Fast jedes Unternehmen muss sich heute der Verpflichtung stellen, einen Datenschutzbeauftragten (DSB) zu benennen. Insoweit stellt sich die Frage, wer soll diese Aufgabe übernehmen – ein interner Mitarbeiter oder ein externer Dienstleister? Insoweit gilt es neben der Überprüfung der Qualifikationen der Person auch arbeitsrechtliche Fallstricke zu berücksichtigen. Eine Pflicht zur Benennung eines DSB kann sich sowohl aus der EU-Datenschutz-Grundverordnung (DSGVO) als auch aus nationalem Recht ergeben. Ob Ihr Unternehmen diese Pflicht trifft, können Sie anhand der in unserem Beitrag „Datenschutzbeauftragter“ dargestellten Checkliste überprüfen. Um die Kosten und den mit der Ernennung verbundenen Aufwand gering zu halten, fällt die Wahl häufig auf einen internen Datenschutzbeauftragten, also auf einen Mitarbeiter des Unternehmens, der diese Aufgabe als eine zusätzliche Aufgabe und Funktion mitübernimmt. Hierfür kann es gute Gründe geben und dies kann eine sinnvolle Lösung sein. Oft sind sich die Parteien bei der Benennung aber nicht über die Konsequenzen im Klaren. Denn das Schnittfeld zwischen Datenschutz und Arbeitsrecht ist nicht ohne Tücken: Der Datenschutzbeauftragte muss für die Wahrnehmung seiner Aufgaben fachlich geeignet und zuverlässig sein. Die fachliche Eignung soll hier als selbstverständlich unterstellt werden. Datenschutzbeauftragter kann nur werden, wer durch Schulungen und Fortbildungen die entsprechenden Qualifikationen erworben hat und laufend aktualisiert. Das Problem der Zuverlässigkeit Komplexer ist das Merkmal der Zuverlässigkeit, auch wenn es zunächst nach einer Selbstverständlichkeit aussieht. An der Zuverlässigkeit fehlt es nämlich dann, wenn der Datenschutzbeauftragte wegen einer Unvereinbarkeit seiner „normalen“ beruflichen Aufgaben mit den Aufgaben als Datenschutzbeauftragter in einen Interessenkonflikt gerät. Für die Funktion des Datenschutzbeauftragten ungeeignet sind demnach insbesondere Personen, die auf Grund ihrer Position oder Funktion berechtigt sind, die Grundsätze festzusetzen, nach denen sich das Unternehmen bei seiner Tätigkeit richtet. In der Praxis werden häufig – bewusst oder unbewusst – interne DSB ausgewählt, welche innerhalb der Unternehmenshierarchie eine gehobene Position einnehmen. Je höher die entsprechende Position angesiedelt ist, desto eher sind Interessenkollisionen gegeben. Der Arbeitnehmer handelt zwangsläufig in erster Linie nach den Unternehmensinteressen und nicht nach den Belangen des Datenschutzes. Man könnte daraus folgern, dass dieser Interessenkonflikt praktisch bei jedem Arbeitnehmer eines Unternehmens besteht, was in Ansätzen sogar richtig sein dürfte. In Literatur und Rechtsprechung wird diese Auffassung aber als zu streng angesehen, da es dann gar keinen internen DSB geben könnte. Zu weitgehend ist es daher, wenn alle Mitarbeiter der EDV-, Personal-, Rechts- sowie der Vertriebsabteilung unterhalb der Führungsebene als unzuverlässig angesehen würden. Entscheidend ist vielmehr, ob solche Mitarbeiter in ihrem Einsatzbereich damit betraut sind, für eine Verarbeitung personenbezogener Daten zu sorgen. Denn nur in diesem Fall müssten sie sich selbst kontrollieren. Der Arbeitnehmer, der als DSB in Betracht gezogen wird, darf nicht in einer Position beschäftigt sein, in der er sich bei der Wahrnehmung der Aufgaben des DSB regelmäßig selbst kontrollieren müsste. Beim Leiter der EDV, dem Personalleiter, dem Vertriebs- und Betriebsleiter sowie dem Leiter der Rechtsabteilung werden solche Konflikte regelmäßig vorliegen. Anders ist dies z.B. für den Leiter der Revisionsabteilung zu beurteilen: dessen grundlegende Aufgabe ist ohnehin die Überwachung der Einhaltung geltender Gesetze, einschließlich des Datenschutzrechts, weshalb wegen der gleichgerichteten Aufgaben insofern kein Konflikt entsteht. Stellt sich heraus, dass ein bereits benannter Datenschutzbeauftragter als unzuverlässig anzusehen ist (z.B. wegen eines Interessenkonflikts wie oben dargelegt), so kann dies gravierende Rechtsfolgen haben. Die Benennung des DSB ist in diesem Fall nichtig; er gilt als nicht benannt. Dies kann Konsequenzen bis hin zu Bußgeldern für das Unternehmen haben, da das Unternehmen dann seiner Pflicht zur (wirksamen) Benennung eines DSB nicht nachgekommen wäre. Beendigung der Funktion Ist er einmal ernannt, so kann der interne Datenschutzbeauftragte nur aus wichtigem Grund wieder aus seiner Funktion abberufen werden. Bei der Auslegung des Rechtsbegriffs „wichtiger Grund“ wird auf die entsprechenden Maßstäbe im Arbeitsrecht Bezug genommen. Es muss somit ein schweres Fehlverhalten des DSB vorliegen. Eine organisatorische oder betriebliche Änderung, z.B. der Wunsch, die Funktion konzernweit zu vereinheitlichen, reicht nicht aus. Der DSB genießt dabei nicht nur Schutz vor der Abberufung aus seiner Funktion, sondern auch einen Sonderkündigungsschutz in Bezug auf sein Arbeitsverhältnis. Dieser Sonderkündigungsschutz wirkt auch noch ein Jahr nach dem Ende seiner Funktion als DSB nach, soweit die Benennung des DSB verpflichtend ist. Ein auf unbestimmte Zeit benannter interner Datenschutzbeauftragter wäre somit nach seiner Benennung bis zum Erreichen des Rentenalters nicht mehr aus dieser Funktion abzuberufen und sein Arbeitsverhältnis wäre nicht kündbar, es sei denn er beginge grobe Verstöße gegen seine Pflichten, so dass ein wichtiger Grund sowohl für eine Abberufung, als auch für die fristlose Beendigung des Arbeitsverhältnisses vorläge. Um diese missliche Konsequenz zu vermeiden, sollte ein interner Datenschutzbeauftragter immer nur für eine klar definierte Frist berufen werden und nicht auf unbestimmte Zeit. Eine Benennung für einen von vornherein bestimmten Zeitraum ist in jedem Fall zulässig, wobei der Zeitraum nicht zu kurz bemessen werden sollte. Nach Ablauf der Frist, für die der DSB benannt worden ist, würde noch für ein Jahr lang der Sonderkündigungsschutz für das Arbeitsverhältnis nachwirken. Nach Ablauf dieses Jahres gelten für die arbeitsrechtliche Beziehung wieder die allgemeinen Regelungen und Grundsätze. Vor diesem Hintergrund Bedarf die Auswahlentscheidung bezüglich des Datenschutzbeauftragten einer gewissen Sorgfalt. „Mal eben schnell“ einen Freiwilligen zu finden und diesen zu benennen, kann sich negativ auswirken: die Benennung könnte sich als nichtig erweisen (wegen Interessenkonflikts) oder aber sie könnte nicht mehr rückgängig gemacht werden (wegen fehlender Befristung). Mit Blick auf die skizzierten Konsequenzen, die sich im Zusammenspiel zwischen Arbeitsrecht und Datenschutzrecht ergeben, kann die Benennung eines externen DSB trotz eines etwaigen finanziellen Mehraufwands die sinnvollere Alternative sein. Ein externer DSB kann dem Grunde nach jederzeit abberufen werden, Schutzvorschriften des Arbeitsrechts spielen hier keine Rolle. Aber auch hier sollte mit Vorsicht agiert werden. Es sollte keine leichtfertige und zu häufige Auswechslung des Datenschutzbeauftragten erfolgen. Denn auch im Hinblick auf den externen DSB gilt, dass eine gewisse Kontinuität zu gewährleistet ist. Eine solche sehen die Aufsichtsbehörden grundsätzlich bei einem Benennungszeitraum von mindestens einem, wohl jedenfalls zwei Jahren als gegeben an. Es empfiehlt sich, dies im Hinterkopf zu behalten, sollte man einen externen DSB aufgrund der Kosten oder anderweitiger nicht in der Qualität der Leistungen des DSB liegender Gründe, abberufen wollen. Autoren: Georg Jaster, Yvonne Quad & Sebastian Keilholz Ziehen Sie in Betracht, einen externen DSB zu benennen? Oder haben Sie Fragen zur Benennung oder Abberufung eines internen oder externen DSB? Wir stehen Ihnen gerne zur Verfügung.