Rz. 26
Bereits aus dem Wortlaut ("Kündigung des Arbeitsverhältnisses") folgt, dass der besondere Kündigungsschutz nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG nur für den internen und nicht den externen Datenschutzbeauftragten gilt. Die Regelungen finden auch Anwendung, wenn der Datenschutzbeauftragte zunächst als Externer bestellt wird und dann ein Arbeitsverhältnis zur bestellenden verantwortlichen Stelle begründet und er zum internen Datenschutzbeauftragten wird.
Rz. 27
Der besondere Kündigungsschutz gilt nur, wenn der Arbeitgeber nach Art. 37 Abs. 1 DSGVO bzw. Abs. 4 DSGVO i. V. m. § 38 Abs. 1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet ist (§ 38 Abs. 2 BDSG). Durch die Anknüpfung an die Verpflichtung zur Bestellung kommt zum Ausdruck, dass ein besonderer Kündigungsschutz nicht besteht, wenn der Verantwortliche (Art. 4 Nr. 7 DSGVO) bzw. der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) sich freiwillig dazu entscheidet, einen Beauftragten für den Datenschutz zu bestellen. Eine Ausdehnung des Kündigungsschutzes auch auf nicht zur Bestellung verpflichtete Stellen würde diese im Ergebnis davon abhalten, freiwillig einen Datenschutzbeauftragten zu bestellen, und führte zu einem vom Gesetzgeber nicht gewollten Ergebnis. Beruft eine Stelle, die der Bestellpflicht unterliegt, mehrere interne Datenschutzbeauftragte, erwerben diese den in § 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 2 BDSG normierten Sonderkündigungsschutz. Für dessen Eingreifen ist es unerheblich, ob die Bestellung eines weiteren ("stellvertretenden") Datenschutzbeauftragten erforderlich war, um die im Betrieb oder der Dienststelle anfallenden Aufgaben zu erledigen. Der Gesetzeswortlaut knüpft nur an die grds. (allgemeine) Bestellpflicht der verantwortlichen Stelle nach Art. 37 DSGVO, § 38 Abs. 1 BDSG an. Nimmt der Vertreter des Datenschutzbeauftragten während dessen Verhinderung vollumfänglich dessen Aufgaben wahr, kommt ihm auch der nachwirkende Kündigungsschutz zugute. Er ist kein Datenschutzbeauftragter "2. Klasse"; vielmehr bedarf er im Vertretungsfall des Schutzes vor etwaigen Nachteilen aufgrund seiner Amtsführung.
Rz. 28
Wird ein interner Datenschutzbeauftragter freiwillig bestellt, kann der Arbeitgeber eine ordentliche Kündigung nach Maßgabe der allgemeinen Regelungen (v. a. des KSchG) aussprechen. Allerdings gelten auch in diesem Fall der Schutz vor Benachteiligungen wegen der Erfüllung der Aufgaben (Art. 38 Abs. 3 Satz 2 DSGVO) und der Schutz vor dem Widerruf der Bestellung ohne wichtigen Grund (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 1 BDSG).
Rz. 29
Nach Art. 37 Abs. 1 DSGVO besteht im Bereich der Privatwirtschaft eine Pflicht zur Benennung eines Datenschutzbeauftragten für den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (lit. b; z. B. Bewachungsunternehmen; Labor mit Hochsicherheitsvorrichtungen, Unternehmen, die eine Profilbildung von betroffenen Benutzern mittels Videoüberwachung, -monitoring oder GPS-Tracking durchführen). Eine solche Pflicht besteht weiterhin, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (lit. c; z. B. Optiker, Krankenhaus, Kranken-/Lebensversicherungsunternehmen, Unternehmen für Gesundheits-Apps; Verein zur Straffälligenhilfe). Allein das Vorhandensein einer Personalabteilung führt noch nicht dazu, dass i. S. v. lit. c eine "umfangreiche Verarbeitung besonderer Kategorien von Daten gem. Art. 9" stattfindet.
Rz. 30
Nach Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO können das sonstige EU-Recht oder die Mitgliedstaaten darüber hinaus die Bestellung eines Datenschutzbeauftragten vorschreiben. Auf dieser Grundlage sieht § 38 Abs. 1 BDSG – in Anlehnung an die bisherige Regelung des § 4f Abs. 1 Sätze 4 und 6 BDSG a. F. – die Pflicht zur Bestellung eines Datenschutzbeauftragten für nicht öffentliche Stellen, also insbesondere Verantwortliche/Arbeitgeber der Privatwirtschaft und deren Auftragsverarbeiter, vor,
- soweit sie personenbezogene Daten automatisiert verarbeiten (vgl. Art. 2 Abs. 1 Alt. 1 DSGVO) und sie hiermit kontinuierlich i. d. R. mindestens 20 Personen beschäftigen,
- wenn sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder
- wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (z. B. bei Auskunftei, Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
In den beiden letzten Fällen kommt e...