Die Unabhängigkeit des Datenschutzbeauftragten

Urteil

Die Unabhängigkeit des Datenschutzbeauftragten beschäftigte das VG Stuttgart in einem aktuellen Urteil. Hierbei ging es um die Fragestellung, ob die Befristung der Stelle des Datenschutzbeauftragten generell möglich ist und ob die Aufsichtsbehörden die Befugnis haben, eine Entfristung der Stellung eines Datenschutzbeauftragten anzuordnen. Lesen Sie in diesem Artikel alles Wichtige zum Urteil.

Was war passiert?

Das Verwaltungsgericht Stuttgart beschäftigte sich im Urteil vom 11.11.2021 (Az. 11 K 17/21) mit der Befristung des Amtes des Datenschutzbeauftragten (DSB). Der Kläger war angestellt bei dem beigeladenen Forschungsinstitut und bestellt als interner Datenschutzbeauftragter. Die Vertragslaufzeit war zunächst befristet für den Zeitraum vom 01.03.2019 bis 28.02.2021, also für 2 Jahre. Der Kläger wurde dann ab dem 01.08.2019 bis 28.02.2021 als interner Datenschutzbeauftragter bestellt.

Nachdem der Kläger im Praxisratgeber („Praxisratgeber – die/der Beauftragte für den Datenschutz – Teil II“) der Beklagten Aufsichtsbehörde las, eine Befristung sei unzulässig, forderte er seinen Arbeitgeber auf, das Beschäftigungsverhältnis zu entfristen. Dieser weigerte sich, woraufhin der Arbeitnehmer Beschwerde bei der zuständigen Aufsichtsbehörde erhob. Diese stellte fest, dass eine Entfristung nur vor dem Arbeitsgericht möglich sei, im Rahmen einer Befristungskontrollklage. Der Kläger erhob daraufhin Klage vor dem Verwaltungsgericht gegen die Aufsichtsbehörde, um sie zur Anordnung der Aufhebung der Befristung zu verpflichten.

„Da die DSB eine besondere, unabhängige und weisungsfreie Position beim Verantwortlichen innehat, ihm ein besonderer Abberufungs- und Kündigungsschutz zusteht und ein Benachteiligungsverbot besteht, würde jede Befristung die Stellung der DSB in unzulässiger Weise einschränken bzw. aushebeln. Dies galt auch bisher schon unter dem alten BDSG. Auch würde eine Befristung dazu führen, dass man sich einer zu kritischen oder unbeliebten DSB relativ einfach „entledigen“ könnte.“ (Praxisratgeber – die/der Beauftragte für den Datenschutz – Teil II)

Die Stellung des Datenschutzbeauftragten

Der interne Datenschutzbeauftragte hat eine besondere Stellung im Unternehmen, so steht er zum einen in einem Austauschverhältnis mit dem Arbeitgeber als Arbeitnehmer und ist zum anderen unabhängig von den Weisungen des Arbeitgebers in der Stellung als Datenschutzbeauftragter. Dieses Spannungsverhältnis birgt Konfliktpotenzial.

Der DSB soll zum einen durch Art. 38 Abs. 3 DSGVO geschützt werden und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die nationale Regelung in § 6 Abs. 4 BDSG geht sogar noch weiter. Hiernach ist die Kündigung nur wegen eines wichtigen Grundes möglich.

Die Anwendbarkeit von § 6 Abs. 4 BDSG wurde kürzlich durch den EuGH bestätigt. Das Urteil haben wir in einem gesonderten Beitrag besprochen. Der strenge Kündigungsschutz nach § 6 Abs. 4 BDSG gilt nur für interne und nicht für externe DSB, da ausdrücklich nur auf das Arbeitsverhältnis abgestellt wird.

Was wurde entschieden?

Das Verwaltungsgericht lehnte die Klage ab. Es stellte fest, dass die Aufsichtsbehörde schon kein Weisungsrecht hatte, um die Entfristung der Bestellung als Datenschutzbeauftragter anzuordnen, da dies einen erheblichen Eingriff in deren Grundrecht auf unternehmerische Freiheit aus Art. 16 GRCh darstellen würde. Es bedürfe daher einer Befugnisnorm. Dies sei auch nicht durch die Aufgaben und Befugnisse aus Art. 57, 58 DSGVO gedeckt.

Das Gericht entschied, dass die Befristung nicht gegen Datenschutzbestimmungen verstoße. Der Kläger war der Ansicht, dass die Befristung gegen die in Erwägungsgrund 97 beschriebene „vollständige Unabhängigkeit“ verstoße. Daraufhin stellte das Gericht fest, dass es sich durch das zugefügte Hilfsverb „sollte“ schon nur um eine „programmatische Erklärung“ handeln und keine Rechtswirkung entfalten würde. Nach Ansicht des Gerichts ist die Rechtsstellung des Datenschutzbeauftragten von der Rechtsbeziehung zu seinem Arbeitgeber überlagert. So muss die Möglichkeit bestehen, Verstöße gegen innerbetriebliche Regelungen zu sanktionieren sowie mögliche gesetzliche Verbote der Erwerbstätigkeit zu beachten.

Das Gericht stellt fest, dass es nicht sein kann, dass jeder Datenschutzbeauftragte unbefristet beschäftigt werden muss. Jedoch nicht, dass jede Befristung möglich sein soll. Die Zulässigkeit der Befristung des Arbeitsvertrages soll nach den Regelungen des Teilzeit- und Befristungsgesetzes beurteilt werden und damit auch die Befristung des Datenschutzbeauftragten möglich sein.

Befristung immer möglich?

Das Gericht setzt sich auch kurz mit der generellen Möglichkeit auseinander, das Beschäftigungsverhältnis des Datenschutzbeauftragten zu befristen. Das Urteil greift hier jedoch zu kurz. Die Befristung ist nicht nur am Teilzeit- und Befristungsgesetz zu messen. Dies würde den Aufgaben des Datenschutzbeauftragten nicht gerecht werden.

Auch wenn keine Mindestzeit für die Benennung eines DSB vorgegeben ist und eine Befristung grundsätzlich möglich ist, muss zumindest eine Einarbeitungsphase mit eingeplant sein, damit der Datenschutzbeauftragte in der Lage ist, seine Aufgaben gem. Art. 39 DSGVO zu erfüllen.

Weiter besteht bei einer kurzen Befristung die Gefahr, dass der DSB nicht arbeiten kann, ohne dabei um seine Position zu fürchten. Eine Befristung auf einen Zeitraum von weniger als 2 Jahren wird daher regelmäßig unzulässig sein. Abweichungen nach unten oder oben sind hierbei denkbar in Abhängigkeit von der Unternehmensgröße.

Ist die Befristung zu kurz, liegt ggf. keine ordnungsgemäße Benennung vor, weil der DSB nicht in der Lage ist, seinen gesetzlichen Aufgaben nachzukommen. Bei erstmaliger Benennung eines DSB mag eine kurze Probezeit möglich sein, keineswegs zulässig sind kurze Kettenverträge.

Schutz des Datenschutzbeauftragten

Die Stellung des (internen) DSB im Unternehmen ist nicht immer einfach. Er muss einerseits stets für die Einhaltung der Datenschutzbestimmungen sorgen und ist gerade als interner DSB besonders schutzwürdig, da er auch normaler Arbeitnehmer ist, der von der Zahlung des Gehalts durch seinen Arbeitgeber abhängig ist. Eine zu kurze Befristung oder Kettenverträge sind daher insbesondere für interne DSB nicht zulässig.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Wo sind hier die Arbeitsrechtler? Werden sonst Schutzvorschriften für Arbeitnehmer etwa durch Befristungen umgangen, ist der Ruf nach Unwirksamkeit doch sonst unüberhörbar.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.