AOK Logo
AOK
Wählen Sie Ihre AOK
Baden-Württemberg Bayern Bremen-Bremerhaven Hssen Niedersachsen Mecklenburg-Vorpommern Berlin Brandenburg Schleswig-Holstein Westfalen-Lippe Thüringen Sachsen Rheinland-Pfalz Saarland HamburgRheinland Sachsen-Anhalt
Willkommen bei Ihrer AOK für Unternehmen
Schrift anpassen: A-AA+

Pfadnavigation

Hauptinhalt

Datenschutz - Datenschutzbeauftragter

 Information 

1. Allgemeines

Der Arbeitgeber hat in den von der EU-DSGVO, dem BDSG und anderen Vorschriften festgelegten Fällen einen Datenschutzbeauftragten zu benennen. Die Funktion Datenschutzbeauftragter kann sowohl intern - durch einen fachlich geeigneten Mitarbeiter des Betriebs/Unternehmens - als auch extern - durch einen qualifizierten Dienstleister - ausgeübt werden. Das BDSG lässt Arbeitgebern als nichtöffentliche Stelle die freie Wahl. Beide Beauftragte - sowohl der interne wie der externe - müssen allerdings sicherstellen, dass sie ihre Aufgaben nach den EU-DSGVO- und BDSG-Vorgaben erfüllen (s. dazu Gliederungspunkte 2. und 3.).

Praxistipp:

Zur Stellung des Datenschutzbeauftragten sagt Art. 38 Abs. 3 Satz 1 und Satz 2 EU-DSGVO (s. auch § 6 Abs. 3 BDSG): "Der Verantwortliche und der Auftragsbearbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von den Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden."

Der Datenschutzbeauftragte übt eine wichtige Funktion aus (s. dazu Gliederungspunkt 4.). Diese Funktion kann sich unter Umständen sogar gegen den Arbeitgeber richten. Aufgabe des Datenschutzbeauftragten ist es nämlich auch, dafür zu sorgen, dass die datenschutzrechtlichen Standards eingehalten werden - ob der Arbeitgeber das will oder nicht. Das BDSG lässt die Abberufung eines Datenschutzbeauftragten daher nur zu, wenn für seine Abberufung ein wichtiger Grund i.S.d. § 626 BGB vorliegt (§ 6 Abs. 4 Satz 1 BDSG, s. dazu auch Gliederungspunkt 4.2.). Und auch die Kündigung des Datenschutzbeauftragten ist nicht so ohne Weiteres möglich. § 6 Abs. 4 Satz 2 BDSG verlangt für sie ebenfalls einen wichtigen Grund (s. dazu Gliederungspunkt 4.3.).

2. Die Vorgaben der EU-DSGVO

Die Art. 37 ff. EU-DSGVO legen den Grundstein für die Benennung eines Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter. Seine Benennung ist nach Art. 37 Abs. 1 EU-DSGVO u.a. erforderlich, wenn

  • die Datenverarbeitung von einer Behörde oder öffentlichen Stelle (Ausnahme: Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln) durchgeführt wird (Art. 37 Abs. 1 lit. a) EU-DSGVO),

  • die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der "Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige oder systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Abs. 1 lit b) EU-DSGVO).

Die Benennung des Datenschutzbeauftragten erfolgt "auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens ..., das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben" (Art. 37 Abs. 5 EU-DSGVO). Er kann Beschäftigter von Verantwortlichem/Auftragsverarbeiter sein oder seine Aufgaben als Externer auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 EU-DSGVO).

Praxistipp:

Der Arbeitgeber muss nicht immer eigene Leute zum Datenschutzbeauftragten benennen, qualifizieren und fortbilden. Er kann externe Dienstleister als Datenschutzbeauftragte einsetzen - die selbstverständlich alle einschlägigen Pflichten nach EU-DSGVO und BDSG bedienen und erfüllen müssen.

Hinweis:

Wichtig nach Nr. (97) der Erwägungsgründe (EWG) zur EU-DSGVO: "Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können."

Die Stellung des Datenschutzbeauftragten wird in Art. 38 EU-DSGVO beschrieben. Zu seinen Aufgaben gehören nach Art. 39 EU-DSGVO u.a.:

  • Unterrichtung/Beratung von Verantwortlichem/Auftragsverarbeiter und Beschäftigten, die Datenverarbeitung durchführen, über ihre Pflichten nach der EU-DSGVO und sonstigen Datenschutzbestimmungen (Art. 39 Abs. 1 lit. a) EU-DSGVO),

  • Überwachung der Einhaltung der EU-DSGVO-Bestimmungen und anderer EU-Datenschutzregelungen sowie der nationalen Bestimmungen des jeweiligen Mitgliedsstaats (Art. 39 Abs. 1 lit. b) EU-DSGVO),

  • Zuammenarbeit mit den Aufsichtsbehörden (Art. 39 Abs. 1 lit. d) EU-DSGVO).

Der Datenschutzbeauftragte trägt bei Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung. Dabei hat er Art, Umfang, Umstände und Zweck der Datenverarbeitung zu berücksichtigen (Art. 39 Abs. 2 EU-DSGVO).

3. Die Regelungen des BDSG

Die §§ 5 ff. BDSG geben die maßgeblichen Bestimmungen für

  • den Datenschutzbeauftragten öffentlicher Stellen (§§ 5 bis 7 BDSG) und

  • den Bundesbeauftragten für Datenschutz und Informationsfreiheit (§§ 8 bis 16 BDSG)

vor. § 38 Abs. 1 Satz 1 BDSG ergänzt für nichtöffentliche Stellen wie den Arbeitgeber:

"Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

Praxistipp:

§ 38 Abs. 1 Satz 1 BDSG stellt eine Erleichterung für mittelständische Arbeitgeber dar, bei denen nur wenige Mitarbeiter mit der Datenverarbeitung beschäftigt sind. Bevor man sich daher als Arbeitgeber/Personaler Gedanken über die Benennung eines Datenschutzbeauftragten macht, sollte man prüfen, wie viel Beschäftigte im Betrieb/Unternehmen überhaupt ständig und automatisiert personenbezogene Daten verarbeiten.

Unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen haben nichtöffentliche Stellen einen Datenschutzbeauftragten zu benennen, wenn "der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen" vornehmen, "die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen" oder wenn sie "personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung" verarbeiten (§ 38 Abs. 1 Satz 2 BDSG).

Mit der Regelung in § 38 Abs. 2 BDSG

"§ 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist."

wird der Datenschutzbeauftragte nichtöffentlicher Stellen kündigungsrechtlich dem Beauftragten öffentlicher Stellen gleichgestellt (s. dazu Gliederungspunkt 4. und das Stichwort Kündigungsschutz - gesetzlicher).

Der Datenschutzbeauftragte nichtöffentlicher Stellen hat die Aufgaben zur erfüllen, die EU-DSGVO und BDSG an Datenschutzbeauftragte stellen (s.o. Gliederungspunkt 2.) Das heißt insbesondere:

  • Unterrichtung/Beratung von Verantwortlichen/Beschäftigten in puncto ihrer datenschutzrechtlichen Rechte und Pflichten

  • Überwachung der Einhaltung aller Datenschutzvorschriften - z.B. durch regelmäßige Kontrollen

  • Überwachung der Strategien für den Schutz personenbezogener Daten

  • Schaffung von Transparenz in der betrieblichen Datenverarbeitung

  • Zuweisung von Zuständigkeiten

  • Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten

  • Erteilung von Auskünften

  • Benachrichtigung Betroffener über die Verarbeitung ihrer personenbezogenen Daten

  • Beratung in puncto Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung

  • Zusammenarbeit mit der Aufsichtsbehörde

  • "und gegebenenfalls Beratung zu allen sonstigen Fragen"

    Praxistipp:

    Schon die wenigen aufgezählten Punkte lassen erkennen, dass die Benennung eines Datenschutzbeauftragten nicht einfach so ins Blaue hinein erfolgen sollte. Der Beauftragte hat eine verantwortungsvolle Position und braucht einschlägige Kenntnisse auf dem Gebiet des Datenschutzes. Kenntnisse, die ihm möglicherweise erst durch eine vom Arbeitgeber finanzierte Fortbildung vermittelt werden.

Das Maß der erforderlichen Fachkunde lässt sich nicht generell bestimmen. Entscheidend ist der konkrete betriebliche Bedarf. Dieser Bedarf wird durch den Umfang der zu verarbeitenden Daten und das Schutzbedürfnis der personenbezogenen Daten festgelegt. Der Datenschutzbeauftragte darf in Ausübung seiner Rechte und Pflichten nicht wegen gleichzeitig wahrzunehmender anderer Aufgaben in Interessenkonflikte kommen. Das könnte z.B. bei Betriebsratsmitgliedern und Leitern der IT-Abteilung der Fall sein.

4. Der besondere Schutz Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte ist ein Funktionsträger. Er übt die Funktion "Datenschutzbeauftragter" unabhängig aus. Das kann unter Umständen dazu führen, dass der Schutz von Daten den wirtschaftlichen Interessen von Betrieb/Unternehmen zuwiderläuft. So darf der Datenschutzbeauftragte vom Arbeitgeber auch gegen dessen Willen Maßnahmen verlangen, die teuer bezahlt werden müssen. Ein Umstand mit, der es rechtfertigt, betrieblichen Datenschutzbeauftragten einen besonderen gesetzlichen Schutz zukommen zu lassen (s. dazu auch das Stichwort Kündigungsschutz - gesetzlicher).

4.1 Vertragliche und gesetzliche Grundlage

Das BDSG sagt nicht, welches Rechtsverhältnis mit der Benennung zum Datenschutzbeauftragten begründet wird beziehungsweise begründet werden soll. Denkbar sind grundsätzlich drei Modelle:

  • Arbeitsvertrag: Wird der Datenschutzbeauftragte bereits als Arbeitnehmer des Verantwortlichen beschäftigt, wird diese Tätigkeit Inhalt seines Arbeitsvertrags (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 22.03.1994 - 1 ABR 51/93).

  • Geschäftsbesorgungsvertrag: Wird einem Arbeitnehmer die Aufgabe "Datenschutzbeauftragter" gem. §§ 611, 675 BGB neben dem Arbeitsvertrag übertragen, muss das ausdrücklich vereinbart werden. Der Abschluss eines Geschäftsbesorgungsvertrags neben einem laufenden Arbeitsvertrag ist in der Praxis eher die Ausnahme (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 22.03.1994 - 1 ABR 51/93).

  • Dienstvertrag: Wird ein Externer als Datenschutzbeauftragter eingesetzt, ist dafür der BGB-Dienstvertrag die richtige Lösung.

Gem. § 38 Abs. 2 Halbs. 1 BDSG finden

  • § 6 Abs. 4 BDSG (= besonderer Schutz vor Abberufung und Kündigung, s. dazu Gliederungspunkte 4.2. und 4.3.),

  • § 6 Abs. 5 Satz 2 BDSG (= Verschwiegenheitspflicht) und

  • § 6 Abs. 6 BDSG (= Zeugnisverweigerungsrecht)

auch für den Datenschutzbeauftragten nichtöffentlicher Stellen Anwendung.

Die Zustimmung des Arbeitnehmers zu seiner Benennung als Datenschutzbeauftragter erweitert seine arbeitsrechtlichen Rechte und Pflichten (BAG, 13.03.2007 - 9 AZR 612/05). Die Benennung führt zu einer Änderung des Arbeitsvertrags, die der Arbeitgeber nicht via Direktionsrecht umsetzen kann (BAG, 13.03.2007 - 9 AZR 612/05).

Der Betriebsrat hat bei der Frage, ob der Arbeitgeber einen internen oder externen, ja überhaupt einen Datenschutzbeauftragten bestellt, kein Beteiligungs- oder Mitbestimmungsrecht. Die Mitbestimmung nach § 99 BetrVG greift lediglich dann, wenn die Benennung gleichzeitig als Einstellung oder Versetzung i.S.d. § 99 BetrVG anzusehen ist.

4.2 Die Abberufung des Datenschutzbeauftragten

Die Abberufung eines Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 BGB zulässig - es muss also ein wichtiger Grund für die Abberufung vorliegen (s. dazu das Stichwort Kündigung - außerordentliche: wichtiger Grund).

Beispiel:

Datenschutzbeauftragter D verpasst eine Sitzung mit dem Betriebsrat, weil er im Verkehr stecken geblieben ist. Arbeitgeber G hatte sich für die Sitzung extra von Terminen mit Zulieferern freigehalten und ist über die "vertane" Zeit so erbost, dass er D gleich abberufen will. Das geht nicht. Das einmalige - hier zudem nicht mal verschuldete - Verpassen eines Termins ist kein wichtiger Grund i.S.d. § 626 Abs. 1 BGB.

Die Abberufung ist nach § 6 Abs. 4 Satz 1 BDSG nur zulässig, wenn es dem Verantwortlichen nicht zugemutet werden kann, den benannten Datenschutzbeauftragten länger in dieser Funktion zu behalten, weil er in erheblichem Maß gegen seine BDSG-Pflichten verstoßen hat.

Beispiel:

Datenschutzbeauftragter D hat Zugriff auf alle personenbezogenen Beschäftigtendaten von Arbeitgeber G. D's Freund F arbeitete als Versicherungsmakler und bittet ihn, ihm Beschäftigtendaten zur Verfügung zu stellen, damit er diese Beschäftigten gezielt wegen einer betrieblichen Altersversorgung via Entgeltumwandlung anschreiben und umwerben kann. D bekommt für seine "Freundschaftsdienste" eine Prämie von 20,00 EUR pro überlassener Adresse. Damit hat sich D eindeutig für seine Tätigkeit als Datenschutzbeauftragter disqualifiziert und G kann ihn abberufen.

Hat der Arbeitgeber die Funktion "Datenschutzbeauftragter" einem seiner Mitarbeiter übertragen, ist die Abberufung vom Ansatz her eine Teilkündigung. Diese - eigentlich unzulässige - Teilkündigung eines Arbeitsvertrags erfasst nicht den Bestand des Arbeitsverhältnisses als solches, sondern nur die Funktion "Datenschutzbeauftragter". Das schuldrechtliche Grundverhältnis Arbeitsvertrag und die Benennung nach dem BDSG sind insoweit (un)lösbar (Anm. d. Verf.) miteinander verknüpft. Die - hier ausnahmsweise - zulässige Teilkündigung ist in Fällen anerkannt, in denen sich ein Gesamtvertragsverhältnis aus mehreren Teilverträgen zusammensetzt und diese Teilverträge nach dem Gesamtbild des Vertrages jeweils für sich als selbstständig lösbar aufgefasst werden müssen (BAG, 13.03.2007 - 9 AZR 612/05 - mit Hinweis auf BAG, 14.11.1990 - 5 AZR 509/89). Entscheidend sind immer die Umstände des Einzelfalls.

Ansonsten gilt: "Teilkündigungen, mit denen der Kündigende einzelne Vertragsbedingungen gegen den Willen der anderen Vertragspartei einseitig ändern will, sind grundsätzlich unzulässig. Sie stellen einen unzulässigen Eingriff in das ausgehandelte Äquivalenz- und Ordnungsgefüge des Vertrags dar" (s. dazu BAG, 25.02.1988 - 2 AZR 346/87; BAG, 23.08.1989 - 5 AZR 569/88 - und BAG, 14.11.1990 - 5 AZR 509/89). "Nur ausnahmsweise können Teilkündigungen zulässig sein, wenn dem einen Vertragspartner das Recht hierzu eingeräumt wurde und kein zwingender Kündigungsschutz umgangen wird" (BAG, 23.03.2011 - 10 AZR 562/09 - mit Hinweis auf BAG, 14.11.1990 - 5 AZR 509/89; BAG, 06.11.2007 - 1 AZR 826/06 - und BAG, 13.03.2007 - 9 AZR 612/05).

Praxistipp:

Was immer möglich ist: die einvernehmliche Abberufung (s. dazu das Stichwort Aufhebungsvertrag - Allgemeines). Arbeitgeber und Datenschutzbeauftragter müssen sich dann nur darüber einig werden, dass der Mitarbeiter seine Funktion "Datenschutzbeauftragter" ab dem Zeitpunkt X nicht mehr ausübt.

Der besondere Abberufungsschutz ergibt sich hier daraus, dass für die Abberufung ein wichtiger Grund vorhanden sein muss.

4.3 Die Kündigung des Datenschutzbeauftragten

Von der Abberufung eines Arbeitnehmers als Datenschutzbeauftragter ist die Kündigung seines Arbeitsverhältnisses zu unterscheiden (s. dazu auch das Stichwort Kündigungsschutz - gesetzlicher). Dazu sagt § 6 Abs. 4 Satz 2 BDSG:

"Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle [in diesem Zusammenhang: den Arbeitgeber] zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen."

Ein wichtiger Grund i.S.d. § 6 Abs. 4 Satz 2 BDSG kann nur bejaht werden,

"wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des" Arbeitsverhältnisses "bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des" Arbeitsverhältnisses "nicht zugemutet werden kann."

Der wichtige Grund i.S.d. § 6 Abs. 4 Satz 2 BDSG muss nicht unbedingt mit der Funktion "Datenschutzbeauftragter" verknüpft sein.

Beispiel:

Datenschutzbeauftragter D ist in Verdacht geraten, in größerem Umfang Ware aus Arbeitgeber G's Lager fortgeschafft zu haben. G spricht D auf seinen Verdacht an, der zuckt nur mit den Schultern und sagt großspurig: "Das müssen Sie mir erst mal nachweisen." Kann G die Verdachtsmomente nachprüfbar belegen, ist das ein Fall für eine außerordentliche Verdachtskündigung. Der Diebstahlsverdacht ist ein wichtiger Grund, D's Arbeitsverhältnis zu kündigen.

Der besondere Kündigungsschutz nach § 6 Abs. 4 BDSG gilt gem. § 38 Abs. 2 Halbs. 2 BDSG aber nur dann, "wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist." Die Verpflichtung ergibt sich aus § 38 Abs. 1 BDSG, Art. 37 Abs. 1 EU-DSGVO und etwaigen Spezialgesetzen.

Praxistipp:

Arbeitgeber, die nicht benennungspflichtig sind, werden durch § 6 Abs. 4 Satz 2 BDSG nicht an einer Kündigung ihres freiwillig benannten Datenschutzbeauftragten gehindert.

Wie BetrVG-Mandatsträger haben auch Datenschutzbeauftragte einen nachwirkenden Kündigungsschutz. Ihre ordentliche Kündigung ist nach dem Ende ihrer Tätigkeit als Datenschutzbeauftragter innerhalb eines Jahres unzulässig (§ 6 Abs. 4 Satz 3 BDSG). Ausnahme: Der Arbeitgeber hat für die Kündigung einen wichtigen Grund.

Kündigt der Arbeitgeber betriebsbedingt einen oder mehrere Mitarbeiter, ist der Datenschutzbeauftragte wegen seines Sonderkündigungsschutzes nicht in die Sozialauswahl nach § 1 Abs. 3 KSchG einzubeziehen (LAG Baden-Württemberg, 26.08.2008 - 8 Sa 60/07).

5. Rechtsprechungs-ABC

In diesem Gliederungspunkt werden einige der interessantesten Entscheidungen zum Thema Datenschutzbeauftragter in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt:

5.1 Arbeitsvertragliche Grundlage

Das Arbeitgeber-Direktionsrecht ist keine geeignete Basis, einem Arbeitnehmer die Funktion "Datenschutzbeauftragter" zu übertragen. Arbeitgeber und Arbeitnehmer müssen vereinbaren, dass die Funktion und die mit ihr verbundenen Tätigkeiten Teil der vertraglich geschuldeten Leistung sein sollen. Die Vereinbarung kann sogar durch schlüssiges Verhalten und bloße Annahme des Amtes erfolgen. "Damit erweitern sich die arbeitsvertraglichen Rechte und Pflichten des Arbeitnehmers um die Tätigkeit eines Beauftragten für den Datenschutz" (s. dazu BAG, 13.03.2007 - 9 AZR 612/05 - und BAG, 22.03.1994 - 1 ABR 51/93). Der konkrete Inhalt der Vertragsänderung ist durch Auslegung zu ermitteln (§§ 133, 157 BGB). Dabei sind alle tatsächlichen Begleitumstände der Erklärung zu berücksichtigen (BAG, 29.09.2010 - 10 AZR 588/09 - mit Hinweis auf BAG, 02.07.2008 - 10 AZR 378/07 - und BAG, 13.12.2006 - 10 AZR 787/05).

5.2 Interessenkonflikt

"Betriebsbedingte Kündigungsgründe können die fristlose Kündigung nur im Ausnahmefall rechtfertigen. Entscheidend ist, dass das Arbeitsverhältnis auf Dauer sinnentleert wäre. Eine analoge Anwendung von § 15 IV auf den Datenschutzbeauftragten scheidet aus. § 4 f BDSG enhält eine eigenständige abschließende Regelung. Bei einem bestehenden Interessenkonflikt ist die Abberufung als Datenschutzbeauftragter möglich" (LAG Düsseldorf, 23.07.2012 - 9 Sa 593/12 - Leitsatz - zu einem Fall, in dem der Datenschutzbeauftragte gleichzeititg als IT-Leiter tätig geworden ist).

5.3 Intern/extern - 1

Der Arbeitgeber ist weitgehend frei darin, sein Unternehmen zu organisieren. Eine einmal getroffene Organisationsentscheidung muss daher nicht auf Dauer angelegt sein. Sie kann geändert oder widerrufen werden. Bei der Entscheidung für einen internen Datenschutzbeauftragten ist das allerdings nicht so ohne Weiteres möglich: "Wirtschaftliche und betriebsorganisatorische Gründe können nur im Ausnahmefall den Widerruf der Bestellung eines Datenschutzbeauftragten im Sinne von § 4f Abs. 3 Satz 4 BDSG a.F. (= § 6 Abs. 4 Satz 1 BDSG n.F.) begründen. Die Absicht einer konzernweit einheitlichen Betreuung des Datenschutzes durch einen externen Beauftragten ist kein wichtiger Grund im Sinne dieser Vorschrift" (LAG Berlin-Brandenburg, 28.05.2009 - 5 Sa 434/09).

5.4 Intern/extern - 2

Die nichtöffentliche Stelle hat bei der erstmaligen Bestellung eines Datenschutzbeauftragten die Wahlfreiheit zwischen einem internen oder einem externen Beauftragten. Dieses freie Bestellungs- und Auswahlrecht eröffnet aber nicht die Möglichkeit, den "bereits bestellten Beauftragten für den Datenschutz ohne Weiteres aufgrund einer erneuten Organisationsentscheidung wieder abzuberufen." Der besondere Abberufungsschutz des einmal bestellten Datenschutzbeauftragten würde hinfällig, wenn man der nichtöffentlichen Stelle für den Fall, dass sie in puncto Datenschutzbeauftragter neu ausrichtet, eine jederzeitige Widerrufsmöglichkeit einräumen würde. Die "Umentscheidung" ist kein wichtiger Grund i.S.d. § 4f Abs. 3 Satz 4 BDSG a.F. = § 6 Abs. 5 Satz 1 BDSG n.F. (BAG, 23.03.2011 - 10 AZR 562/09).

5.5 Stellvertretende Datenschutzbeauftragte - 1

"Eine gesetzliche Pflicht zur Bestellung eines (stellvertretenden) Datenschutzbeauftragten ergibt sich aus § 4f Abs. 1 BDSG" (a.F. = § 5 Abs. 1 BDSG n.F.), wenn der zunächst bestellte Datenschutzbeauftragte für einen längeren Zeitraum verhindert ist und Aufgaben im Zuständigkeitsbereich des Datenschutzbeauftragten zu erledigen sind. Stellvertretende Datenschutzbeauftragte genießen jedenfalls dann den Sonderkündigungsschutz gem. § 4f Abs. 3 Satz 5 BDSG" (a.F. = § 6 Abs. 4 Satz 1 BDSG n.F.), "wenn sie während der Verhinderung des (Haupt-)Datenschutzbeauftragten dessen Tätigkeit tatsächlich wahrgenommen haben" (LAG Hamburg, 21.07.2016 - 8 Sa 32/16 - Leitsätze).

5.6 Stellvertretende Datenschutzbeauftragte - 2

Unterliegt eine Stelle der Bestellpflicht nach § 4f Abs. 1 BDSG a.F. (= § 5 BDSG n.F.) und benennt diese Stelle gleich mehrere Datenschutzbeauftragte, bekommen alle Datenschutzbeauftragte den Sonderkündigungsschutz nach § 4f Abs. 3 Satz 5 BDSG a.F. (= § 6 Abs. 4 Satz 2 BDSG n.F.). Ob die Bestellung eines weiteren - stellvertretenden - Datenschutzbeauftragten überhaupt erforderlich war, ist in diesem Zusammenhang unerheblich. Eine Kündigung, die gegen § 4f Abs. 3 Satz 5 BDSG a.F. (= § 6 Abs. 4 Satz 2 BDSG n.F.) verstößt, ist nach § 134 BGB nichtig (BAG, 27.07.2017 - 2 AZR 812/16).

5.7 Weiterbeschäftigungsanspruch

Vereinigen sich Krankenkassen, werden die bisherigen Krankenkassen geschlossen, § 144 Abs. 4 Satz 1 SGB V. Mit Wirksamwerden der Vereinigung tritt die neue Kasse in die Rechte und Pflichten der bisherigen Krankenkassen ein, § 144 Abs. 4 Satz 2 SGB V. Das bedeutet für den BDSG-Datenschutzbeauftragten: "1. Wird ein Arbeitnehmer im bestehenden Arbeitsverhältnis zum Beauftragen für den Datenschutz bestellt, liegt darin regelmäßig das Angebot des Arbeitgebers, den Arbeitsvertrag um die mit dem Amt verbundenen Aufgaben für dessen Dauer nach Maßgabe der gesetzlichen Bestimmungen zu erweitern. 2. Bei einer Fusion gesetzlicher Krankenkassen erlischt das Amt des Datenschutzbeauftragten bei den geschlossenen Krankenkassen. Das Amt geht nicht nach § 144 Abs. 4 Satz 2 SGB V auf die neu gebildete Krankenkasse über" (BAG, 29.09.2010 - 10 AZR 588/09 - Leitsätze - mit dem Ergebnis, dass es keinen Anspruch gibt, in Fällen dieser Art als Datenschutzbeauftragter weiterbeschäftigt zu werden).

5.8 Wichtige Gründe

Der wichtige Grund i.S.d. § 4f Abs. 3 Satz 4 BDSG a.F. (= § 6 Abs. 4 Satz 1 BDSG n.F.) muss es dem Arbeitgeber unzumutbar machen, seinen Mitarbeiter bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin als Datenschutzbeauftragten einzusetzen. "Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden". In Frage kommen beispielsweise Geheimnisverrat oder eine dauerhafte Verletzung von Kontrollpflichten, aber auch die Beendigung des zugrunde liegenden Arbeitsverhältnisses (BAG, 23.03.2011 - 10 AZR 562/09).