Rz. 24
§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG (vgl. § 4f Abs. 3 Sätze 5 und 6 BDSG a. F.) regelt einen besonderen Kündigungsschutz für den internen Datenschutzbeauftragten entsprechend den Regelungen zum Kündigungsschutz vergleichbarer betrieblicher Beauftragter (vgl. Rz. 8). Das Arbeitsverhältnis des internen Datenschutzbeauftragten kann während des Bestehens der Bestellung sowie ein Jahr nach dem Ende des Amtsverhältnisses bzw. der Tätigkeit als Datenschutzbeauftragter nur aus wichtigem Grund nach § 626 Abs. 1 und 2 BGB gekündigt werden. Mit dem Ende der Bestellung endet aber nicht automatisch auch das zugrunde liegende Arbeitsverhältnis als solches (sondern allenfalls die Teilaufgabe des Datenschutzbeauftragten, Rz. 21); vielmehr hat der interne Datenschutzbeauftragte noch ein Jahr nachwirkenden Kündigungsschutz.
4.1 Geltungsbereich
Rz. 25
Die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 2 BDSG).
4.1.1 Persönlicher Geltungsbereich
Rz. 26
Bereits aus dem Wortlaut ("Kündigung des Arbeitsverhältnisses") folgt, dass der besondere Kündigungsschutz nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG nur für den internen und nicht den externen Datenschutzbeauftragten gilt. Die Regelungen finden auch Anwendung, wenn der Datenschutzbeauftragte zunächst als Externer bestellt wird und dann ein Arbeitsverhältnis zur bestellenden verantwortlichen Stelle begründet und er zum internen Datenschutzbeauftragten wird.
Rz. 27
Der besondere Kündigungsschutz gilt nur, wenn der Arbeitgeber nach Art. 37 Abs. 1 DSGVO bzw. Abs. 4 DSGVO i. V. m. § 38 Abs. 1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet ist (§ 38 Abs. 2 BDSG). Durch die Anknüpfung an die Verpflichtung zur Bestellung kommt zum Ausdruck, dass ein besonderer Kündigungsschutz nicht besteht, wenn der Verantwortliche (Art. 4 Nr. 7 DSGVO) bzw. der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) sich freiwillig dazu entscheidet, einen Beauftragten für den Datenschutz zu bestellen. Eine Ausdehnung des Kündigungsschutzes auch auf nicht zur Bestellung verpflichtete Stellen würde diese im Ergebnis davon abhalten, freiwillig einen Datenschutzbeauftragten zu bestellen, und führte zu einem vom Gesetzgeber nicht gewollten Ergebnis. Beruft eine Stelle, die der Bestellpflicht unterliegt, mehrere interne Datenschutzbeauftragte, erwerben diese den in § 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 2 BDSG normierten Sonderkündigungsschutz. Für dessen Eingreifen ist es unerheblich, ob die Bestellung eines weiteren ("stellvertretenden") Datenschutzbeauftragten erforderlich war, um die im Betrieb oder der Dienststelle anfallenden Aufgaben zu erledigen. Der Gesetzeswortlaut knüpft nur an die grds. (allgemeine) Bestellpflicht der verantwortlichen Stelle nach Art. 37 DSGVO, § 38 Abs. 1 BDSG an. Nimmt der Vertreter des Datenschutzbeauftragten während dessen Verhinderung vollumfänglich dessen Aufgaben wahr, kommt ihm auch der nachwirkende Kündigungsschutz zugute. Er ist kein Datenschutzbeauftragter "2. Klasse"; vielmehr bedarf er im Vertretungsfall des Schutzes vor etwaigen Nachteilen aufgrund seiner Amtsführung.
Rz. 28
Wird ein interner Datenschutzbeauftragter freiwillig bestellt, kann der Arbeitgeber eine ordentliche Kündigung nach Maßgabe der allgemeinen Regelungen (v. a. des KSchG) aussprechen. Allerdings gelten auch in diesem Fall der Schutz vor Benachteiligungen wegen der Erfüllung der Aufgaben (Art. 38 Abs. 3 Satz 2 DSGVO) und der Schutz vor dem Widerruf der Bestellung ohne wichtigen Grund (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 1 BDSG).
Rz. 29
Nach Art. 37 Abs. 1 DSGVO besteht im Bereich der Privatwirtschaft eine Pflicht zur Benennung eines Datenschutzbeauftragten für den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (lit. b; z. B. Bewachungsunternehmen; Labor mit Hochsicherheitsvorrichtungen, Unternehmen, die eine Profilbildung von betroffenen Benutzern mittels Videoüberwachung, -monitoring oder GPS-Tracking durchführen). Eine solche Pflicht besteht weiterhin, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (lit. c; z. B. Optiker, Krankenhaus, Kranken-/Lebensversicherungsunternehmen, Unternehmen für Gesundheits-Apps; Verein zur Stra...