Reuschlaw

Der unge­lieb­te Daten­schutz­be­auf­trag­te (DSB)

Kün­di­gung und Abbe­ru­fung von Datenschutzbeauftragten

Daten­schutz­be­auf­trag­te sind Arbeit­neh­mer oder exter­ne Dienst­leis­ter. Die Datenschutz-Grundverordnung (DSGVO) stat­tet sie mit einer beson­de­ren Rechts­stel­lung aus. Ins­be­son­de­re unter­lie­gen Daten­schutz­be­auf­trag­te bei der Erfül­lung ihrer Auf­ga­ben kei­nen Anwei­sun­gen. Dane­ben ver­leiht ihnen das Bun­des­da­ten­schutz­ge­setz (BDSG) einen Son­der­kün­di­gungs­schutz. Dies bedeu­tet jedoch kei­nes­wegs, dass Unter­neh­men gegen­über ihren Daten­schutz­be­auf­trag­ten macht­los wären. Wir geben einen Über­blick über die recht­li­che Hand­ha­be bei Pflichtverstößen.

Wie wer­de ich ihn los? 

Die denk­ba­ren Kon­stel­la­tio­nen sind viel­fäl­tig: Grund­sätz­lich kann der Daten­schutz­be­auf­trag­te sei­ne Pflich­ten gegen­über sei­nem Arbeit­ge­ber in vie­len Zusam­men­hän­gen ver­let­zen. Kön­nen die Kon­flik­te nicht auf ande­rem Wege gelöst wer­den, kann sich die Fra­ge stel­len, ob man den Daten­schutz­be­auf­trag­ten kün­di­gen oder abbe­ru­fen kann. Dabei ist zu dif­fe­ren­zie­ren: Ver­letzt der Daten­schutz­be­auf­trag­te Pflich­ten, die gera­de aus sei­nem Amt als Daten­schutz­be­auf­trag­ter rüh­ren, ist eine Kün­di­gung aus­ge­schlos­sen. Für die­se Fäl­le kommt ledig­lich eine Abbe­ru­fung in Betracht, wie jüngst das ArbG Heil­bronn urteil­te. Die Abbe­ru­fung ist nach § 6 Abs. 4 S. 1 BDSG nur in ent­spre­chen­der Anwen­dung der Rege­lun­gen über die außer­or­dent­li­che Kün­di­gung zuläs­sig. Inso­weit bestehen hohe Hür­den. Der Daten­schutz­be­auf­trag­te soll gera­de nicht befürch­ten, dass er wegen kon­se­quen­ter Wahr­neh­mung sei­ner Auf­ga­ben durch Abbe­ru­fung bestraft wird. Eine Abbe­ru­fung kommt ins­be­son­de­re bei schwer­wie­gen­den Haupt- und Neben­pflicht­ver­let­zun­gen, wie z.B. weit­rei­chen­der Ver­nach­läs­si­gung sei­ner Unterrichtungs- und Bera­tungs­pflich­ten oder dem per­ma­nen­ten Igno­rie­ren von Über­wa­chungs­auf­ga­ben, in Betracht.

Wer haf­tet für wen?

Bei Daten­schutz­ver­stö­ßen kann Unter­neh­men aus unter­schied­li­chen Rich­tun­gen finan­zi­el­les Unge­mach dro­hen. Nach Art. 82 DSGVO kön­nen natür­li­che Per­so­nen wegen mate­ri­el­ler oder imma­te­ri­el­ler Schä­den Scha­dens­er­satz­an­sprü­che gel­tend machen. Zudem kön­nen die Daten­schutz­auf­sichts­be­hör­den erheb­lich Buß­gel­der ver­hän­gen. Der Daten­schutz­be­auf­trag­te selbst ist die­sen Ansprü­chen nicht direkt aus­ge­setzt. Gehen die­se Ansprü­che gegen Unter­neh­men auf Pflicht­ver­let­zun­gen des Daten­schutz­be­auf­trag­ten zurück, stellt sich die Fra­ge jedoch nach Regress­an­sprü­chen. Sol­che kön­nen grund­sätz­lich nach all­ge­mei­nen ver­trag­li­chen Grund­sät­zen bestehen. Bei inter­nen Daten­schutz­be­auf­trag­ten sind die arbeits­recht­li­chen Beson­der­hei­ten zu beach­ten. Nach den Grund­sät­zen des inner­be­trieb­li­chen Scha­dens­aus­gleichs haf­tet der Arbeit­neh­mer nur bei gro­ber Fahr­läs­sig­keit zu 100 Pro­zent. Des Wei­te­ren muss der Arbeit­ge­ber nach § 619a BGB nach­wei­sen, dass der Daten­schutz­be­auf­trag­te die Pflicht­ver­let­zung zu ver­tre­ten hat. Ins­be­son­de­re wenn der Daten­schutz­be­auf­trag­te sei­nen Über­wa­chungs­pflich­ten gar nicht nach­kommt, ohne dass beson­de­re Grün­de ersicht­lich wären, kom­men Regress­an­sprü­che auch in vol­lem Umfang in Betracht. Bei exter­nen Daten­schutz­be­auf­trag­ten gel­ten die­se Ein­schrän­kun­gen nicht – eine voll­stän­di­ge Haf­tung kann also bereits bei leich­ter Fahr­läs­sig­keit bestehen. 

Fazit

Es gibt gute Grün­de für die gesetz­ge­be­ri­sche Ent­schei­dung, dem Daten­schutz­be­auf­trag­ten einen beson­de­ren Schutz und eine beson­de­re Unab­hän­gig­keit im Unter­neh­men zuzu­bil­li­gen. Den­noch sind Unter­neh­men nicht macht­los: Bei schwe­ren Pflicht­ver­let­zun­gen kön­nen Abbe­ru­fung oder frist­lo­se Kün­di­gung in Betracht kom­men. Sind Unter­neh­men wegen Pflicht­ver­let­zun­gen des Daten­schutz­be­auf­trag­ten Buß­gel­dern oder Scha­dens­er­satz­an­sprü­chen aus­ge­setzt, kön­nen ent­spre­chen­de Regress­an­sprü­che bestehen.

Haus­nach­richt

Für den 15.–16. Juni 2023 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence mit uns und mit Ver­tre­te­rin­nen und Ver­tre­tern aus der Wirt­schaft, den Auf­sichts­be­hör­den und der Wis­sen­schaft über tech­ni­sche und recht­li­che Her­aus­for­de­run­gen und Lösun­gen für Cyber­si­cher­heit zu dis­ku­tie­ren. Neben Trends und Zukunfts­the­men, wie Software-Lieferketten, Künst­li­che Intel­li­genz oder cyber­phy­si­sche Öko­sys­te­me, ste­hen auch die Bezü­ge zum Daten­schutz und IT-Recht auf der Agen­da. Jetzt anmel­den!

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.