Kündigung und Abberufung von Datenschutzbeauftragten
Datenschutzbeauftragte sind Arbeitnehmer oder externe Dienstleister. Die Datenschutz-Grundverordnung (DSGVO) stattet sie mit einer besonderen Rechtsstellung aus. Insbesondere unterliegen Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben keinen Anweisungen. Daneben verleiht ihnen das Bundesdatenschutzgesetz (BDSG) einen Sonderkündigungsschutz. Dies bedeutet jedoch keineswegs, dass Unternehmen gegenüber ihren Datenschutzbeauftragten machtlos wären. Wir geben einen Überblick über die rechtliche Handhabe bei Pflichtverstößen.
Wie werde ich ihn los?
Die denkbaren Konstellationen sind vielfältig: Grundsätzlich kann der Datenschutzbeauftragte seine Pflichten gegenüber seinem Arbeitgeber in vielen Zusammenhängen verletzen. Können die Konflikte nicht auf anderem Wege gelöst werden, kann sich die Frage stellen, ob man den Datenschutzbeauftragten kündigen oder abberufen kann. Dabei ist zu differenzieren: Verletzt der Datenschutzbeauftragte Pflichten, die gerade aus seinem Amt als Datenschutzbeauftragter rühren, ist eine Kündigung ausgeschlossen. Für diese Fälle kommt lediglich eine Abberufung in Betracht, wie jüngst das ArbG Heilbronn urteilte. Die Abberufung ist nach § 6 Abs. 4 S. 1 BDSG nur in entsprechender Anwendung der Regelungen über die außerordentliche Kündigung zulässig. Insoweit bestehen hohe Hürden. Der Datenschutzbeauftragte soll gerade nicht befürchten, dass er wegen konsequenter Wahrnehmung seiner Aufgaben durch Abberufung bestraft wird. Eine Abberufung kommt insbesondere bei schwerwiegenden Haupt- und Nebenpflichtverletzungen, wie z.B. weitreichender Vernachlässigung seiner Unterrichtungs- und Beratungspflichten oder dem permanenten Ignorieren von Überwachungsaufgaben, in Betracht.
Wer haftet für wen?
Bei Datenschutzverstößen kann Unternehmen aus unterschiedlichen Richtungen finanzielles Ungemach drohen. Nach Art. 82 DSGVO können natürliche Personen wegen materieller oder immaterieller Schäden Schadensersatzansprüche geltend machen. Zudem können die Datenschutzaufsichtsbehörden erheblich Bußgelder verhängen. Der Datenschutzbeauftragte selbst ist diesen Ansprüchen nicht direkt ausgesetzt. Gehen diese Ansprüche gegen Unternehmen auf Pflichtverletzungen des Datenschutzbeauftragten zurück, stellt sich die Frage jedoch nach Regressansprüchen. Solche können grundsätzlich nach allgemeinen vertraglichen Grundsätzen bestehen. Bei internen Datenschutzbeauftragten sind die arbeitsrechtlichen Besonderheiten zu beachten. Nach den Grundsätzen des innerbetrieblichen Schadensausgleichs haftet der Arbeitnehmer nur bei grober Fahrlässigkeit zu 100 Prozent. Des Weiteren muss der Arbeitgeber nach § 619a BGB nachweisen, dass der Datenschutzbeauftragte die Pflichtverletzung zu vertreten hat. Insbesondere wenn der Datenschutzbeauftragte seinen Überwachungspflichten gar nicht nachkommt, ohne dass besondere Gründe ersichtlich wären, kommen Regressansprüche auch in vollem Umfang in Betracht. Bei externen Datenschutzbeauftragten gelten diese Einschränkungen nicht – eine vollständige Haftung kann also bereits bei leichter Fahrlässigkeit bestehen.
Fazit
Es gibt gute Gründe für die gesetzgeberische Entscheidung, dem Datenschutzbeauftragten einen besonderen Schutz und eine besondere Unabhängigkeit im Unternehmen zuzubilligen. Dennoch sind Unternehmen nicht machtlos: Bei schweren Pflichtverletzungen können Abberufung oder fristlose Kündigung in Betracht kommen. Sind Unternehmen wegen Pflichtverletzungen des Datenschutzbeauftragten Bußgeldern oder Schadensersatzansprüchen ausgesetzt, können entsprechende Regressansprüche bestehen.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!