Unterliegt der Datenschutzbeauftragte einem Kündigungsschutz und wie hoch sollte sein Gehalt sein?

Voraussetzungen/Qualifikationen des Datenschutzbeauftragten

Gem. Art. 37 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein (interner Datenschutzbeauftragte) oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (externer Datenschutzbeauftragte).

Datenschutzbeauftragter Kündigungsschutz 

Bestimmte Ämter (Betriebsrat, Schwerbehindertenvertretung) und Beauftragte (Immissionsschutzbeauftragte, Gewässerschutzbeauftragte) im Betrieb, die die Einhaltung der Gesetze überwachen, werden durch einen besonderen Kündigungsschutz vor einer ordentlichen Kündigung des Arbeitgebers geschützt. D.h. eine Kündigung ist nur noch aus wichtigem Grund möglich. Die DSGVO sichert den Datenschutzbeauftragten in seiner Stellung nicht so stark ab wie das BDSG a.F. Der Verantwortliche oder der Auftragsverarbeiter dürfen den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligen (vgl. Art. 38 Abs. 3 S. 2 DSGVO). Ein besonderer Kündigungsschutz ist in der DSGVO nicht vorgesehen.

Besonderer Kündigungsschutz

Interne Datenschutzbeauftragte genießen nach dem § 6 Abs. 4 BDSG n. F. (DSB von öffentlichen Stellen) bzw. § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG (DSB von nicht-öffentlichen Stellen) wie bereits durch § 4 f Abs. 3 BDSG a.F. weiterhin einen besonderen Kündigungsschutz. Besonderer Kündigungsschutz bedeutet, dass eine Kündigung des Arbeitsverhältnisses grds. unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle bzw. nicht-öffentliche Stelle zur Kündigung aus wichtigem Grund (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB) ohne Einhaltung einer Kündigungsfrist berechtigen. Ein besonderer Kündigungsschutz besteht jedoch nur, wenn auch die Pflicht zu Benennung eines Datenschutzbeauftragten bestand wie sich aus § 38 Abs. 2 BDSG n.F. ergibt.

Nachwirkung des besonderen Kündigungsschutzes

Dieser besondere Kündigungsschutz wirkt zugunsten des Datenschutzbeauftragten nach. D.h. nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiter unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

Anmerkung: Es ist zu beachten, dass der besondere Kündigungsschutz für interne Datenschutzbeauftragte bei nicht-öffentliche nur eingreift, soweit auch eine Pflicht Benennungspflicht greift. Das bedeutet, die DSGVO oder das BDSG muss die Benennung eines Datenschutzbeauftragten zwingend vorsehen, damit ein besonderer Kündigungsschutz zugunsten des Datenschutzbeauftragten besteht. Wurde hingegen der Datenschutzbeauftragte freiwillig eingesetzt soll dieser nach dem Wortlaut der § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 2 HS. BDSG keinen besonderen Kündigungsschutz genießen.

Die Abberufung des Datenschutzbeauftragten

Ein Datenschutzbeauftragter kann durch die Verantwortlichen oder den Auftrag, unter sehr hohen Anforderungen von seiner Beauftragung abberufen werden. Das Gesetz selbst definiert eine Abberufung nicht. Durch eine Abberufung wird dem Datenschutzbeauftragten seine Beauftragung als Datenschutzbeauftragter entzogen. Gem. § 6 BDSG Abs. 4 n.F. ist eine Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig, d.h. es muss ein wichtiger Grund vorliegen. Als wichtige Gründe kommen in Betracht: Dauerhafte Verletzung der Überwachungspflichten als Datenschutzbeauftragter, Interessenkonflikte, Fehlen der erforderlichen Fachkunde (über einen längeren Zeitraum keine Fortbildungen besucht und auch fehlen von sonstigen Fortbildungsnachweisen seit der Benennung).

Weiter kann gem. § 40 Abs. 6 S.2 BDSG n.F. die Aufsichtsbehörde eine Abberufung des Datenschutzbeauftragten verlangen, wenn der Datenschutzbeauftragte nicht die erforderliche Fachkunde besitzt oder ein gem. Art. 38 Abs. 6 DSGVO schwerwiegender Interessenkonflikt vorliegt.

Die Haftung des Datenschutzbeauftragten

Grundsätzlich haftet die Verantwortliche Stelle.

Die DSGVO stellt ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auf- tragsverarbeiters bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DSGVO und den übrigen Datenschutzvorschriften stehen (Art. 24 Abs. 1 DSGVO). Dennoch sind Konstellationen denkbar, bei denen eine Haftung/Durchgriffshaftung möglich ist, z.B. wenn ein Datenschutzbeauftragter den Verantwortlichen oder Auftragsverarbeiter falsch berät oder Beschäftigte in einer Schulung falsch informiert und in Folge dessen, es zu einem Schadensersatzanspruch kommt wegen einer Datenschutzpanne bzw. unberechtigten Verarbeitung von personenbezogenen Daten.

Daher ist es wichtig im Rahmen einer Risiko-Folgen-Abwägung sich über die Höhe des potentiellen Risikos bewusst zu werden und zumindest zu versuchen seinen internen Datenschutzbeauftragten und die verantwortliche Stelle entsprechend zu versichern.

Haftung des internen Datenschutzbeauftragten

Ein Schaden der verantwortlichen Stelle kann etwa dann entstehen, wenn gegen diese nach einer falschen Beratung durch den internen Datenschutzbeauftragten ein Bußgeld durch die Aufsichtsbehörde ausgesprochen wird. Ein Schadensersatzanspruch der verantwortlichen Stelle gegenüber dem internen Datenschutzbeauftragten folgt in Regel aus § 280 BGB. Wobei im Arbeitsverhältnis die arbeitsrechtliche Beweislastverteilung nach § 619a BGB zu berücksichtigen ist, welche abweichend vom Grundsatz in § 280 Abs.1 BGB regelt, dass der Arbeitnehmer dem Arbeitgeber nur Schadensersatz zu leisten hat, wenn der Arbeitnehmer diese Pflichtverletzung auch zu vertreten hat, d.h. anders als beim § 280 Abs. 1 BGB wird ein Vertretenmüssen nicht vermutet. Weiter sind im Arbeitsverhältnis auch die besonderen Grundsätze der arbeitsrechtlichen Arbeitnehmerhaftung (innerbetrieblicher Schadensausgleich) zu berücksichtigen. Die Grundsätze des innerbetrieblichen Schadensausgleich wurden von der Rechtsprechung entwickelt. Hiernach haftet ein Arbeitnehmer dem Arbeitgeber bei betrieblich veranlassten Tätigkeiten nur eingeschränkt. Für eine einfache Fahrlässigkeit haftet ein Arbeitnehmer nicht, für mittlere Fahrlässigkeit eingeschränkt und für grobe Fahrlässigkeit und Vorsatz haftet der Arbeitnehmer grds. voll, wobei im Einzelfall individuelle Haftungsgrenzen durch das Gericht ermittelt werden. Betrieblich veranlasste Tätigkeiten sind solche Tätigkeiten, die arbeitsvertraglich übertragen worden sind oder die der Arbeitnehmer im Interesse des Arbeitgebers für den Betrieb ausführt.

Das Gehalt eines Datenschutzbeauftragten 

An dieser Stelle kann keine verbindliche Angabe getätigt werden, da das Gehalt des Datenschutzbeauftragten von vielen Kriterien abhängt:

  • Fachliche Kenntnisse,
  • besondere Qualifikationen,
  • besondere branchenspezifische Kenntnisse,
  • Größe und Risikoumfang des Betriebes etc.

Letztlich bestimmt auch Angebot und Nachfrage den Marktpreis. Aktuell ist es wegen der großen Nachfrage schwierig bereits eingearbeitete und erfahrene Datenschutzbeauftragte zu gewinnen. Je nach Größe des Unternehmens kann eine finanzielle Abwägung getroffen werden, was mittel- bis langfristig sinnvoller ist als einen internen oder einen externen Datenschutzbeauftragten einzusetzen.