Externer oder interner Datenschutzbeauftragter?

Sie wissen nicht, ob Sie einen internen oder externen Datenschutzbeauftragten für Ihr Unternehmen benötigen? Dann soll dieser Beitrag Ihnen eine kleine Orientierungshilfe geben.

Wer personenbezogene Daten automatisiert erhebt, verarbeitet oder nutzt, ist verpflichtet einen Datenschutzbeauftragten schriftlich zu bestellen Art. 37 DSGVO. Eine Bestellung muss nicht erfolgen, wenn nicht mehr als zwanzig Arbeitnehmer mit der Verarbeitung personenbezogener Daten beschäftigt sind. 

Welche Aufgaben hat denn ein Datenschutzbeauftragter überhaupt?

  • Unterrichtung und Beratungdes Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung– auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
  • Zusammenarbeitmit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstellefür die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Wer kann denn Datenschutzbeauftragter werden?  

  • Sowohl interne als auch externe Person möglich 
  • erforderliche Fachkunde und Zuverlässigkeit(Art. 37 Abs. 5 DSGVO
  • keine Interessen- und Pflichtenkollisionmit anderen betrieblichen Aufgaben z.B. Personal- oder EDV-Leiter 
  • Weisungsfreiheitbzgl. datenschutzrechtlicher Aufgaben (Art. 38 DSGVO
  • dem Unternehmer unmittelbar unterstellt (Art. 38 DSGVO
  • Schutz vor Benachteiligung aufgrund der Wahrnehmung seiner Aufgaben (Art. 38 DSGVO

Gemäß Art. 37 DSGVO haben öffentliche und nicht öffentliche Stellen, die personenbezogene Daten in dem dort genannten Umfang verarbeiten, auf jeden Fall einen Datenschutzbeauftragten zu bestellen. Weder die DSGVO, noch das BDSG regeln, welches Rechtsverhältnis mit der Bestellung begründet werden soll. Art. 37 Abs. 5 DSGVO schreibt lediglich vor, dass zum Beauftragten nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Er muss kein Beschäftigter des beauftragenden Unternehmens sein. Nach Art. 37 Abs. 6 DSGVO ist auch die Bestellung eines externen Datenschutzbeauftragten zulässig.

Mitbestimmungsrechte des Betriebsrates sind zu beachten!
Die Bestellung eines nichtleitenden Angestellten zum Datenschutzbeauftragten ist eine zustimmungspflichtige Versetzung i.S.v. §§ 95 Abs. 3, 99 BetrVG. Der Betriebsrat kann daher der Einsetzung widersprechen, wenn die vom Arbeitgeber vorgeschlagene Person nicht über die notwendige Fachkunde und Zuverlässigkeit verfügt. 

Die Funktion des Datenschutzbeauftragten begründet nicht die Eigenschaft als leitender Angestellter.  Wird einem leitenden Angestellten die Funktion des Datenschutzbeauftragten zusätzlich übertragen, ist der BR hierüber gemäß §§ 105, 80 Abs. 1 Nr. 1 BetrVG zumindest zu informieren. 

Wie werde ich den Datenschutzbeauftragten denn wieder los?
Im Wege der Abberufung auf Verlangen der Aufsichtsbehörde oder aus wichtigem Grund §§ 38 Abs. 2, 6 Abs. 4 BDSG neu) 

Nach §§ 38 Abs. 2, 6 Abs. 4 BDSG kann die Bestellung zum Beauftragten für den Datenschutz in entsprechender Anwendung von § 626 BGB widerrufen werden. Erfolgte die Bestellung eines Arbeitnehmers unter gleichzeitiger einvernehmlicher Änderung der arbeitsvertraglichen Rechte und Pflichten, wird die Abberufung nur wirksam, wenn auch der Inhalt des Arbeitsverhältnisses entsprechend geändert wird. Denn die Bestellung eines Arbeitnehmers zum Datenschutzbeauftragten bedarf regelmäßig einer entsprechenden Erweiterung seiner arbeitsvertraglichen Aufgaben durch Vertragsänderung. 

Ausgestaltung des Vertrages
Art. 37 DSGVO, § 38 BDSG regelt nur die einseitige Bestellung zum Datenschutzbeauftragten. Davon ist die vertragliche Grundlage zu trennen, auf Grund derer der zu Beauftragende sich schuldrechtlich verpflichtet, die Aufgabe des Datenschutzbeauftragten zu übernehmen. Wird der Datenschutzbeauftragte als Arbeitnehmer beschäftigt, tritt diese Tätigkeit regelmäßig dem Inhalt des Arbeitsvertrages hinzu (vgl. BAG 22. März 1994 1 ABR 51/93BAGE 76, 184) . Nur ausnahmsweise wird neben dem Arbeitsvertrag ein Geschäftsbesorgungsvertrag nach §§ 611, 675 BGB geschlossen . Dazu bedarf es einer ausdrücklichen Abrede. Der regelmäßige Abschluss eines Geschäftsbesorgungsvertrages lässt sich nicht damit begründen, die Art. 38 DSGVO bestehende Weisungsfreiheit des Datenschutzbeauftragten erfordere eine andere Grundlage als den Arbeitsvertrag. Da ein Arbeitnehmer an die Weisungen seines Arbeitgebers gebunden sei, scheide der Arbeitsvertrag als Gestaltungsmittel aus (vgl. Liedtke NZA 2005, 390, 391) . Das überzeugt nicht. Wäre der Datenschutzbeauftragte bereits auf Grund seines Grundverhältnisses keinen Weisungen des beauftragenden Unternehmens unterworfen, hätte es der Regelung in § 4f Abs. 3 Satz 2 BDSG a.F. bzw. Art. 38 DSGVO nicht bedurft. Diese Vorschrift schließt ausdrücklich möglicherweise schon bestehende Weisungsrechte für die Tätigkeit des Datenschutzbeauftragten aus. Zudem wird der Datenschutzbeauftragte nicht gänzlich weisungsfrei tätig. Er entscheidet zwar eigenverantwortlich (Art. 38 DSGVO), der Arbeitgeber kann ihm jedoch Prüfaufträge erteilen. Außerdem ist der Arbeitgeber berechtigt, die Amtsausübung des Datenschutzbeauftragten zu überwachen (BAG 11. November 1997 – 1 ABR 21/97BAGE 87, 64). 

Stimmt der Arbeitnehmer seiner Bestellung zu, erweitern sich mit der Bestellung auch seine arbeitsvertraglichen Rechte und Pflichten. Die Bestellung beinhaltet dann gleichzeitig eine Änderung des Arbeitsvertrages, denn die Beauftragung mit den Aufgaben des Datenschutzbeauftragten ist regelmäßig nicht vom Direktionsrecht des Arbeitgebers umfasst (vgl. Rossnagel/Königshofen Handbuch Datenschutzrecht S. 879). Sie tritt arbeitsvertraglich hinzu. 

Ist die Tätigkeit des Datenschutzbeauftragten  Gegenstand arbeitsvertraglicher Vereinbarung, so kann der Widerruf der Bestellung nach §§ 38 Abs. 2, 6 Abs. 4 BDSG nur in Form der gleichzeitigen Kündigung dieser arbeitsvertraglichen Abrede wirksam erfolgen. Schuldrechtliches Grundverhältnis und Bestellung nach dem BDSG sind dann unlösbar miteinander verknüpft (vgl. Gola/Schomerus BDSG 6. Aufl. S. 485 mwN) .  

Der Widerruf führt nur zur Beendigung der Tätigkeit des Arbeitnehmers als Datenschutzbeauftragter, wenn gleichzeitig durch geeignete arbeitsrechtliche Gestaltungserklärungen der Inhalt des Arbeitsverhältnisses so geändert wird, dass der Arbeitnehmer auch nach seinem Arbeitsvertrag nicht mehr die Tätigkeit des Datenschutzbeauftragten schuldet. Der Widerruf der Bestellung muss deshalb durch eine entsprechende, auf das Arbeitsverhältnis gerichtete Willenserklärung ergänzt werden. Dabei hat der arbeitsvertragliche Wegfall der Tätigkeit als Datenschutzbeauftragter gegen den Willen des Arbeitnehmers durch Teilkündigung zu erfolgen. Eine solche Teilkündigung ist zulässig (BAG, Urteil vom 13.03.2007 – 9 AZR 612/95 – DB 2007, 1198). 

Besonderer Kündigungsschutz für interne Datenschutzbeauftragte
Dem zwingend eingesetzten Datenschutzbeauftragten wird auch nach Geltung der DSGVO und des BDSG neu ein Sonderkündigungsschutz vergleichbar zu dem anderer Funktionsträger (z. B. dem Immissionsschutzbeauftragten) eingeräumt, der eine ordentliche Kündigung auch innerhalb eines Jahres nach Beendigung der Bestellung ausschließt (§§ 38 Abs. 2, 6 Abs. 4 BDSG). 

Diesen Sonderkündigungsschutz genießen freiwillig bestellte Datenschutzbeauftragte nicht. 

Wenn Sie also flexibel bei Ihrem Datenschutzbeauftragten bleiben, und üblicherweise geringere Kosten als bei einem festangestellten Arbeitnehmer haben wollen, so bietet sich die Beauftragung eines externen Datenschutzbeauftragten an. Gerne stehe ich Ihnen in Ravensburg, Oberschwaben und dem Allgäu, sowie dem restlichen Bundesgebiet als externe Datenschutzbeauftragte zur Verfügung. Sprechen Sie mich an!

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de