Die DSGVO schreibt in Artikel 37 vor, dass Unternehmen, die eine umfangreiche Überwachung oder eine umfangreiche Verarbeitung personenbezogener Daten durchführen, einen Datenschutzbeauftragten brauchen. Der deutsche Bundesrat hat in § 38 BDSG diese Vorschrift verschärft und von allen Unternehmen mit mindestens 10 Mitarbeitern, welche mit personenbezogenen Daten arbeiten, einen Datenschutzbeauftragten gefordert.
Nachdem der Bundesrat am 20.09.2019 seine Zustimmung zum 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG -EU) gab, wurde die finale Fassung des Gesetzes im Bundesgesetzblatt veröffentlicht. Die hierin vorgenommenen Änderungen im Bundesdatenschutzgesetz und zahlreichen weiteren Gesetzen traten somit am 26.11.2019 in Kraft. Enthalten sind nicht nur Anpassungen etwa im Arbeitnehmerdatenschutz, sondern auch eine grundlegende Anpassung der Pflicht zur Benennung eines Datenschutzbeauftragten.
Datenschutzbeauftragte in Deutschland
Der deutsche Gesetzgeber hat von der Öffnungsklausel des Art. 37 Abs. 4 S. 1 DSGVO Gebrauch gemacht. § 38 BDSG regelte bislang für deutsche Verantwortliche die Pflicht, einen Datenschutzbeauftragten zu benennen, soweit „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Durch die aktuelle Änderung wurde diese Grenze auf 20 Personen erhöht. Somit entfällt für viele kleinere Unternehmen die Verpflichtung, einen Datenschutzbeauftragten zu benennen.
Für kleine Unternehmen bedeutet das eine Kostenersparnis.
Doch wie kann man bereits benannte Datenschutzbeauftragte wieder abberufen?
Jeder Datenschutzbeauftragte soll gem. Art. 38 DSGVO unabhängig und frei seine Aufgaben ausführen können. Dies betrifft insbesonders interne Datenschutzbeauftragte. Externe Datenschutzbeauftragte sind im wesentlichen an den abgeschlossenen Dienstleistungsvertrag gebunden, der beispielsweise nach Ablauf der vereinbarten Vertragslaufzeit endet. Eine außerplanmäßige Kündigung ist daher in der Regel nur bei Vorliegen eines wichtigen Grundes möglich.
Die Erhöhung der gesetzlichen Obergrenze für die Pflicht zur Bestellung eines Datenschutzbeauftragten stellt einen solchen wichtigen Grund dar.
Schwieriger ist es, interne betriebliche Datenschutzbeauftragte in Deutschland abzuberufen.
Der interne betriebliche Datenschutzbeauftragte genießt grundsätzlich einen Schutz vor Abberufung. Einmal benannt, kann er nur bei Vorliegen eines wichtigen Grundes wieder abberufen werde. Dies folgt aus § 6 Abs. 4 S. 1 i.V.m. § 38 Abs. 2 BDSG sowie einer entsprechenden Anwendung des § 626 BGB. Als wichtiger Grund kann insbesondere in einer Vernachlässigung der Pflichten als Datenschutzbeauftragter, in schwerwiegenden Versäumnissen bei der Beratung oder eklatanten Mängeln der Fachkunde, gesehen werden.
Ein Zerwürfnis mit dem Arbeitgeber ist kein Grund den Datenschutzbeauftragten abzuberufen. Die DSGVO verbietet es, den Datenschutzbeauftragten aufgrund seiner ordnungsgemäßen Wahrnehmung seiner Aufgaben abzuberufen. Der Datenschutzbeauftragte darf nicht abberufen werden wenn er seine Aufgaben erfüllt und damit „lästig“ wird.
Sonderkündigungsschutz
Der interne betriebliche Datenschutzbeauftragte genießt zusätzlich ein Sonderkündigungsrecht aus § 6 Abs. 4 S. 2 i.V.m. § 38 Abs. 2 BDSG. Danach können Beschäftigte, die zu betrieblichen internen Datenschutzbeauftragten bestellt wurden, nur bei Vorliegen der Voraussetzungen für eine außerordentliche (fristlose) Kündigung entlassen werden. Dieser Kündigungsschutz besteht darüber hinaus für ein Jahr nach dem Ende der Tätigkeit als interner Datenschutzbeauftragter fort. Dies soll sicherstellen, dass unliebsame betriebliche Datenschutzbeauftragte nicht einfach entfernt werden können und Mitarbeiter auch nicht mit unmittelbaren Repressalien nach Ende der Tätigkeit rechnen müssen.