werden können. In diesem Fall besteht nur eine Richtlinienkompetenz, welche zu einem Setzen von Minimalstandards ermächtigt. Bei dieser Minimalkompetenz ist die EU aber gerade nicht befugt, den Mitgliedsstaaten ein höheres Schutzniveau zu verbieten. Sind die Regelungen jedoch in einem Mitgliedsstaat strenger, ist dies erlaubt.
Dies war letztlich dann auch der ausschlaggebender Punkt, warum die deutsche Regelung zum Kündigungsschutz nicht beanstandet wurde. Der deutsche Gesetzgeber ist insofern frei, die Regelung so festzulegen. Die DSGVO steht dem nicht entgegen.
Bedeutung des Urteils für Arbeitgeber
Der Kündigungsschutz für interne Datenschutzbeauftragte in Deutschland ist somit weiterhin streng geregelt. Sich von einem einmal benannten Datenschutzbeauftragten zu trennen, ist nicht so einfach. Die Kündigung ist und bleibt nur zulässig, wenn es einen wichtigen Kündigungsgrund gibt, einfache betriebliche Gründe reichen nicht aus.
Bei externen Datenschutzbeauftragten ist die Situation hingegen anders. Diese sind auf Grund Ihres Dienstleistungsvertrages keine Arbeitnehmer des Verantwortlichen. Sie unterliegen somit nicht dem Kündigungsschutz nach § 6 Abs. 4 BDSG. Auch sie dürfen nicht wegen ihrer unliebsamen Maßnahmen in ihrer Funktion als Datenschutzbeauftragte gekündigt werden. Es gilt Artikel 38 DSGVO, der eine Abberufung oder Benachteiligung wegen der Erfüllung der Aufgaben verbietet.
Was regelt die DSGVO bzw. das BDSG für die Benennung?
Sowohl Art. 37 DSGVO als auch § 38 des BDSG geben vor, unter welchen betrieblichen Voraussetzungen ein Datenschutzbeauftragter verpflichtend bestellt werden muss. Dem Unternehmen bleibt die Entscheidung aber selbst überlassen, ob diese Stelle durch einen Mitarbeiter aus dem eigenen Betrieb oder durch einen Dienstleister als externen Datenschutzbeauftragten besetzt wird.
Die eingesetzte Person, sollte über Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis verfügen. Zudem sollte der betraute Mitarbeiter oder Dienstleister die erforderlichen Fähigkeiten mitbringen, um die Aufgaben eines Datenschutzbeauftragten (Beratung, Überwachung und Unterrichtung) auszuführen. Auch potenzielle Interessenkonflikte sollten vermeiden werden.
Obwohl die Tätigkeit am Ende dieselbe ist, gibt es doch einige gewichtige Unterschiede zwischen einem internen und externen Datenschutzbeauftragten.
Interner Datenschutzbeauftragter:
Wenn ein Mitarbeiter aus dem Unternehmen bestellt wurde, wird dieser als interner Datenschutzbeauftragter benannt. Jedoch darf nicht jeder Mitarbeiter diese Funktion ausüben. Eine Bestellung ist nur dann möglich, wenn er Fachkenntnisse im Datenschutzrecht vorweisen kann und dieser verantwortungsvollen Tätigkeit gewachsen ist. Außerdem sind sämtliche Mitarbeiter der Geschäftsführung ebenso ausgeschlossen wie alle weiteren Mitarbeiter, bei denen ein Interessenskonflikt zwischen ihrer beruflichen Tätigkeit und dem Amt des Datenschutzbeauftragten bestehen könnte.
Der Vorteil eines internen Datenschutzbeauftragten ist jedoch, dass dieser mit den Kernprozessen und den jeweiligen Arbeitsabläufen des Unternehmens vertraut ist.
Zu den Nachteilen eines internen Datenschutzbeauftragten sind sowohl die Aus - sowie Weiterbildung auf Kosten des Unternehmens. Der besondere arbeitsrechtliche Status, der Kündigungsschutz sowie Interessenskonflikte können nie gänzlich ausgeschlossen werden. Außerdem stellt insbesondere für kleine und mittlere Unternehmen die Vergütung eines internen Datenschutzbeauftragten eine finanzielle Belastung dar.
Externer Datenschutzbeauftragter:
Bei einen externen Datenschutzbeauftragten handelt es sich um einen zertifizierten Datenschutzexperten, welcher nicht Ihrem Unternehmen angehört, sondern als Dienstleister für Sie arbeitet. Ein externer Datenschutzbeauftragter besitzt aufgrund seiner einschlägigen Ausbildung ein hohes Fachwissen im Datenschutzrecht. Er kann somit als unabhängiger Fachexperte die Aufgaben eines Datenschutzbeauftragten vollumfänglich erfüllen.
Der Nachteil eines externen DSB ist, dass dieser sich erst in die Besonderheiten und Kernprozesse des Unternehmens einarbeiten muss.
Zu den Vorteilen eines externen Datenschutzbeauftragten zählen aber sowohl die umfassende Qualifizierung und Zertifizierung auf eigene Kosten als auch die Einbeziehung bereits vorhandener Erfahrungen aus anderen Unternehmen. Außerdem ist der Vertrag des externen Datenschutzbeauftragten ein kündbares Dienstleistungsverhältnis und stellt somit eine kostengünstige Alternative zum internen Datenschutzbeauftragten dar, denn durch das Dienstleistungsverhältnis bleibt das Tagesgeschäft unberührt.
Aufgaben
Gemäß Art. 39 DSGVO ist geregelt, dass sowohl der interne als auch der externe Datenschutzbeauftragte auf die Einhaltung der DSGVO und des BDSG zum Datenschutz hinwirkt. Außerdem trägt er eine umfassende Überwachungspflicht. Der Datenschutzbeauftragte selbst kann die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen, da er im Idealfall nur analysiert und den Stand des Datenschutzniveaus im Unternehmen kontrolliert. Der Datenschutzbeauftragte macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt, sondern ist organisatorisch gemäß Art. 38 DSGVO der Geschäftsleitung unterstellt.
Kosten und Fachwissen
Für einen internen Datenschutzbeauftragten müssen zusätzlich zur regulären Vergütung sowohl die Kosten für Ausfallzeiten, Weiterbildung als auch Fachliteratur getragen werden, welche sich vorab nur schwer beziffern lassen. Auch die Zeiten, wo sich der interne Datenschutzbeauftragte in neue Themenbereiche einarbeitet bzw. auf Schulungen nicht unmittelbar innerhalb des Unternehmens beschäftigt werden kann, können vorab nur schwer bestimmt werden.
Ein externer Datenschutzexperte legt bereits im Vorfeld die Vergütung für seine Leistungen offen dar und klärt über mögliche weitere Kosten auf. Die Preise sind auf Grundlage des Dienstleistungsvertrages geregelt. Auch in Bezug auf das Fachwissen muss ein interner Datenschutzbeauftragter erst zeitaufwendige und kostenintensive Schulungen im Bereich Datenschutz besuchen und sich in die Materie einarbeiten, bevor er mit seinen Aufgaben beginnen kann. Auch Layouts zu den verschiedenen Datenschutzdokumenten müssen erst angefertigt werden. Demgegenüber bringt ein externer Datenschutzbeauftragter als zertifizierter Fachexperte für Datenschutz diese Qualifikationen bereits mit. In den meisten Fällen kann der externe Datenschutzbeauftragte auch auf eine große Sammlung von bereits vorhandenen Musterdokumenten zurückgreifen.
Akzeptanz
Auch bei der Akzeptanz innerhalb des Unternehmens wird meist ein interner Datenschutzbeauftragter weniger akzeptiert als der externe Dienstleister. Möglicherweise leidet darunter die Zusammenarbeit, weil die Beschäftigten auf die Anfragen des internen Datenschutzexperten häufig verspätet oder gar nicht antworten. Das gilt insbesondere, wenn der interne Mitarbeiter von Vorgesetzen Auskünfte einholen will oder bei bestimmten Verarbeitungsprozessen seine datenschutzrechtlichen Bedenken anmeldet. Ein externer Datenschutzbeauftragter ist hier aufgrund seiner unabhängigen Expertenstellung im Vorteil.
Haftung für Fehler
Begeht ein interner Datenschutzbeauftragter bei der Erfüllung seiner Aufgaben einen Fehler, trägt die Geschäftsführung des Unternehmens die volle Verantwortung für eventuelle Verstöße gegen die DSGVO. Auch das Haftungsrisiko bleibt somit innerhalb des Unternehmens. Ein externer Datenschutzbeauftragter übernimmt, durch den Dienstleistungsvertrag geregelt, einen Teil der Haftung und ist auch entsprechend versichert, um Schäden aus möglichen Bußgeldern oder Abmahnungen gegenüber dem Unternehmen abzudecken, sofern diese auf eine mangelhaften Beratung zurückzuführen sind.
Verfügbarkeit
Ein interner Datenschutzbeauftragter steht auf Grund von Krankheitstagen, Urlaub oder betriebliche Ereignissen nicht immer zur Verfügung, auch ist meist kein Vertreter benannt. Das ist insbesondere dann kritisch, wenn Fristen eingehalten werden müssen. So sind beispielsweise Datenpannen innerhalb von 72 Stunden an die zuständige Behörde zu melden. Hierbei ist es egal, ob dies auf ein Wochenende oder die Urlaubszeit fällt.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Fun Fact zu Weihnachten:
Dass der Weihnachtsmann nicht allein für die Verteilung der Weihnachtsgeschenke verantwortlich ist, wissen wir, denn schließlich gibt es da ja noch das Christkind. Die niederländischen Kinder werden hingegen bereits am Nikolausabend mit Geschenken beschert. Und in Italien werden die beiden noch von der Hexe Befana unterstützt, die auch erst in der Nacht vom 05. Januar zum 06. Januar die Geschenke bringt. In Spanien wiederum mühen sich die Heiligen Drei Könige am 06. Januar mit der Verteilung von Weihnachtspaketen ab. Kein Grund also am Weihnachtsmann zu zweifeln, denn ihm stehen allerlei Helferlein zur Seite.
Ein Ende der 90-iger publizierter Beitrag befasst sich mit dem Nachweis der Nichtexistenz des Weihnachtsmannes. Anhand von statistischen Zahlen wird darin berechnet, dass er sich zum Verteilen der Geschenke mit 1040 km/h bewegen müsste. Zum Glück fliegt er mit seinem Schlitten durch die Lüfte und dort ist nur mit wenig Gegenverkehr zu rechnen.
Wir wünschen Ihnen frohe Weihnachten und einen guten Rutsch ins neue Jahr!
Ihr Team der RKM Data GmbH