Kurzbeitrag : Praxisfälle zum Datenschutzrecht XX: Zentralisierung der Datenschutzorganisation im Unternehmensverbund : aus der RDV 1/2023 Seite 45 bis 48
I. Sachverhalt
D ist bei der Konzernmutter K angestellt. Nachdem er zunächst einige Zeit in der Rechtsabteilung tätig war, ist er inzwischen bereits seit mehreren Jahren als interner Datenschutzbeauftragter für K und als externer Datenschutzbeauftragter für das Konzernunternehmen A benannt. Die Tätigkeit als Datenschutzbeauftragter nimmt D mit 100 % seiner Arbeitszeit wahr. Für die Konzernunternehmen B und C ist der externe Dienstleister E als Datenschutzbeauftragter benannt. E bietet seine Dienste als „Einzelkämpfer“ selbstständig an. Die Benennungsurkunde läuft auf ihn persönlich und er ist auch Vertragspartner des Dienstleisters.
In der Vergangenheit ist es im Hinblick auf Datenverarbeitungen innerhalb des Konzerns aufgrund unterschiedlicher Bewertungen seitens D und E zu Konflikten gekommen, weshalb der Konzernvorstand der Ansicht ist, dass es am besten sei, die Datenschutzorganisation innerhalb des Konzerns zu zentralisieren. Nach den Erfahrungen erscheine es vorzugswürdig, wenn in allen Konzernunternehmen dieselbe Person zum Datenschutzbeauftragten benannt sei. Bevorzugt solle das Amt bei allen Stellen durch den externen Dienstleister ausgeübt werden, so die Wunschvorstellung des Konzernvorstands. Das Beschäftigungsverhältnis von D solle aber fortbestehen und dieser wieder seine früheren Aufgaben wahrnehmen.
D möchte seine Benennungen auf keinen Fall aufgeben und hat eine einvernehmliche Lösung bereits abgelehnt. Kann die Zentralisierung der Datenschutzorganisation gegen seinen Willen durchgesetzt werden? Falls nein, wäre es umgekehrt perspektivisch möglich, dass D bei allen Konzernunternehmen benannt wird, die einen Datenschutzbeauftragten benennen müssen?
II. Musterlösung
1. Allgemeines
Zwischen dem Datenschutzbeauftragten und der benennenden Stelle bestehen zwei Rechtsverhältnisse, die grundsätzlich jeweils getrennt zu beurteilen sind (sog. Trennungsprinzip). Zu unterscheiden ist insofern zwischen der Benennung einerseits und dem zugrundeliegenden Rechtsgeschäft andererseits.
Ist ein sog. interner Datenschutzbeauftragter benannt, also ein Beschäftigter der benennenden Stelle, bildet der Arbeitsvertrag bzw., soweit es sich um einen Beamten handelt, das Dienstverhältnis die Grundlage der Benennung. Sofern ein externer Datenschutzbeauftragter benannt ist, also eine Person außerhalb der benennenden Stelle, die Aufgaben wahrnimmt, bildet ein Dienstvertrag ( §§ 611ff. BGB)[1] die Grundlage der Benennung. Dass die benennende Stelle die Wahl zwischen einem internen oder externen Datenschutzbeauftragten hat, ergibt sich aus Art. 37 Abs. 6 DS-GVO.
Die Beendigung der Benennung zum Datenschutzbeauftragten erfolgt durch Abberufung, die Beendigung des Grundverhältnisses durch dessen Kündigung. Wird das mit dem (internen oder externen) Datenschutzbeauftragten bestehende Grundverhältnis gekündigt, wird sich typischerweise im Wege der Auslegung der Erklärung ( §§ 133, 157 BGB) ergeben, dass auch die Benennung als Datenschutzbeauftragter enden soll (gleichzeitige Beendigung von Grundverhältnis und Benennung). Vorliegend soll nach dem Wunsch des Konzernvorstands eine isolierte Abberufung von D zum Datenschutzbeauftragten erfolgen, d.h., lediglich die Benennung soll enden, D aber weiterhin beschäftigt bleiben.
2. Konzentration der DSB-Benennungen auf E
a) Allgemeines
Wie im Sachverhalt ausgeführt, ist D nicht bereit, seine Benennungen freiwillig aufzugeben. Es stellt sich daher die Frage, inwiefern sich die Pläne des Konzernvorstands mit dem Abberufungs- und Kündigungsschutz vereinbaren lassen, den D als interner Datenschutzbeauftragter genießt.
b) Erforderlichkeit eines „wichtigen Grundes“ zur Überwindung von Abberufungs- und Kündigungsschutz
aa) Der erweiterte nationale Schutz zugunsten des Datenschutzbeauftragten
Nach der DS-GVO genießt der Datenschutzbeauftragte nur eingeschränkten Abberufungsschutz, denn Art. 38 Abs. 3 S. 2 DS-GVO bestimmt lediglich, dass der Beauftragte nicht wegen der Erfüllung seiner Aufgaben abberufen werden darf. Solange hingegen nicht die Aufgabenerfüllung zur Begründung herangezogen wird, kann nach der DS-GVO also prinzipiell jeglicher Grund – insbesondere auch betriebliche und organisatorische Gründe – die Abberufung des Datenschutzbeauftragten gestatten.
Restriktiver hat demgegenüber der nationale Gesetzgeber die Zulässigkeit der Abberufung des Datenschutzbeauftragten geregelt. Nach § 6 Abs. 4 S. 1 BDSG soll die Abberufung nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs, d.h. „aus wichtigem Grund“, zulässig sein. Zweck des erweiterten nationalen Abberufungsschutzes ist es, dass einem unbequemen Datenschutzbeauftragten nicht einfach das Amt entzogen werden können soll und damit letztlich die effektive Amtsausübung durch den Beauftragten. Allein durch den Abberufungsschutz nach DS-GVO könnte dieses Ziel nicht in ausreichender Weise erreicht werden. Der erweiterte Abberufungsschutz gilt dabei nicht nur für Datenschutzbeauftragte bundesöffentlicher Stellen, sondern wegen des Verweises in § 38 Abs. 2 BDSG auch für solche nicht öffentlicher Stellen.
Neben diesem erweiterten Abberufungsschutz hat der nationale Gesetzgeber zum Schutz der Unabhängigkeit des Datenschutzbeauftragten zu dessen Gunsten außerdem einen arbeitsrechtlichen Sonderkündigungsschutz vorgesehen (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 und 3 BDSG). Der Maßstab entspricht demjenigen des erweiterten Abberufungsschutzes nach nationalem Recht, d.h., nicht nur die Abberufung aus dem Amt ist an das Vorliegen eines wichtigen Grundes gebunden, sondern ebenso die Kündigung des Arbeitsverhältnisses des internen Datenschutzbeauftragten.
bb) Vereinbarkeit des erweiterten Schutzes mit dem Europarecht
Die Regelungen zum nationalen Sonderkündigungsschutz sind nach dem EuGH[2] mit den Vorgaben der DS-GVO vereinbar. Die Festlegung von Vorschriften zum Kündigungsschutz sei keine Frage des Datenschutzes, sondern eine Frage der Sozialpolitik. Da bezüglich der Sozialpolitik nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eine geteilte Zuständigkeit von Union und Mitgliedstaaten bestehe, stehe es jedem Mitgliedstaat frei, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, solange diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DS-GVO, vor allem Art. 38 Abs. 3 S. 2, vereinbar sind, so der EuGH. Nach dem Bundesarbeitsgericht (BAG)[3] ist eine solche Vereinbarkeit bezogen auf die Regelung in § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG anzunehmen. Die Voraussetzungen, unter denen der Verantwortliche das Arbeitsverhältnis mit einem verpflichtend benannten Datenschutzbeauftragten beenden kann, würden durch die Regelung im BDSG zwar erhöht, jedoch sei ihm dies weder unmöglich noch unzumutbar erschwert. Zur Sicherung der Ziele der DS-GVO werde es im Übrigen in der Regel – neben der Abberufung des Datenschutzbeauftragten – nicht erforderlich sein, dessen Arbeitsverhältnis zu kündigen, so das BAG.
Nach dem BAG verstößt die normative Ausgestaltung des nationalen Sonderkündigungsschutzes von betrieblichen Datenschutzbeauftragten auch nicht gegen das Grundgesetz (GG).[4] Hinsichtlich des Eingriffs in den Schutzbereich von Art. 12 Abs. 1 GG (Berufsfreiheit) sei die gesetzliche Regelung gemessen an der Regelungsabsicht eine geeignete, erforderliche wie auch angemessene Einschränkung der Berufsfreiheit, die im Wesentlichen dem Sonderkündigungsschutz für Betriebsräte (§ 15 Abs. 1 KSchG) oder Immissionsschutzbeauftragte (§ 58 Abs. 2 BImSchG) entspreche, so das BAG.
Ebenso wie beim nationalen Sonderkündigungsschutz stellt sich auch beim erweiterten nationalen Abberufungsschutz gemäß § 6 Abs. 4 S. 1 BDSG die Frage nach der Vereinbarkeit mit europarechtlichen Vorgaben. Auch insofern existiert eine entsprechende Vorlage des BAG an den EuGH.[5]
Die Antwort des EuGH steht allerdings, anders als die zum nationalen Kündigungsschutz, noch aus. Ausweislich der Gesetzesbegründung zu § 6 Abs. 4 S. 1 BDSG soll es sich auch insoweit um eine arbeitsrechtliche[6] Regelung handeln, die ergänzend zu den DS-GVO-Vorgaben beibehalten werden kann.[7] Für die Argumentation, dass die nationale Erweiterung des Abberufungsschutzes eine arbeitsrechtliche Regelung darstellt, spricht, dass bei internen Datenschutzbeauftragten mit der Abberufung im Regelfall eine Änderung des Arbeitsvertrags einhergeht.[8] Die Abberufung hat insofern Auswirkung auf das arbeitsvertragliche Grundverhältnis und Abberufung und Kündigung stehen in einem arbeitsrechtlichen Gesamtzusammenhang, der insgesamt vom nationalen Gesetzgeber geregelt werden können dürfte.[9] Diese Begründung für den nationalen Sonderweg zum Abberufungsschutz greift allerdings nur bezogen auf interne, nicht auch bezogen auf externe Datenschutzbeauftragte.[10]
cc) Folgen für eine Konzentration der Aufgaben des Datenschutzbeauftragten auf E
In der Ausgangskonstellation kann eine Abberufung von D sinnvollerweise nicht ohne eine gleichzeitige Änderungskündigung seines Arbeitsvertrages erfolgen. Denn ansonsten müsste die Konzernmutter K als seine Arbeitgeberin D zwar weiterhin bezahlen, D müsste aber keine Gegenleistung hierfür erbringen. Denn seine Datenschutzaufgaben wären infolge der Abberufung entfallen und andere Aufgaben kann K ihm allein aufgrund ihres Direktionsrechts als Arbeitgeberin nicht zuweisen.[11] Es bedarf hierfür einer Vertragsänderung selbst dann, wenn D wieder seine alten Aufgaben in der Rechtsabteilung übernehmen soll. Während die Abberufung aus dem Amt zwar schon aus Dokumentationsgründen schriftlich erfolgen sollte, explizite Formerfordernisse aber nicht bestehen, bedarf die Änderungskündigung gemäß § 623 BGB der Schriftform.
Ob Abberufung bzw. Änderungskündigung zulässig sind, richtet sich, wie bereits dargestellt, nach einem einheitlichen Maßstab, nämlich der Frage, ob insoweit ein „wichtiger Grund“ i.S.v. § 626 BGB gegeben ist.
c) Zentralisierung der Datenschutzorganisation als wichtiger Grund?
Ein wichtiger Grund i.S.v. § 626 BGB ist anzunehmen, sofern Tatsachen oder Umstände gegeben sind, die unter Berücksichtigung der Gegebenheiten des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung der Tätigkeit als Datenschutzbeauftragter unzumutbar machen. Nach dem (BAG)[12] kommen als wichtige Gründe insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, z.B. ein Geheimnisverrat oder eine dauerhafte Verletzung der Überwachungspflicht als Datenschutzbeauftragter.
Allein die Organisationsentscheidung, nunmehr konzernweit einen externen Datenschutzbeauftragten mit dem Datenschutz betrauen zu wollen, soll nach dem BAG[13] dagegen keinen wichtigen Grund darstellen. Bei der erstmaligen Benennung des Datenschutzbeauftragten habe die nicht öffentliche Stelle die Entscheidungsfreiheit, ob sie einen internen oder externen Datenschutzbeauftragten bestellen will. Das freie Auswahlrecht rechtfertige es aber nicht, einen bereits bestellten Beauftragten für den Datenschutz ohne Weiteres aufgrund einer erneuten Organisationsentscheidung wieder abzuberufen. Die Zulassung einer jederzeitigen Widerrufsmöglichkeit aufgrund einer organisatorischen Änderung und die generelle Anerkennung einer freien Strukturentscheidung als wichtiger Grund würden dazu führen, den besonderen Abberufungsschutz, der insbesondere der Sicherung der unabhängigen Stellung des Datenschutzbeauftragten diene, zur Disposition der nicht öffentlichen Stelle zu stellen.
Ergebnis: Das Vorliegen eines wichtigen Grundes ist damit abzulehnen. Sowohl eine Abberufung von D als auch die notwendige Änderungskündigung wären also unzulässig.
3. Konzentration der DSB-Benennungen auf D
Sich vom externen Datenschutzbeauftragten E zu lösen, dürfte im Ergebnis um einiges leichter sein. Sonderkündigungsschutz nach BDSG kommt diesem nicht zu, denn mit ihm besteht kein Arbeitsvertrag. Zwar genießen auch externe Datenschutzbeauftragte Abberufungsschutz, aber wohl nur denjenigen nach der DS-GVO und nicht den erweiterten Schutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 1 BDSG.[14] Der DS-GVO-Abberufungsschutz dürfte vorliegend einer Trennung von E nicht entgegenstehen, da dessen Abberufung nicht „wegen der Erfüllung seiner Aufgaben“ erfolgen soll. Zwar besteht ein Zusammenhang zur Aufgabenwahrnehmung, soll aber nicht wegen seiner Entscheidungen an sich abberufen werden, sondern um sich widersprechende Bewertungen zu vermeiden.
Da die benennende Stelle typischerweise kein Interesse daran hat, einen externen Datenschutzbeauftragten nur abzuberufen, aber weiter zu bezahlen, stellt sich darüber hinaus die Frage nach der Beendigung des Grundverhältnisses. Entscheidend sind insofern die konkreten vertraglichen Vereinbarungen zwischen benennender Stelle und externem Datenschutzbeauftragten. In der Praxis findet sich häufig die Gestaltung, dass der Dienstvertrag befristet geschlossen wird und sich jeweils zum Laufzeitende um weitere x Jahre verlängert, sofern er nicht fristgerecht gekündigt wird.[15]
4. Ergänzende Hinweise
a) Vorteile von internen bzw. externen Datenschutzbeauftragten
Gemäß Art. 37 Abs. 6 DS-GVO hat die zur Benennung eines Datenschutzbeauftragten verpflichtete Stelle die Gestaltungsoption, zwischen der Benennung eines eigenen Beschäftigten oder aber der Benennung einer externen Person zu wählen. Eine abstrakt richtige Wahl gibt es insofern nicht, vielmehr können je nach Konstellation überzeugende Argumente sowohl für die eine wie auch die andere Ausgestaltung sprechen. Der Einsatz eines externen Datenschutzbeauftragten kann insbesondere bei kleinen und mittleren Stellen sinnvoll sein.
Expertise und Erfahrungen eines externen Datenschutzbeauftragten können sofort in Anspruch genommen werden und der initiale Aufwand für die Ausbildung eines eigenen Mitarbeiters entfällt. Sich von einem externen Beauftragten zu trennen, ist zudem, wie dargestellt, leichter als die Trennung von einem internen Datenschutzbeauftragten. Interne Datenschutzbeauftragte verfügen demgegenüber regelmäßig über eine bessere Kenntnis der Prozesse und Spezifika bei der benennenden Stelle. Die inhaltliche und häufig auch räumliche Nähe des internen Datenschutzbeauftragten erleichtert die kontinuierliche Zusammenarbeit mit diesem sowie seine Einbeziehung bereits bei der Planung und Vorbereitung von Datenverarbeitungsvorhaben.
b) Benennung juristischer Personen zum Datenschutzbeauftragten?
Praktisch bedeutsam für externe Datenschutzdienstleister ist, ob auch eine Benennung juristischer Personen zum Datenschutzbeauftragten zulässig ist oder ob lediglich natürliche Personen benannt werden können. In der Literatur und von den Aufsichtsbehörden wird die Benennung juristischer Personen teilweise abgelehnt. Diese Auffassung bringt nicht unerhebliche Praxisprobleme mit sich, wenn im Falle der Beauftragung eines externen Dienstleistungsunternehmens mit den Aufgaben aus Art. 39 DS-GVO die konkret benannte natürliche Person ihren bisherigen Arbeitgeber, den Vertragspartner des Verantwortlichen bzw. Auftragsverarbeiters, verlässt. Diese Probleme werden ohne Not in Kauf genommen. Selbst wenn der Unionsgesetzgeber primär die Benennung einer natürlichen Person im Blick gehabt sollte, so gibt es auch keine Vorgaben, die die Benennung einer juristischen Person explizit ausschließen. Fachkenntnisse der Gesellschafter bzw. Mitarbeiter können der juristischen Person zugerechnet, das Vorliegen von Interessenkonflikten kann anhand der Personen beurteilt werden, welche die Aufgaben des Datenschutzbeauftragten konkret wahrnehmen. So sieht dies auch der EDSA,[16] der davon ausgeht, dass auch juristische Personen zum Datenschutzbeauftragten benannt werden können und die praktische Aufgabenwahrnehmung durch deren Angehörige erfolgt.
RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016
[1] Teilweise wird für externe Datenschutzbeauftragte auch ein Geschäftsbesorgungsvertrag (§ 675 BGB) angenommen. Der Geschäftsbesorgungsvertrag ist eine besondere Ausprägung des Dienstvertrages (bzw. Werkvertrages).
[2] Urt. v. 22.06.2022 – C 534/20 (Leistritz).
[3] Urt. v. 25.08.2022 – 2 AZR 225/20.
[4] BAG, a.a.O. (Fn. 3)
[5] BAG, Beschl. v. 27.04.2021 – 9 AZR 383/19 (A); vgl. zudem auch den Vorlagebeschluss vom 27.04.2021 – 9 AZR 621/19 (A) mit teilweise gleichgelagerten Fragen.
[6] Der Begriff der „Sozialpolitik“ i.S.v. Art. 4 Abs. 2 lit. b AEUV umfasst weite Teile des Arbeitsrechts, u.a. den Schutz von Arbeitnehmern bei Beendigung des Arbeitsvertrags
[7] BT-Drs. 18/11325, S. 82.
[8] BAG v. 23.03.2011 – 10 AZR 562/09, NZA 2011, 1036. Für das Vorliegen einer arbeitsrechtlichen Regelung Paal/Pauly/Körffer, BDSG § 6 Rn. 3; Greiner/Senk, NZA 2020, 201 (208); wohl auch BeckOK/Moos, 42. Edition, Stand: 01.11.2021, BDSG § 38 Rn. 17 f.; den arbeitsrechtlichen Charakter der Regelung und die Europarechtskonformität von § 6 Abs. 4 S. 1 BDSG bezweifelnd dagegen Simitis/Hornung/Spiecker/Drewes, DS-GVO Art. 37 Rn. 58 ff.; ähnlich Ehmann/ Selmayr/Heberlein, DS-GVO Art. 38 Rn. 28; Kühling/Buchner/Bergt, DS-GVO Art. 38 Rn. 33.
[9] HK/Jaspers/Reif, DS-GVO Art. 38 Rn. 19.
[10] HK/Jaspers/Reif, DS-GVO Art. 38 Rn. 19.
[11] BAG, Urt. v. 23.03.2011 – 10 AZR 562/09.
[12] Urt. v. 23.03.2011 – 10 AZR 562/09.
[13] A.a.O.
[14] Vgl. hierzu Abschnitt 2. b).
[15] Um die Unabhängigkeit des externen Datenschutzbeauftragten nicht zu gefährden, wird allgemein eine regelmäßige Mindestvertragslaufzeit von vier Jahren empfohlen. Bei Erstverträgen ist wegen der Notwendigkeit der Überprüfung der Eignung eine kürzere Frist von ein bis zwei Jahren zulässig
[16] Art.-29-Datenschutzgruppe WP 243 rev. 01, S. 14 f., bestätigt durch den EDSA am 25.05.2018.