Voraussetzungen/Qualifikationen des Datenschutzbeauftragten
Gemäß Art. 37 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation, insbesondere seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis, sowie auf der Grundlage seiner Fähigkeit, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen, bestellt.
Der Datenschutzbeauftragte kann beim Verantwortlichen oder beim Auftragsverarbeiter angestellt sein (interner Datenschutzbeauftragter) oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags wahrnehmen (externer Datenschutzbeauftragter).
Datenschutzbeauftragter Kündigungsschutz
Bestimmte Ämter (Betriebsrat, Schwerbehindertenvertretung) und Beauftragte (Immissionsschutzbeauftragte, Gewässerschutzbeauftragte) im Betrieb, die die Einhaltung der Gesetze überwachen, werden durch einen besonderen Kündigungsschutz vor einer ordentlichen Kündigung des Arbeitgebers geschützt. D.h. eine Kündigung ist nur noch aus wichtigem Grund möglich. Die DSGVO sichert den Datenschutzbeauftragten in seiner Stellung nicht so stark ab wie das BDSG a.F. Der Verantwortliche oder der Auftragsverarbeiter dürfen den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligen (vgl. Art. 38 Abs. 3 S. 2 DSGVO). Ein besonderer Kündigungsschutz ist in der DSGVO nicht vorgesehen.
Besonderer Kündigungsschutz
Interne Datenschutzbeauftragte genießen nach dem § 6 Abs. 4 BDSG n. F. (Datenschutzbeauftragte von öffentlichen Stellen) bzw. § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG (DSB von nicht-öffentlichen Stellen) wie bereits durch § 4 f Abs. 3 BDSG a.F. weiterhin einen besonderen Kündigungsschutz. Besonderer Kündigungsschutz bedeutet, dass eine Kündigung des Arbeitsverhältnisses grds. unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle bzw. nicht-öffentliche Stelle zur Kündigung aus wichtigem Grund (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB) ohne Einhaltung einer Kündigungsfrist berechtigen. Ein besonderer Kündigungsschutz besteht jedoch nur, wenn auch die Pflicht zu Benennung eines Datenschutzbeauftragten bestand wie sich aus § 38 Abs. 2 BDSG n.F. ergibt.
Nachwirkung des besonderen Kündigungsschutzes
Dieser besondere Kündigungsschutz wirkt zugunsten des Datenschutzbeauftragten nach. D.h. nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiter unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
Hinweis: Zu beachten ist, dass der besondere Kündigungsschutz für interne Datenschutzbeauftragte bei nicht-öffentlichen Stellen nur eingreift, soweit auch eine Benennungspflicht besteht. Dies bedeutet, dass die DSGVO oder das BDSG die Bestellung eines Datenschutzbeauftragten zwingend vorsehen muss, damit der besondere Kündigungsschutz zugunsten des Datenschutzbeauftragten besteht. Wurde der Datenschutzbeauftragte hingegen freiwillig bestellt, muss er nach dem Wortlaut des § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 2. HS. BDSG keinen besonderen Kündigungsschutz genießen.
Die Abberufung des Datenschutzbeauftragten
Der Datenschutzbeauftragte kann von den Verantwortlichen oder vom Auftraggeber unter sehr hohen Anforderungen abberufen werden. Das Gesetz selbst definiert eine Abberufung nicht. Durch die Abberufung wird dem Datenschutzbeauftragten die Bestellung als Datenschutzbeauftragter entzogen. Nach § 6 BDSG Abs. 4 n.F. ist eine Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig, d.h. es muss ein wichtiger Grund vorliegen. Als wichtige Gründe kommen in Betracht: Dauerhafte Verletzung der Überwachungspflichten als Datenschutzbeauftragter, Interessenkonflikte, Fehlen der erforderlichen Fachkunde (keine Teilnahme an Fortbildungsveranstaltungen über einen längeren Zeitraum und auch keine sonstigen Fortbildungsnachweise seit der Bestellung).
Darüber hinaus kann die Aufsichtsbehörde nach § 40 Abs. 6 S. 2 BDSG n.F. die Abberufung des Datenschutzbeauftragten verlangen, wenn der Datenschutzbeauftragte nicht die erforderliche Fachkunde besitzt oder ein schwerwiegender Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO vorliegt.
Die Haftung des Datenschutzbeauftragten
Grundsätzlich haftet die verantwortliche Stelle.
Die DSGVO stellt ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auftragsverarbeiters bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Bestimmungen der DSGVO und anderen Datenschutzvorschriften erfolgen (Art. 24 Abs. 1 DSGVO). Dennoch sind Konstellationen denkbar, in denen eine Haftung/Durchgriffshaftung möglich ist, z.B. wenn ein Datenschutzbeauftragter den Verantwortlichen oder Auftragsverarbeiter falsch berät oder Beschäftigte in einer Schulung falsch informiert und es in der Folge zu Schadensersatzansprüchen z.B. wegen einer Datenschutzpanne oder einer unzulässigen Verarbeitung personenbezogener Daten kommt.
Daher ist es wichtig, sich im Rahmen einer Risikofolgenabschätzung (Datenschutzfolgenabschätzung) über das Ausmaß des potenziellen Risikos bewusst zu werden und zumindest zu versuchen, den internen Datenschutzbeauftragten und die verantwortliche Stelle entsprechend zu versichern.
Haftung des internen Datenschutzbeauftragten
Ein Schaden der verantwortlichen Stelle kann z. B. entstehen, wenn aufgrund einer fehlerhaften Beratung durch den internen Datenschutzbeauftragten von der Aufsichtsbehörde ein Bußgeld gegen die verantwortliche Stelle verhängt wird. Ein Schadensersatzanspruch der verantwortlichen Stelle gegen den internen Datenschutzbeauftragten ergibt sich in der Regel aus § 280 BGB. Wobei im Arbeitsverhältnis die arbeitsrechtliche Beweislastverteilung nach § 619a BGB zu beachten ist, die abweichend vom Grundsatz des § 280 Abs. 1 BGB regelt, dass der Arbeitnehmer dem Arbeitgeber nur dann Schadensersatz zu leisten hat, wenn der Arbeitnehmer die Pflichtverletzung auch zu vertreten hat, d.h. anders als bei § 280 Abs. 1 BGB wird ein Vertretenmüssen nicht vermutet. Darüber hinaus sind im Arbeitsverhältnis die besonderen Grundsätze der arbeitsrechtlichen Arbeitnehmerhaftung (innerbetrieblicher Schadensausgleich) zu beachten. Die Grundsätze des innerbetrieblichen Schadensausgleichs sind von der Rechtsprechung entwickelt worden. Danach haftet ein Arbeitnehmer dem Arbeitgeber bei betrieblich veranlassten Tätigkeiten nur eingeschränkt. Bei einfacher Fahrlässigkeit haftet der Arbeitnehmer nicht, bei mittlerer Fahrlässigkeit eingeschränkt und bei grober Fahrlässigkeit und Vorsatz in der Regel voll, wobei die individuellen Haftungsgrenzen im Einzelfall vom Gericht festgelegt werden. Betrieblich veranlasste Tätigkeiten sind solche, die durch den Arbeitsvertrag übertragen sind oder die der Arbeitnehmer im Interesse des Arbeitgebers für den Betrieb ausführt.
Das Gehalt eines Datenschutzbeauftragten
An dieser Stelle kann keine verbindliche Angabe getätigt werden, da das Gehalt des Datenschutzbeauftragten von vielen Kriterien abhängt:
- Fachliche Kenntnisse,
- besondere Qualifikationen,
- besondere branchenspezifische Kenntnisse,
- Größe und Risikoumfang des Betriebes etc.
Letztlich bestimmen Angebot und Nachfrage den Marktpreis. Derzeit ist es aufgrund der hohen Nachfrage schwierig, bereits eingearbeitete und erfahrene Datenschutzbeauftragte zu finden. Je nach Größe des Unternehmens kann eine finanzielle Abwägung getroffen werden, was mittel- und langfristig sinnvoller ist: ein interner oder ein externer Datenschutzbeauftragter.