Schlagwort: Externer Datenschutzbeauftragter

Abberufung des Datenschutzbeauftragten europarechtskonform

16. Februar 2023

Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.

Sachverhalt

Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.

Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.

Entscheidung

Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.

Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.

Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.

Fazit

Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.

Kanzleimonitor 2020/2021: KINAST deutschlandweit auf Platz 3 im Datenschutzrecht

3. November 2020

KINAST Rechtsanwälte werden von Unternehmensjuristen ausgesprochen häufig empfohlen und stehen unter den Top-3-Datenschutzkanzleien in Deutschland.

Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2020/2021“. Der Kanzleimonitor stellt jährlich eine umfassende Anwalts- und Kanzleien-Liste als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien durch Unternehmensjuristen aller Branchen und Unternehmensgrößen zur Verfügung.

Nachdem wir im Bereich Datenschutzrecht (Themenfelder: Erfassung & Verwertung von Informationen, Telekommunikation, Datenverarbeitung, Cloud-Computing, Social Media) im vergangenen Jahr deutschlandweit den 5. Platz belegten, konnten wir uns dieses Jahr nochmals steigern und haben es auf das Podium auf den 3. Platz geschafft (hinter Osborne Clarke und Taylor Wessing). Damit kann sich unsere Kanzlei weiterhin neben zahlreichen Großkanzleien in der absoluten Spitzengruppe im Datenschutzrecht behaupten. Gleich sechs unserer Anwälte sind in der Liste persönlicher Empfehlungen namentlich genannt: Dr. Karsten Kinast, Benedikt Woltering, Tobias Mick, Beate Poloczek, Jan Rübsteck und Orcun Sanli. Des Weiteren erhielten wir auch im Bereich Compliance (Themenfelder: Legal Compliance, Ethical Compliance, Aufbau Compliance-Organisation) mehrere direkte Empfehlungen.

Mit den Empfehlungen im Datenschutzrecht und im Bereich Compliance steht KINAST insgesamt unter den 100 Spitzenkanzleien in Deutschland. Das positive Ergebnis in dieser Studie ist für uns besonders wichtig, weil es sich hier um eine Bewertung aus dem Mandantenkreise handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt. Wir bedanken uns für alle Empfehlungen.

Externer Datenschutzbeauftragter – Kurzratgeber zu Auswahl und Bestellung

3. April 2012

Verpflichtungen im Datenschutz stellen sich für nahezu jedes Unternehmen im Tagesgeschäft. Personenbezogene Daten von Mitarbeitern und Kunden werden heutzutage nicht mehr von Hand gespeichert oder verarbeitet, überall ist EDV im Einsatz. Folge ist, dass die Unternehmen sich den Vorschriften des Bundesdatenschutzgesetzes (BDSG) nicht mehr entziehen können.

Sind mehr als neun Mitarbeiter in der automatisierten Datenverarbeitung beschäftigt, darunter fallen zum Beispiel Kundendatenbanken oder E-Mailpostfächer, verschärft das BDSG die Anforderungen: Ein Datenschutzbeauftragter muss bestellt werden, um fortan im Unternehmen über die Einhaltung des Datenschutzes zu wachen. Gleiches gilt wenn Daten verarbeitet werden, die der Vorabkontrolle unterliegen oder die Daten geschäftsmäßig mit dem Zweck der Übermittlung oder Markt- und Meinungsforschung verarbeitet werden.

Datenschutzbeauftragter – intern oder extern?

Mit der Möglichkeit einen eigenen betrieblichen Datenschutzbeauftragten zu bestellen, ist der Gesetzgeber bei Schaffung des BDSG den Unternehmen ein Stück weit entgegen gekommen. Der betriebliche Datenschutzbeauftragte folgt dem Prinzip der Selbstkontrolle und ermöglicht Selbstständigkeit und Freiraum in der Organisation des Datenschutzes. Zur Debatte stand auch, den Landesdatenschutzbeauftragten, der heute nur für öffentliche Stellen zuständig ist, als direkte staatliche Überwachungsstelle für jedes Unternehmen einzusetzen.

Wer einen Datenschutzbeauftragten bestellen muss, steht vor der Frage, an wen er sich wenden sollte. Das BDSG bietet bei der Auswahl Freiheiten, Unternehmen können auf eigene Mitarbeiter oder externe Dienstleister für den Datenschutz setzen. Jemanden aus den eigenen Reihen abzustellen, fällt gerade kleinen und mittelständischen Unternehmen schwer. Wie auch bei größeren Unternehmen müssen die Kosten kalkulierbar sein und freie Kapazitäten bestehen. Eine spezielle Materie mit hohen technischen und rechtlichen Herausforderungen verlangt nach besonderen Kenntnissen für den Datenschutzbeauftragten – und die Arbeitskraft der Leistungsträger im Hause ist meist unverzichtbar. Bis eigene Mitarbeiter den Posten besetzen können, sind längerfristige Schulungen nötig. Auch im weiteren Verlauf muss der Arbeitgeber für das Training seines eigenen betrieblichen Datenschutzbeauftragten zeitlich und finanziell aufkommen.

Vorteile externer Datenschutzbeauftragter

Viele Unternehmen entscheiden sich daher für externe Datenschutzbeauftragte, die ihre Fachkenntnis bereits mitbringen und dem Unternehmen als Dienstleister bereit stehen. Ein externer Datenschutzbeauftragter verfügt meist über mehr Erfahrung, betriebswirtschaftlich können die Kosten für die Beauftragung anders kalkuliert werden. Ein anderer Punkt für die Unternehmen ist die Flexibilität: Datenschutzbeauftragte aus den Reihen der Mitarbeiter genießen besonderen Kündigungsschutz. Selbst die Abberufung zurück zum normalen Mitarbeiterstatus wird erst nach einem Jahr wirksam.

Von der Vielzahl der Anbieter für externen Datenschutz unterscheiden sich Rechtsanwälte, die als auf Datenschutzrecht spezialisierte Juristen ein Gesamtpaket datenschutzrechtlicher Betreuung anbieten können. Datenschutzrecht als Querschnittsmaterie ist anspruchsvoll, wenn es um eine umfassende Beratung gehen soll. Neben technischer Kenntnis ist viel juristisches Knowhow gefragt, abgesehen vom Datenschutzrecht sind das Arbeitsrecht, IT-Recht, Strafrecht, Verwaltungs- sowie Zivilrecht Gegenstand der täglichen Beratung eines Rechtsanwalts als externer Datenschutzbeauftragter.

Gebündelt findet sich solche Kompetenz in spezialisierten Rechtsanwaltskanzleien wie zum Beispiel Kinast & Partner Rechtsanwälte, Betreiber von datenschutzticker.de, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind. Spezialisierte Kanzleien können auch Ansprechpartner für interne Datenschutzbeauftragte sein, die für einzelne Schritte fachliche Unterstützung hinzuziehen oder Prozesse ausgliedern möchten. Zum weiteren Angebot der spezialisierten Kanzleien gehören meist auch Schulungen zum Datenschutz, entweder für betriebliche interne Datenschutzbeauftragte zwecks Weiterbildung oder als Compliance-Maßnahme für die gesamte Belegschaft.

BAG: Betrieblicher Datenschutzbeauftragter kann aus wichtigem Grund wieder abberufen werden

2. November 2011

Ein betrieblich bestellter Datenschutzbeauftragter kann nach § 4f Abs. 3 Satz 4 BDSG und dem dortigen Verweis auf § 626 BGB aus wichtigem Grund wieder abberufen werden. Als wichtiger Grund im Sinne dieser Normen zähle jedoch nicht allein die Absicht des Arbeitgebers, künftig einen externen Datenschutzbeauftragten zu bestellen, entschied das Bundesarbeitsgericht (Urt. v. 23.03.2011, Az. 10 AZR 562/09). Die wichtigen Gründe müssten sich vielmehr aus der Funktion und Tätigkeit des Datenschutzbeauftragten ergeben und als solche auch vorgebracht werden. Wird der betriebliche Datenschutzbeauftragte unzuverlässig oder reichen seine fachlichen Kenntnisse nicht (mehr) aus, dürfe der Arbeitgeber sehr wohl den Datenschutz in die Hände externer Datenschützer geben.

Betriebliche Datenschutzbeauftragte genießen einen besonderen Abberufungsschutz, der Verweis auf § 626 BGB soll ihre Unabhängigkeit stärken. Sie müssten ihr Amt weisungsfrei ausüben können, ohne dass die Erfüllung ihrer Aufgaben beeinträchtigt werde. Eine Furcht vor der Abberufung sei dabei hinderlich, nur objektive und schwerwiegende Gründe könnten sie rechtfertigen.

Der Arbeitgeber hatte aber keine besonderen Gründe vorgebracht, sondern die Abberufung allein mit dem Plan der künftigen Bestellung eines externen Datenschutzbeauftragten begründet. Das sei jedoch, so die Richter, kein so wichtiger Grund, der es dem Arbeitgeber „unter besonderer Berücksichtigung des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile unzumutbar mache, die betriebliche Datenschutzbeauftrage auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen“.

Daran ändern könne auch nichts der Umstand, dass der Arbeitgeber sich für einen internen oder externen Datenschutzbeauftragten bei der erstmaligen Bestellung habe entscheiden können. Einmal getroffene Entscheidungen binden ihn trotz der vorherigen Wahlfreiheit, damit der Abberufungsschutz seine Wirkung entfalten könne. (ssc)