Aufsatz : Die Benennung und Abberufung des Datenschutzbeauftragten : aus der RDV 4/2025, Seite 173 bis 179

Die Befugnis zur nationalen Regelung enthält Art.  37 Abs.  4 DS‑GVO. Die Bestellpflicht besteht bei Verantwortlichen und Auftragsverarbeitern, soweit sie in der Regel min‑ destens 20 Personen ständig mit der automatisierten Ver‑ arbeitung personenbezogener Daten beschäftigen. Im Falle einer Datenschutz-Folgenabschätzung nach Art. 35 DS‑GVO unterliegenden Datenverarbeitung sowie der geschäftsmäßigen Datenverarbeitung zwecks Übermittlung, anonymisierter Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist sogar unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter zu benennen. Solange im Bereich der automa‑ tischen Datenverarbeitung weniger als zwanzig Mitarbeiter beschäftigt sind, bedarf es – abgesehen von dem Fall der in Art. 37 Abs. 1 DS‑GVO bzw. § 38 Abs. 1 BDSG benannten besonderen Risikobereichen – keines betrieblichen Beauftragten.

Die Öffnungsklausel in Art.  37 Abs.  4 DS‑GVO bezieht sich ausschließlich auf die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Aufgaben und Rechtsstellung des Datenschutzbeauftragten können vom nationalen Gesetzgeber nicht in Abweichung der DS‑GVO geregelt werden.

III. Das Beschäftigungsverhältnis/ Bestelloptionen

1. Allgemeines

Die DS‑GVO räumt den Verantwortlichen und den Auftrags‑ verarbeitern in Art. 37 Abs. 2 bis 4 DS‑GVO eine gewisse Flexibilität hinsichtlich der Art der DSB-Bestellung ein. Der Datenschutzbeauftragte kann Beschäftigter des Bestellpflichtigen oder dessen freier Mitarbeiter sein. Er kann die Aufgabe neben anderen Aufgaben wahrnehmen und insoweit auch Datenschutzbeauftragter anderer Unternehmen oder Behörden sein. So kann er von einer Unternehmensgruppe bestellt sein und dann Dienstleistungen in den beteiligten Unternehmen erbringen. Gleiches gilt hinsichtlich der Bestellung für mehrere Behörden. Dabei ist immer zwischen dem Bestellvorgang und dem Beschäftigungs-/Vertragsverhältnis zu unterscheiden, aus dem sich die arbeits-/dienstrechtlichen Rechte und Pflichten ergeben.

Die Benennung erfolgt durch einseitige empfangsbedürf‑ tige Erklärung der Leitung der benennenden Stelle. Da die Rechtsfolgen der Erklärung nicht der Privatautonomie unter‑ liegen, sondern sich unmittelbar aus den Art.  38 f. DS‑GVO und §§  38, 6 BDSG ergeben, handelt es sich nicht um eine Willenserklärung, sondern um eine sog. rechtsgeschäftsähnliche Handlung. Die praktischen Konsequenzen der Unterscheidung sind allerdings gering, weil die Regelungen über Rechtsgeschäfte auf rechtsgeschäftsähnliche Handlungen vielfach entsprechend angewendet werden können, so etwa die Anfechtungs- (§§ 119 ff. BGB) oder Stellvertretungsregeln. Die Anfechtungsregeln werden nicht dadurch verdrängt, dass dem DSB Abberufungsschutz gewährt wird (Art. 38 Abs. 3 S. 2 DS‑GVO; § 38 Abs. 3 i.V.m. § 6 Abs. 3 S. 3 BDSG).

2. Gemeinsame Datenschutzbeauftragte

a) Gemeinsame Datenschutzbeauftragte in Unternehmensgruppen

Art. 37 Abs. 2 DS‑GVO sieht die Möglichkeit der Bestellung von gemeinsamen Datenschutzbeauftragten in Unternehmensgruppen vor. Damit ist auf EU-Ebene die Klarstellung erfolgt, dass auch sog. Konzerndatenschutzbeauftragte in einem Akt bestellt werden können. Diese ist intern zulässig, wenn das Unternehmen, das die Unternehmensgruppe steuert (also beispielsweise eine Holding) gesellschaftsrechtlich berechtigt ist, in dieser Form in die Organisation der einzelnen Unternehmen einzugreifen.^[3]

Die Unternehmensgruppe ist dabei in Art. 4 Nr. 16 DS‑GVO als Gruppe definiert, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Diese Definition entspricht der des Konzerns in § 18 AktG. Die Bestellung wird dann – auch wenn Art. 35 Abs. 1 DS‑GVO den für die Verarbeitung Verantwortlichen als „Besteller“ vorsieht – von dem herrschenden Unternehmen zu erfolgen haben. In Betracht kommt aber auch das Unternehmen, mit dem der Beauftragte einen Arbeits- oder Dienstvertrag hat.

Auch bei gemeinsamer Benennung besteht die Pflicht zur Meldung des DSB an die Aufsichtsbehörden weiter – für jedes bestellpflichtige Konzernunternehmen eigenständig.^[4] Fraglich ist, wie bei einer einheitlichen Benennung gem. Art. 37 Abs. 2 DS‑GVO zu verfahren ist. Ein vereinfachtes Meldeverfahren sieht die DS‑GVO jedoch auch hier nicht vor^[5]und kann auch nicht aus Art. 56 Abs. 1 DS‑GVO abgeleitet werden.^[6]

Die Berufung eines Konzerndatenschutzbeauftragten ist an die Bedingung geknüpft, dass er von jeder Niederlassung aus „leicht erreicht werden kann“. Die leichte Erreichbarkeit muss mit Blick auf die Aufgaben des Datenschutzbeauftragten sowohl für die Verantwortlichen der einzelnen Konzernunternehmen als auch für die Beschäftigten als betroffene Personen erfüllt sein. Die leichte Erreichbarkeit impliziert den persönlichen und sprachlichen Zugang. Die Kommunikationsmöglichkeiten und die büromäßige Organisation ins‑ besondere eines externen DSB müssen hierauf ausgerichtet sein. Der ausschließlich französischsprachige Konzerndatenschutzbeauftragte bei der Konzernmutter in Paris mit Töchtern in anderen europäischen Staaten wird diese Voraussetzung wohl nicht erfüllen können.^[7] Das Kriterium der leichten Erreichbarkeit verlangt auch nach weiteren Konkretisierun‑ gen, beispielsweise hinsichtlich der Zurverfügungstellung von (fremdsprachlichem) Hilfspersonal.^[8]

b) Gemeinsame Datenschutzbeauftragte bei Behörden und öffentlichen Stellen

Die Regelung des Art. 37 Abs. 3 DS‑GVO eröffnet für den öffentlichen Bereich eine ähnliche gemeinsame Bestellmöglichkeit wie sie für Unternehmensgruppen besteht, wobei jedoch offenbleibt, wie die bei der Benennung des DSB ko‑ operierenden Behörden verbunden sein müssen. Die Organisationsstruktur und Größe muss jedenfalls so gestaltet sein, dass die Aufgaben hinsichtlich des Zeitumfangs und ihrer datenschutzrechtlichen Komplexität voll erfüllt werden können. Das gilt z.B. auch für Schulen, wenn jede/r betroffene Schulleiter/-in der Beauftragung zustimmt. Auf die leichte Erreichbarkeit stellt die Norm zwar im Wortlaut nicht ab, sie ist aber unter dem Gesichtspunkt der Organisationsstruktur zu berücksichtigen.^[9] Für Behörden gilt zudem, dass diese nicht nur einem Bediensteten einer anderen öffentlichen Stelle, sondern auch einem privaten Dienstleister die DSB-Funktion übertragen können.

3. Interne und externe Datenschutzbeauftragte

Die Bestellung von internen Datenschutzbeauftragten, d.h. von Beauftragten, die die Tätigkeit als Beschäftigte des Verantwortlichen oder des Auftragnehmers wahrnehmen, ist nach Art. 37 Abs. 6 DS‑GVO ebenso möglich sein wie die Beauftragung externer Dienstleister.

In der Regel wird bei größeren Unternehmen ein „interner DSB“, d.h. ein Angehöriger des Unternehmens bzw. der Dienststelle, der den „Betrieb“ und die in der Datenverarbeitung beschäftigten Personen kennt, sinnvollerweise mit der Wahrnehmung dieser Aufgabe betraut werden. Auch in kleineren Stellen bietet sich diese Lösung an, indem die Aufgabe des DSB einem Mitarbeiter übertragen wird, der diese neben seinen bisher Vollzeit wahrgenommenen Aufgaben zu erledigen hat.

Für nicht öffentliche Stellen ist aber auch die Bestellung völlig Außenstehender, die den Datenschutz hauptberuflich ausüben und u.U. auf diese Weise mehrere Unternehmen betreuen, möglich. Der betriebliche Beauftragte kann seine Funktionen jedoch nur dann voll entfalten, wenn er sich möglichst nahe am Ort des Geschehens befindet und nicht nur nachträglich kontrolliert, sondern die Verantwortlichen kontinuierlich berät und bereits bei der Planung und Vorbereitung von Datenverarbeitungsvorhaben dadurch mitwirkt, dass dem Datenschutz frühzeitig Rechnung getragen wird. Als Vorteil wird für eine solche Lösung anzuführen sein, dass der ggf. für mehrere Unternehmen tätige „hauptberufliche“ externe DSB – eben weil er sich hauptberuflich mit Datenschutzfragen befasst – regelmäßig auch die erforderliche allgemeine Fachkunde haben wird.

Fraglich ist nach wie vor, ob als externer Datenschutzbeauftragter auch eine juristische Person (z.B. Unternehmens‑ beratungsgesellschaft) bestellt werden kann.^[10] Die Aufsichtsbehörden lehnen dies im Hinblick auf die Regelungen des BDSG a.F. zutreffend weitgehend ab.^[11]Die BfDI macht gegenüber den Leitlinien der Artikel-29-Datenschutzgruppe, die akzeptieren, dass ein externer Datenschutzbeauftragter auch eine juristische Person sein könne, geltend, dass auch nach der DS‑GVO jede (natürliche) Person, die innerhalb die‑ ser Organisation Funktionen des Datenschutzbeauftragten wahrnimmt, sämtliche Voraussetzungen für die Benennung eines Datenschutzbeauftragten erfüllen müsse. Dabei müssen in einem Team klare Verantwortlichkeiten festgelegt werden.

Keine Bedenken sollten danach bestehen, einen qualifizierten Angehörigen einer juristischen Person namentlich und verantwortlich zum betrieblichen Datenschutzbeauftragten zu bestellen. Der entsprechende Geschäftsbesorgungsvertrag wird dann mit dem Beratungsunternehmen etc. abgeschlossen, das den zu bestellenden Mitarbeiter benennt. Dabei muss die erforderliche Weisungsfreiheit des DSB aber auch gegenüber seinem Arbeitgeber gewährleistet sein.

4. Teilzeit-Datenschutzbeauftragte

a) Allgemeines

Die Datenschutzbeauftragten können ihren Aufgaben in Volloder Teilzeit nachgehen, wobei mit Teilzeit gemeint ist, dass sie gleichzeitig andere Aufgaben in der Behörde oder dem Unternehmen oder auch außerhalb, d.h. bei einer anderen Behörde oder in einem Unternehmen wahrnehmen. Die bei dem anderen Unternehmen wahrgenommene Aufgabe kann ebenfalls die eines Datenschutzbeauftragten sein.

Mit der Regelung soll insbesondere auch den Bedürfnissen von bestellungspflichtigen kleinen und mittleren Unternehmen Rechnung getragen werden. Insbesondere wenn ein Beschäftigter die Funktion als Datenschutzbeauftragter nur in Teilzeit wahrnehmen soll, gilt es allerdings gem. Art. 38 Abs. 6 S. 2 DS‑GVO Interessenskonflikte zu vermeiden.

b) Interessenkonflikte

Interessenkollisionen spielten im Rahmen des § 4f Abs. 2 S. 1 BDSG a.F. bei der dort geforderten Zuverlässigkeit des DSB die gewichtige Rolle. Die DS‑GVO fordert zwar die Zuverlässigkeit der zu bestellenden Person nicht mehr für die Bestellung, dies jedoch wohl nur deshalb, weil sie eine Grundvoraussetzung ist. Herausgestellt wird nunmehr die Vermeidung des Interessenkonflikts, der insoweit auch bislang die maßge‑ bende Rolle gespielt hatte.

Das Problem einer eventuellen Interessenkollision stellt sich primär, wenn ein Beschäftigter nur „nebenamtlich“ mit der Aufgabe des DSB betraut werden soll. Dass das Problem auch zunehmend in den Fokus der Behörden rückt, zeigt ein Abschlussbericht des EDSA, der im Rahmen einer koordinierten Prüfung festgestellt hat, dass die Abhängigkeit von DSB besonders durch Interessenkollisionen gefährdet wird.^[12]

Personen dürfen nicht zum Datenschutzbeauftragten berufen werden, wenn sie aufgrund noch anderweitiger Funktionen in Interessenkonflikte geraten würden, die über das unvermeidliche Maß hinausgehen; dies soll nach Auffassung der Aufsichtsbehörden^[13] regelmäßig der Fall sein, wenn z.B. der Leiter der EDV, der Personalleiter oder bei Direktvertrieb der Vertriebsleiter zum Datenschutzbeauftragten bestellt werden soll.^[14]

Als empfehlenswerte Kombination verschiedener Tätigkeiten sieht die Aufsichtsbehörde^[15]die von Revision oder Sicherheitsbeauftragten und Datenschutzbeauftragten an.^[16] Dem Sicherheitsbeauftragten kann die Datenschutzkontrolle aber nur übertragen werden, wenn er nicht auch für Sicherheitsüberprüfungen der Beschäftigten und die Zusammenarbeit mit dem Verfassungsschutz zuständig ist, d.h. er für IT-Sicherheit zuständig ist.^[17] Der Leiter oder Mitarbeiter der IT-Abteilung scheiden aber regelmäßig aus.^[18]Gleiches gilt sicherlich für einen Mitarbeiter in den Bereichen Organisation oder in der Rechtsabteilung.^[19] Auch private Beziehungen, so z.B., wenn der im Betrieb beschäftigte Ehepartner zum Datenschutzbeauftragten ernannt werden soll, können ein Ausschlussgrund sein, wobei dann aber noch weitere Aspek‑ te hinzutreten müssen.^[20]

Die unabhängige Tätigkeit des DSB bedingt auch, dass ihm – wird ihm die Aufgabe nebenamtlich zu einer bisher Vollzeit ausgeübten Tätigkeit übertragen – die hierfür erforderliche Arbeitszeit, d.h. Freistellung von seiner bisherigen Tätigkeit gewährt wird. Dies sollte zur Klarstellung in einer Arbeitsplatzbeschreibung festgelegt werden.

Fraglich war lange, ob Interessenkollisionen auftreten, wenn ein Betriebsrats-/Personalratsmitglied zum DSB bestellt werden soll. Nach Auffassung des EuGH liegt eine Interessenkollision dann vor, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten umfasse. Dies folge aus der funktionellen Unabhängigkeit des Datenschutzbeauftragten, der u.a. die Einhaltung der datenschutzrechtlichen Vorgaben überwache. Der EuGH betont aber, dass das nationale Gericht einzelfallabhängig prüfen muss, ob tatsächlich ein Interessenkonflikt vorliegt.^[21]

Das BAG kam daraufhin zum Ergebnis, dass die Pflichten eines Datenschutzbeauftragten jedenfalls mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren sind. Er stellt zunächst fest, dass der Betriebsrat selbst darüber entschei‑ det, unter welchen konkreten Umständen er welche personenbezogenen Daten in Ausübung der ihm durch das BetrVG zugewiesenen Aufgaben erhebt und auf welche Weise er diese anschließend verarbeitet. Dies stehe der Aufgabe eines DSB entgegen, der seine eigenen Tätigkeiten datenschutzrechtlich überprüfen müsste.^[22]

Ob auch im Falle einer „einfachen“ Betriebsratsmitglied‑ schaft eine Interessenkollision mit dem Amt des DSB vorliegt, ließ das BAG in seiner Entscheidung offen. Brinkmann überträgt aber die vom EuGH und dem BAG aufgestellten Grundsätze auch auf das einfache Betriebsratsmitglied, da es sich beim Betriebsrat um ein Kollegialorgan handele und die Stimmen aller Mitglieder gem. §33 Abs.1 S.1 BetrVG dasselbe Gewicht hätten. Demzufolge würden alle Mitglieder im selben Maße über die Verarbeitung der ihnen im Rahmen ihrer Betriebsratstätigkeit zur Verfügung gestellten personenbe‑ zogenen Daten bestimmen.^[23]

Konflikte können auch entstehen, wenn der DSB für mehrere datenverarbeitende Stellen gleichzeitig tätig wird. Dies gilt sowohl für den internen als auch für den externen DSB. Soll der bei der Konzernmutter angestellte DSB gleichzeitig als DSB der Töchter fungieren, so kann dies im Einzelfall nicht unproblematisch sein. Interessenkonflikte können auch auftreten, wenn der DSB insoweit für den Auftraggeber und den Auftragnehmer einer Datenverarbeitung gleichermaßen bestellt ist und sich vor die Frage gestellt sieht, bei der Durchführung des Auftrags festgestellte Unregelmäßigkeiten dem Auftraggeber mitzuteilen. Um hier nicht gegen die Treuepflicht gegenüber dem einen oder anderen „Arbeitgeber“ zu verstoßen, sollte die Problematik in dem Bestellschreiben geklärt werden.

Stellt ein IT-Dienstleistungsunternehmen, das der verantwortlichen Stelle DV-Dienstleistungen erbringt, den externen DSB, so bedarf der eventuelle Interessenkonflikt ebenfalls besonderer Prüfung.

c) Konsequenzen bestehender Interessenkonflikte

Liegt ein Interessenkonflikt vor, so führt die Gesetzwidrigkeit der Bestellung nicht dazu, dass die Bestellung unwirksam ist. Konsequenz ist vielmehr, dass der Verantwortliche zum unverzüglichen Widerruf der Bestellung verpflichtet ist.^[24]

Ein ausdrückliches Recht der Aufsichtsbehörde, die Abberufung eines sich in einer Interessenkollision befindlichen DSB zu verlangen, wie sie § 38 Abs. 5 S. 3 BDSG vorsah, enthält die DS‑GVO nicht. Jedoch kann sie unter Nutzung ihrer Abhilfebefugnisse nach Art. 58 Abs. 2 lit. d) DS‑GVO die Anweisung erteilen, Verarbeitungsvorgänge in Einklang mit dieser Verordnung vorzunehmen.

Jedoch auch ohne Verlangen der Aufsichtsbehörde kann bzw. muss der Verantwortliche – auch wenn er den Mangel der Bestellung kannte bzw. erkennt – den gesetzwidrigen Zustand beenden. Dies schon deshalb, weil bei den bußgeld‑ bewehrten Artikeln in Art. 83 Abs. 4 lit. a) DS‑GVO die Art. 37, 38, 39 DS‑GVO insgesamt benannt sind, sodass die Abberu‑ fung dadurch erreicht werden kann, dass die mangelhafte Berufung mit einem Bußgeld belegt wird.

Für die Abberufung müssen jedoch die Voraussetzungen des Art. 38 Abs. 3 S. 2 DS‑GVO erfüllt sein, was bedeutet, dass ein wichtiger Grund nicht vorliegt, wenn der Interessenkonflikt dadurch beseitigt werden kann, dass die kollidierende Tätigkeit beendet wird.

Eine Kündigung des Beschäftigungsverhältnisses scheitert bei nicht möglicher Beseitigung der Interessenkollision an § 38 Abs. 2 BDSG i.V.m. § 7 Abs. 2 BDSG. Dies gilt regelmäßig auch für den Fall, dass ein anderweitiger Arbeitsplatz für den DSB nicht zur Verfügung steht. Das Gehalt ist ohne Beschäftigung fortzuzahlen, bis der Kündigungsschutz entfällt.^[25]

IV. Form und Befristung der Benennung

1. Art und Weise der Benennung

Anders als das BDSG a.F., das für den Bestellvorgang die Wah‑ rung der Schriftform (§  126 BGB) forderte (§  4 f Abs.  1 BDSG), stellt die DS‑GVO keine bestimmten Anforderungen an die Form der Bestellung des Datenschutzbeauftragten. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen (Accountability) erscheint eine schriftliche Bestellung jedoch angezeigt. Dabei ist zu beachten, dass das zu übertragende Amt des DSB und das zugrunde liegende Beschäftigungsverhältnis zwar getrennt zu betrachten sind,^[26] dass aber die Bestellung durch den Arbeitgeber nur erfolgen kann, wenn dies arbeitsvertraglich bzw. dienstrechtlich eine Basis hat. Zumeist bedeutet die Übernahme des Amts durch einen vorhandenen Mitarbeiter eine Änderung seines Arbeitsvertrags.

Der Benennungsakt ist zu dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DS‑GVO). Ausreichend ist insoweit, dass der Verantwortliche ein entsprechendes Benennungsdokument (etwa ein Benennungsschreiben, gegebenenfalls eine Urkunde), bei Rückgriff auf einen externen Datenschutzbeauftragten zudem eine entsprechende vertragliche Vereinbarung vorlegen kann. Einzelne Festlegungen gegenüber dem DSB können auch im Rahmen einer Arbeitsplatzbeschreibung oder einer betrieblichen Datenschutzordnung geschehen.

2. Befristung der Benennung

Zur Frage der Befristung der Bestellung macht die DS‑GVO ebenfalls keine Aussage. Sie ist „indirekt“ befristet, wenn dies bei dem der Bestellung zugrunde liegenden Arbeits- oder Dienstvertrag der Fall ist. Es ist regelmäßig davon auszugehen, dass mit Ende des Beschäftigungsverhältnisses auch die Bestellung nach dem Willen der Parteien beendet sein soll.

Ob die Bestellung des DSB auch – z.B. zum Zweck der Erprobung – befristet oder kommissarisch erfolgen kann, muss im Hinblick auf die an einen wichtigen Grund geknüpfte Abberufung als fraglich erscheinen. Unzulässig wäre es jedenfalls, durch die Befristung den Kündigungsschutz des DSB unterlaufen zu wollen. Eine Befristung oder eine auflösende Bedingung kann daher nur dann als zulässig angesehen werden, wenn auch hierfür bereits ein wichtiger Grund (z.B. die Rück‑ kehr des auf unbestimmte Zeit erkrankten bisherigen Amts‑ inhabers, die ohnehin geplante Versetzung auf einen anderen Arbeitsplatz) vorliegt.^[27] Keinesfalls darf die kommissarische oder befristete Bestellung des DSB dazu dienen, den DSB daran zu hindern, seine Befugnisse voll auszuschöpfen.^[28]

V. Der Abberufung- und Benachteiligungsschutz

1. Der Abberufungsschutz

Art. 38 Abs. 3 S. 2 DS‑GVO untersagt dem Verantwortlichen, den Beauftragten wegen Erfüllung seiner Aufgaben abzuberufen. Dabei kann es nicht nur darum gehen, dass er zu engagiert vorgeht, sondern auch darum, dass er sich nicht den Problemen zuwendet, die aus Sicht des Verantwortlichen Vorrang haben oder in seinen Auffassungen nicht mit denen der Anwender im Betrieb übereinstimmt.^[29]

Jedoch sind dem Abberufungsschutz Grenzen gesetzt, wie § 6 Abs. 4 und § 38 Abs. 2 BDSG deutlich machen.^[30] Liegt ein wichtiger Grund nach § 626 BGB vor, der sich auch aus der Art und Weise der Aufgabenwahrnehmung (z.B. Wahrneh‑ mung unerlaubter Tätigkeit während der Arbeitszeit) erge‑ ben kann, ist die Abberufung möglich.

Der EuGH hat hierzu klargestellt, dass es den Mitgliedstaaten freistehe, in Ausübung ihrer Zuständigkeit strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten als nach EU-Recht zu erlassen. Eine nationale Vorschrift wie §  6 Abs.  4 BDSG, wonach ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden könne, stehe Art. 38 Abs. 2 S. 3 DS‑GVO nicht entgegen. Dabei komme es nicht da‑ rauf an, ob die Abberufung mit der Erfüllung seiner Aufgaben zusammenhänge. Voraussetzung sei nur, dass die nationale Regelung des jeweiligen Mitgliedstaats die Verwirklichung der Ziele der DS‑GVO nicht beeinträchtige.^[31]

Der für den Widerruf der Bestellung im Übrigen durch den Hinweis auf §  626 BGB geforderte wichtige Grund liegt vor, wenn Tatsachen oder Umstände gegeben sind, die unter Berücksichtigung der Gegebenheiten des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung der Beschäftigung unzumutbar machen. Als wichtiger Grund kommen daher sowohl Aspekte in Betracht, die die weitere Beschäftigung als Datenschutzbeauftragter betreffen, aber auch solche, die das Arbeitsverhältnis allgemein betreffen.

Bereits daraus folgt, dass der Widerruf der Bestellung regelmäßig arbeitsrechtlich einer Änderung bzw. der Kündigung des der Beschäftigung zugrunde liegenden Arbeitsverhältnisses bedarf.^[32] Als einseitige, das zugrunde liegende Arbeitsverhältnis nicht berührende Maßnahme des Arbeitgebers ist der Widerruf der Bestellung dann zu verstehen, wenn der Arbeitgeber ausnahmsweise im Rahmen des Direktionsrechts dem Arbeitnehmer zur Konkretisierung seiner Arbeitspflicht bestimmte Tätigkeiten zuweisen und auch wieder entziehen kann. Hier ist sein Direktionsrecht nunmehr gesetzlichen Restriktionen unterworfen, indem die Voraussetzungen des § 626 BGB vorliegen müssen.

Die DS‑GVO äußert sich zu Form, Inhalt und Frist der Abberufungserklärung nicht. Es gilt daher Formfreiheit. Damit kann die Abberufung auch konkludent erfolgen und wird jedenfalls mit der Beendigung des Arbeitsverhältnisses verbunden sein, die jedoch, wenn sie per Kündigung erfolgt, gem. §  623 BGB immer der Schriftform bedarf. Hinsichtlich der Frist für die „Ausnutzung“ des wichtigen Grundes für die Abberufung gilt wegen der entsprechenden Anwendung die Zwei-Wochen-Frist des § 626 BGB.

Endet die Bestellpflicht durch Reduzierung der bei dem Verantwortlichen Beschäftigten oder z.B. durch Änderung der Geschäftstätigkeit oder Betriebsstilllegung, verliert der DSB sein „gesetzliches“ Amt. Eines ausdrücklichen Widerrufs der Bestellung bedarf es nicht.^[33] Der DSB kann aber ggf. als „freiwilliger“ DSB seine Aufgaben weiter wahrnehmen. In derartigen Fällen ist zur Klarstellung ein „vorsorglicher“ Widerruf und eine Zuweisung einer neuen Tätigkeit geboten, da anderenfalls eine konkludente Weiterbeschäftigung als „freiwillig“ bestellter DSB die Folge sein könnte. Sollen auf diesen die Regelungen der DS‑GVO bzw. des BDSG intern weiter Anwendung finden, bedarf auch das einer Vereinbarung.

Eine besondere Problematik ergibt sich bei der Fusion von Firmen, wobei sich die Frage stellt, ob der DSB der eingegliederten Firma bzw. bei Neugründung jeder der bisherigen DSB^[34] sein Amt wegen des Wegfalls der ihn bestellenden verantwortlichen Stelle und des Umstands, dass das Gesetz nur einen DSB vorschreibt, automatisch verliert. Für den Fall, dass die DSB-Tätigkeit arbeitsvertraglich vereinbart ist, verfügt jedoch andererseits § 613a BGB, dass der neue Arbeitgeber in den bestehenden Arbeitsvertrag eintritt.

Das BAG^[35] hat jedoch für den Fall der Fusion zweier Kran‑ kenkassen das Amt des DSB infolge des Wegfalls des ihn be‑ stellenden Arbeitgebers als erloschen bewertet.^[36] Im Falle der Insolvenz erlischt die Pflicht des Unternehmens zur Bestel‑ lung eines Datenschutzbeauftragten erst dann, wenn – nach Abschluss des Insolvenzverfahrens – der Betrieb eingestellt wird bzw. im Rahmen der Abwicklung des Unternehmens die Mitarbeiterzahl unter die gesetzliche Bestellgrenze fällt.^[37] Der Eintritt der Insolvenz ist jedoch kein wichtiger Grund, der zum Widerruf oder zur Kündigung berechtigt. Ggf. geht der DSB somit als Letzter.

2. Das Benachteiligungsverbot

Das Verbot der Benachteiligung des Beauftragten für den Datenschutz ist eine Konsequenz aus seiner Unabhängigkeit. Ein Arbeitgeber/Dienstherr hat vielseitige Möglichkeiten, einen ihm missliebigen Beauftragten zu „bestrafen“. Sie reichen von der Übergehung bei der Beförderung bis hin zur Entlassung. Vor einer ihn benachteiligenden Entlassung ist der betriebliche DSB nunmehr speziell durch den nur bei wichtigem Grund zulässigen Widerruf seiner Bestellung geschützt. Aber auch mit anderen Benachteiligungen muss ein DSB, der seine Aufgaben sorgfältig erfüllt, rechnen. Werden sie offen‑ kundig, kann er ihnen unter Berufung auf das Benachteiligungsverbot entgegentreten. Im Konfliktfalle, namentlich bei einer nachhaltigen Störung des Vertrauensverhältnisses, werden indes die Grenzen seiner Wirkungsmöglichkeiten erkennbar. Hier wird die Aufsichtsbehörde unterstützend eingreifen müssen. Auch die Mitarbeitervertretung wird, wenn die Benachteiligung sich in einer mitbestimmungspflichtigen Personalmaßnahme niederschlägt bzw. der DSB bei solchen Maßnahmen übergangen wird, für den DSB aktiv werden müssen. Das Benachteiligungsverbot dauert auch nach der Abberufung des DSB an, soweit Vorgänge aus der DSB-Zeit noch bei Personalentscheidungen relevant werden.

VI. Der Kündigungsschutz des DSB (§ 6 Abs. 4 S. 2 und § 38 Abs. 2 BDSG)

Die DS‑GVO enthält keine Regelungen zu einem Kündigungsschutz des DSB. Auch ohne diesbezügliche Öffnungsklausel ist der nationale Gesetzgeber jedoch befugt, diesen für die arbeitsrechtliche Situation des DSB spezifisch zu regeln. Dies hat er getan, indem er die bisher in § 4 f Abs. BDSG a.F. enthaltene Regelung in § 6 Abs. 4 S. 2 und 3 und in der Verweisregelung des § 38 Abs. 2 BDSG fortgeführt hat.

Der mit einem als Arbeitnehmer beschäftigten DSB bestehende Arbeitsvertrag kann nur einseitig vom Arbeitgeber beendet werden, wenn ein Grund vorliegt, der ihn zur Kündigung ohne Einhaltung einer Kündigungsfrist berechtigt.

Dass der externe DSB den Kündigungsschutz nicht genießt, mag für Unternehmen zu der Überlegung führen, von einem DSB im Anstellungsverhältnis abzusehen. Derartige oder sonstige wirtschaftliche Überlegungen können jedoch nicht als wichtiger Grund für die Kündigung des angestellten DSB dienen.^[38]

Ist die Tätigkeit des Datenschutzbeauftragten Gegen‑ stand einer arbeitsvertraglichen Vereinbarung – und das muss nicht nur bei einem hauptamtlich, d.h. ausschließ‑ lich mit Aufgaben des DSB betrauten Arbeitnehmer der Fall sein –, so kann sich eine Abberufung zudem nur in Form der gleichzeitigen Kündigung dieser arbeitsvertraglichen Abrede vollziehen, wobei sich die Kündigung je nachdem, ob das Arbeitsverhältnis beendet oder unter Wahrnehmung anderer Aufgaben fortgesetzt werden soll, als Beendigungs- oder Änderungskündigung darstellt. Nach Auffassung des BAG^[39] kommt sogar eine im Arbeitsverhältnis die Ausnahme bildende Teilkündigung in Betracht, die das alte Arbeitsverhältnis eines Teilzeit-DSB im früheren Umfang weiter bestehen lässt. Das setzt aber wohl voraus, dass der Mitarbeiter vor der Übertragung der zusätzlichen DSB-Tätigkeit mit der Haupttätigkeit volltags beschäftigt war. In einer nachfolgenden Entscheidung hat das BAG^[40] aber festgestellt, dass im Regelfall auch mit dem Widerruf der Bestellung eines nebenamtlichen DSB diese ohne Teilkündigung endet.

VII. Fazit

Es hat sich gezeigt, dass bei der Benennung und Abberufung des DSB nicht nur das Datenschutzrecht, sondern bei internen DSB vor allem auch das Arbeitsrecht eine sehr wichtige Rolle spielt. Für die Praxis folgt daraus, dass Sachverhalte zwingend ganzheitlich zu betrachten sind. Der Beschäftigtendatenschutz gewinnt zunehmend an Bedeutung – auch ohne eigenständiges Beschäftigtendatengesetz.^[41]

_{[1] Dieser Beitrag ist ein gekürztes Kapitel aus dem von denselben Autoren verfassten Handbuch Beschäftigtendatenschutz, 9. Aufl. 2025.}

_{[2] Baumgartner/Hansch, ZD 2019, 92; Franck, DSB 2019, 181; Franck/Reif, ZD 2015, 405; Gola, PinG 2020, 84; Gola, RDV 2019, 157; Greiner/Senk, NZA 2020, 201; Heberlein, Juris 1/2019, 19; Jaspers/Reif, RDV 2016, 61; Marschall/Müller, ZD 2016, 415; Niklas/Faas, NZA 2017, 1091.}

_{[3] Gola/Heckmann/Gola, DS‑GVO – BDSG, 3. Aufl. 2022, § 5 Rn. 12.}

_{[4] Ehmann/Selmayr/Heberlein, DS‑GVO, 3. Aufl. 2024, Art 37 Rn. 38.}

_{[5] Vgl. die ausführliche Begründung bei Sundermann, ZD 2020, 275 (277).}

_{[6] Vgl. die ausführliche Begründung bei Sundermann, ZD 2020, 275 (277).}

_{[7] Vgl. ausführlich bei Sydow/Helfrich, DS‑GVO, 3. Aufl. 2022, Art. 37 Rn. 96 ff.; Jaspers/Reif, RDV 2016, 61.}

_{[8] Vgl. hierzu Laue/Nink/Kremer, Das neue Datenschutzrecht der betrieblichen Praxis, 3. Aufl. 2024, § 8 Rn. 14; Franck/Reif, ZD 2016, 405.}

_{[9] Vgl. auch Jaksch/van Daacke, DuD 2018, 758.}

_{[10] Vgl. Gola/Heckmann/Gola, DS‑GVO – BDSG, 3. Aufl. 2022, § 5 Rn. 17.}

_{[11] ULD S–H., 36. TB, Ziff. 5.3; BfDI, 26. TB, 2015/2016, Ziff. 1.8.}

_{[12] EDSA, 2023 Coordinated Enforcement Action, „Designation and Position of Data Protection Officers“ v. 16.01.2024, S. 24 ff.; s. hierzu auch Piltz/Häntschel, DSB 2023, 43; Heberlein, ZD 2023, 425.}

_{[13] Vgl. bereits Aufsichtsbehörde Baden-Württemberg, Hinweis zum BDSG Nr. 2, Staatsanzeiger vom 01.04.1978, Nr. 26, S. 5.}

_{[14] Gleiche Bedenken meldet das BAG, Beschl. v. 22.03.1994 – 1 ABR 51/93 = RDV 1994, 182, auch für einen Mitarbeiter der EDV-Abteilung an; ebenso Simitis/ Hornung/Spiecker gen. Döhmann/Drewes, DatenschutzR, 1. Aufl. 2019, Art. 38 Rn. 55 für Mitarbeiter der genannten Bereiche.}

_{[15] Aufsichtsbehörde Baden-Württemberg, Hinweis zum BDSG Nr. 5, Staatsan‑ zeiger vom 06.01.1979, Nr. 1/2, S. 7; ferner Hinweis Nr. 31, Staatsanzeiger vom 09.01.1993, Nr. 1/2, S. 5/6 = RDV 1993, 54}

_{[16] So auch Simitis/Hornung/Spiecker gen. Döhmann/Drewes, DatenschutzR, 1. Aufl. 2019, Art. 38 DS‑GVO Rn. 55.}

_{[17] Simitis/Hornung/Spiecker gen. Döhmann/Drewes, Datenschutzrecht, DS‑GVO, 1. Aufl. 2019, Art. 38 Rn. 55; Kühling/Buchner/Bergt/Herbort, DS‑GVO/ BDSG, 4. Aufl. 2024, Art. 38 Rn. 42}

_{[18] Vgl. Gola/Heckmann/Gola, DS‑GVO – BDSG, 3. Aufl. 2022, § 7 Rn. 14.}

_{[19] Siehe BfD-Info, Die Datenschutzbeauftragten in Behörde und Betrieb, S. 11; Schaffland/Wiltfang, § 4 f. Rn. 32, 37 f.}

_{[20] Vgl. HessDSB, 41. TB (2012), Ziff. 4.6.}

_{[21] EuGH, Urt. v. 09.02.2023 – C-453/21 mAnm. Zhou/Wybitul, ArbRB 2023, 98.}

_{[22] BAG, Urt. v. 06.06.2023 – 9 AZR 383/19 = ZD 2023, 761 Rn. 36: „Ein als Be‑ triebsratsvorsitzender beteiligter Datenschutzbeauftragter, der seine Über‑ wachungsaufgabe im Spannungsfeld seiner funktionalen Interessen und Aufgaben erfüllen muss, besitzt nicht die für eine Gewährleistung des ge‑ setzlichen Datenschutzes erforderliche Unabhängigkeit. Als Beauftragter für den Datenschutz ist der Vorsitzende des Betriebsrats verpflichtet zu prüfen, ob die von ihm nach außen vertretene Beschlusslage des Betriebsrats mit den Bestimmungen des Datenschutzes im Einklang steht.“}

_{[23] Brinkmann, BB 2024, 54 (56 f.)}

_{[24] Vgl. BAG, Urt. v. 06.06.2023 – 9 AZR 383/19 = ZD 2023, 761.}

_{[25] Dies gilt nach dem LAG Düsseldorf, Urt. v. 23.07.2012 – 9 Sa 593/12 = RDV 2013, 207 = ZD 2013, 357 jedenfalls, wenn 27,5 Monate ohne Beschäftigung abzu‑ warten sind.}

_{[26] Zum sog. Trennungsprinzip auch in vergleichbaren Fällen vgl. Ehrich, NZA 1993, 248; zutreffend einschränkend BAG, Beschl. v. 22.03.1994 – 1 ABR 51/93 DB 1994, 1678 = MDR 1995, 291 = RDV 1994, 182.}

_{[27] Nach Marschall/Müller, ZD 2016, 415 (416) soll jedoch nicht nur die Bestellung des externen, sondern auch die des internen DSB die Möglichkeit der unbe‑ gründeten Befristung haben.}

_{[28] Insoweit mag eine Befristung auf fünf Jahre akzeptabel sein, so Däubler, Glä‑ serne Belegschaften, 9. Aufl. 2021, Rn. 615.}

_{[29] Vgl. bei Kühling/Buchner/Bergt/Herbort, DS‑GVO/BDSG, 4. Aufl. 2024, Art. 37 Rn. 46 f.}

_{[30] A.A. Piltz, BDSG, Praxiskommentar für die Wirtschaft, 1. Aufl. 2018, § 38 Rn. 23, wonach die Abberufung keinen Einfluss auf das Arbeitsverhältnis haben und aus betrieblichen Gründen jederzeit möglich sein soll.}

_{[31] EuGH, Urt. v. 09.02.2023 – C-453/21 mAnm. Zhou/Wybitul, ArbRB 2023, 98}

_{[32] Vgl. BAG, Urt. v. 13.03.2007 – 9 AZR 612/05 = RDV 2007, 138.}

_{[33] Zum Abberufungsschutz vgl. bei v.d. Plath/Bussche/Raguse, DS‑GVO/BDSG/ TTDSG, 4. Aufl. 2023, § 6 Rn. 13 ff.}

_{[34] Vgl. SächsDSG, 14. TB (2009), S. 16.}

_{[35] BAG, Urt. v. 29.09.2010 – 10 AZR 588/09 = RDV 2011, 882.}

_{[36] Ebenso ArbG Cottbus, Urt. v. 14.02.2013 – 3 Ca 1043/12 = RDV 2013, 207.}

_{[37] LfD Baden-Württemberg, 31. TB (2012/2013), Ziff. 10.1.}

_{[38] Vgl. BAG, Urt. v. 29.09.2010 – 10 AZR 588/09 = RDV 2011, 237.}

_{[39] BAG, Urt. v. 13.03.2007 – 9 AZR 612/05 = RDV 2007, 128.}

_{[40] EuGH, Urt. v. 23.03.2011 – 10 AZR 562/09 = RDV 2011, 237.}

_{[41] S. hierzu Thüsing, DB 2024, 2830.}