Slider

Gute Nachrichten für kleinere und mittlere Unternehmen aus dem Datenschutz! Die Schwelle für die zwingende Bestellung eines Datenschutzbeauftragten im Unternehmen wird von bisher 10 auf künftig 20 datenverarbeitende Mitarbeiter heraufgesetzt werden. Das entlastet kleinere Unternehmen, wirft aber auch Fragen auf.

Ausgangssituation

Bisher müssen Unternehmen einen betrieblichen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 10 Mitarbeiter ständig personenbezogene Daten verarbeiten. Der betriebliche Datenschutzbeauftragte hat die Aufgabe, den durch DSGVO und BDSG bezweckten Schutz personenbezogener Daten im betrieblichen Ablauf sicher zu stellen und zu überwachen. Das kann ein externer oder betriebsinterner (Arbeitnehmer) Beauftragter sein.

Um dem internen Datenschutzbeauftragten eine möglichst unabhängige Aufgabenerfüllung zu ermöglichen und ihn vor einer Kündigung durch den Arbeitgeber zu schützen, genießt er besonderen Kündigungsschutz: Eine Kündigung des Datenschutzbeauftragten ist nur mit wichtigem Grund zulässig. Also nur dann, wenn auch eine fristlose Kündigung möglich wäre. Dieser Kündigungsschutz besteht, so lange der Beauftragte bestellt ist und entfaltet seine Wirkung noch ein Jahr nach der Beendigung der Tätigkeit als Datenschutzbeauftragter. Ein einmal benannter Beauftragter bleibt so lange in seinem Amt, bis eine vereinbarte Befristung endet, er dieses niederlegt, oder er abberufen wird, was wiederum nur aus einem wichtigen Grund möglich ist. In den Genuss des Kündigungsschutzes gelangt allerdings nur der obligatorisch benannte betriebliche Datenschutzbeauftragte. Datenschutzbeauftragte, die das Unternehmen ohne bestehende gesetzliche Verpflichtung benannt, erwerben keinen Kündigungsschutz.

Schwellenwert: 20 statt bisher 10 Mitarbeiter

So weit, so bekannt. Nun wird in Kürze das sogenannte 2. Datenschutz-Anpassungs- und Umsetzungsgesetz in Kraft treten. Damit wird der Schwellenwert zur obligatorischen Benennung eines betrieblichen Datenschutzbeauftragten angehoben von 10 Mitarbeitern, die personenbezogene Daten verarbeiten auf künftig 20 Mitarbeiter.

Das ist aus der Sicht kleinerer und mittlerer Unternehmen eine begrüßenswerte Entwicklung – entfällt ja somit für Unternehmen mit weniger als 20 relevanten Arbeitnehmern Verwaltungs- und auch finanzieller Aufwand.

Interessant ist diese Änderung vor allem für solche Arbeitgeber, die zwischen 10 und 19 Mitarbeiter beschäftigen, die personenbezogene Daten verarbeiten. Diese Unternehmen müssten aktuell bereits einen betrieblichen Datenschutzbeauftragten benannt haben. Unabhängig davon, dass ein betrieblicher Datenschutzbeauftragter auch auf freiwilliger Basis durchaus sinnvoll sein kann, stellt sich für diese Unternehmen die Frage, ob mit dem Wegfall der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten auch dessen gesetzlicher Sonderkündigungsschutz entfällt. Diese Frage wird vom Änderungsgesetz nicht beantwortet und war naturgemäß auch noch nicht Gegenstand von Gerichtsentscheidungen.

Auswirkungen auf die Benennung und den Kündigungsschutz

Eines dürfte klar sein: Der bestellte Datenschutzbeauftragte bleibt trotz der Gesetzesänderung erst einmal im Amt, auch wenn der neue Schwellenwert nicht erreicht wird. Das Amt fällt durch die Gesetzesänderung nicht einfach weg.

Auch wird sich die Benennung wohl nicht von einer obligatorischen zu einer freiwilligen wandeln. Hiervon ist in Übereinstimmung mit einer Entscheidung des Hessischen Landesarbeitsgerichts von Februar diesen Jahres auszugehen. Der Entscheidung lag ein Sachverhalt zu Grunde, bei dem nach der ursprünglich gesetzlich vorgeschriebenen Bestellung eines Datenschutzbeauftragten die dafür relevante Beschäftigtenzahl unter 10 gesunken war (LAG Hessen v. 13.02.2019 – 6 Sa 567/18). Das Gericht formulierte ausdrücklich, dass der ursprünglich zwingend zu benennende Beauftragte nicht zu einem freiwillig benannten wurde (der keinen Kündigungsschutz hat). Das Gericht war der Auffassung, dass der Datenschutzbeauftragte, so lange seine Benennung nicht widerrufen war, auch den gesetzlich vorgesehenen Sonderkündigungsschutz genieße.

Die Annahme liegt nahe, dass dies auch für den Fall gilt, dass die Verpflichtung zur Benennung des Datenschutzbeauftragten durch eine nachträgliche Anhebung des Schwellenwertes entfällt. Dem internen Datenschutzbeauftragten ist in beiden Fällen ein gewisses Bestandsschutzinteresse oder zumindest ein Vertrauensschutz zuzugestehen: Ohne das Wissen um den Sonderkündigungsschutz hätte er das Amt eventuell gar nicht erst übernommen. Das unterscheidet ursprünglich gesetzlich verpflichtend benannte von den freiwillig benannten Datenschutzbeauftragten, welche bereits im Vorfeld wissen, dass sie nicht besonders geschützt sind.

Dennoch ist es naheliegend, dass die Benennung eines Datenschutzbeauftragten, der aufgrund der Gesetzesänderung nicht mehr obligatorisch ist, leichter zu beenden sein muss. Es spricht vieles dafür, dass die Abberufung des bereits amtierenden Beauftragten auch ohne Vorliegen eines wichtigen Grundes möglich sein muss, wenn der neue Schwellenwert nicht erreicht wird. Anderenfalls würde das Ziel des Gesetzgebers – die Entlastung kleinerer Unternehmen – zumindest bei bereits benannten internen Datenschutzbeauftragten ins Leere laufen bzw. zu einer ungerechtfertigten Ungleichbehandlung führen.

In jedem Fall wird auch der dermaßen abberufene interne Datenschutzbeauftragte durch den nachlaufenden einjährigen Sonderkündigungsschutz vor einer Kündigung geschützt sein.  

Empfehlung

Die Anhebung des Schwellenwerts ermöglicht es Unternehmen mit weniger als 20 datenverarbeitenden Mitarbeitern unter Umständen, einen benannten, aber nunmehr nicht mehr obligatorischen internen betrieblichen Datenschutzbeauftragten abzuberufen. Solange allerdings keine belastbaren Auskünfte oder Entscheidungen hierzu vorliegen ist zu überlegen, ob man an dieser Stelle einen potentiellen Streitherd eröffnet.

Ohnehin genießt der betreffende Arbeitnehmer auch in diesem Fall den gesetzlich vorgesehenen Sonderkündigungsschutz inklusive der einjährigen Nachwirkung, d.h. er kann bis zum Ablauf eines Jahres nach seiner Abberufung nur aus wichtigem Grund gekündigt werden.

In jedem Fall wird es möglich sein, den Vertrag mit einem externen Datenschutzbeauftragten zu beenden. Ob dies sinnvoll ist (schließlich müssen die datenschutzrechtlichen Bestimmungen natürlich weiterhin beachtet werden), muss sorgfältig geprüft werden.

Wir empfehlen, zu prüfen, ob die Beibehaltung bzw. Benennung eines Datenschutzbeauftragten (bei neuen und Unternehmen mit wachsendem Personalbestand) nach Inkrafttreten der Gesetzesänderung auf freiwilliger Basis sinnvoll ist. Auch könnte erwogen werden, einen derzeit bestellten obligatorischen Datenschutzbeauftragten abzuberufen und in der Folge einen freiwilligen Datenschutzbeauftragten zu bestellen.