Die (Be-)Stellung eines betrieblichen Datenschutzbeauftragten: Zum Schwellenwert der Bestellpflicht und den kündigungsrechtlichen Folgen bei deren Unterschreiten.
Nicht erst seitdem das neue Datenschutzrecht nach Maßgabe der DSGVO gilt, sind auch kleinere Unternehmen zur Bestellung eines eigenen Datenschutzbeauftragten (DSB) verpflichtet. Lag die Schwelle bei Inkrafttreten des neuen Bundesdatenschutzgesetzes (BDSG) im Mai 2018 noch bei zehn Mitarbeitern, die personenbezogene Daten verarbeiten, wurde diese Schwelle Ende 2019 auf 20 Mitarbeiter angehoben, § 38 Abs.1 S.1 BDSG.
Der Bestellung zum internen Datenschutzbeauftragten folgt ein umfassender Kündigungsschutz, der die Unabhängigkeit der Amtsführung gewährleisten soll. Der Kündigungsschutz orientiert sich an dem der Betriebsräte.
Das Bundesarbeitsgericht (BAG, Urteil vom 5. Dezember 2019 – 2 AZR 223/19) hat nunmehr den zeitlichen Umfang dieses Kündigungsschutzes für den Fall konkretisiert, dass während der Amtszeit des DSB die Mitarbeiterschwelle unterschritten wird, die für die Bestellpflicht maßgebend ist.
Die noch zum vor Mai 2018 geltenden Recht ergangene Entscheidung gibt auch Aufschluss über die Handhabung des neuen Rechts und sorgt im Umgang mit dem DSB für weitere Rechtsklarheit.
Die Bestellpflicht des DSB: Anhebung des Schwellenwerts seit Ende 2019
Mit der Anhebung der Bestellungspflicht erst ab 20 Mitarbeitern Ende 2019 trägt der Gesetzgeber dem praktischen Bedürfnis Rechnung, nicht bereits kleinste und kleine mittelständische Unternehmen der Pflicht zur Bestellung eines hinreichend qualifizierten DSB zu unterwerfen. Allerdings bleibt auch mit dieser Anhebung die Bestellungspflicht nach dem deutschen Recht weitaus strenger als in den anderen EU-Mitgliedsstaaten, die darüber keine nationalen Regelungen getroffen haben und somit nur die DSGVO Anwendung findet.
Für den Schwellenwert sind zwar nach dem Wortlaut von § 38 Abs. 1 BDSG nur jene Arbeitnehmer zu berücksichtigen, die in der Regel mit der automatisierten Verarbeitung personenbezogener Daten betraut werden. In Zeiten, in denen nahezu sämtliche Mitarbeiter über Dienst-PCs verfügen oder zumindest über Smart-Devices vernetzt sind, ist dieses Kriterium in der Praxis keine wirkliche Einschränkung. Denn schon die bloße E-Mail-Kommunikation reicht für die Annahme eines derartigen Umgangs aus. Auch Monteure im Außendienst sehen Kundendaten ein und bearbeiten diese.
Wie häufig oder intensiv auf derartige Daten zugegriffen wird, ist nach aus unserer Sicht unzutreffender Auffassung des Nordrhein-Westfälischen Datenschutzbeauftragten hingegen irrelevant. Wo das BDSG von „ständig″ spricht, kann eine nur gelegentliche Verarbeitung eben gerade nicht ausreichen.
Für die Bestimmung des Schwellenwertes sind nicht nur Arbeitnehmer im engeren Sinne, sondern alle Beschäftigten, also auch freie, Teilzeit- oder im Wege der Arbeitnehmerüberlassung beschäftigte Mitarbeiter zu berücksichtigen. Kurzfristige Schwankungen der Mitarbeiterzahl bleiben bei der Bestimmung unberücksichtigt, ebenso wie die unabhängig tätigen Mitglieder der Geschäftsleitung.
Aber auch unabhängig von dem Schwellenwert enthält das BDSG eine weitere in der Praxis oft übersehene Verschärfung gegenüber der DSGVO. Denn die Pflicht zur Bestellung eines DSB wird auch ausgelöst, sobald Datenverarbeitungen vorgenommen werden, die eine Datenschutz-Folgenabschätzung erforderlich machen, § 67 BDSG, Art. 35 DSGVO. Blickt man einmal in den Kriterienkatalog sowie die Black- und Whitelists der Aufsichtsbehörden, so stellt man fest, dass Arbeitgeber sehr leicht die (mindestens) zwei hierfür notwendigen Kriterien erfüllen. Hier besteht dringender Klarstellungsbedarf zumindest dahingehend, dass Arbeitnehmer nicht per se unter das Kriterium der „schutzbedürftigen betroffenen Person″ einer Datenverarbeitung fallen.
Demgegenüber statuiert die DSGVO selbst eine Pflicht (erst) dann, wenn die Kerntätigkeit, d.h. die Haupttätigkeit eines Unternehmens und damit verbundene unterstützende Tätigkeiten (Kurzpapier Nr. 12 der DSK, S. 1) darin bestehen, Personen umfangreich und systematisch zu überwachen oder besonders sensible Daten nach Art. 9 DSGVO (rassistische oder ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung) zu verarbeiten.
Hinreichende Qualifikation des Datenschutzbeauftragten
Insbesondere für Geschäftsführer kleiner bis mittelständischer Unternehmen, die wegen der Art ihrer Tätigkeit oder der Mitarbeiteranzahl der Bestellpflicht unterliegen, stellt sich das Problem, dass sie ihren Organisationspflichten nur nachkommen, wenn sie einen hinreichend qualifizierten DSB bestellen. Wenn ein eigener Mitarbeiter zum internen Datenschutzbeauftragten bestellt werden soll, muss dieser somit umfassend geschult werden. Die Erlangung einer entsprechenden Zertifizierung ist zwar in Lehrgängen von einigen Tagen möglich und wird soweit ersichtlich auch in der Praxis anerkannt. Ob damit allerdings bereits die Qualifikation erworben wird, die Funktion des Datenschutzbeauftragten in der Praxis kompetent auszufüllen, darf zumindest bezweifelt werden.
Hinzu kommt, dass dem bestellten DSB weitgehende Unabhängigkeit garantiert werden und ausgeschlossen sein muss, dass in der Person des DSB ein Interessenkonflikt mit seinen sonstigen Aufgaben entsteht. Insbesondere darf der DSB nicht selbst regelmäßigen Umgang mit derartigen Daten haben, damit er sich letzten Endes nicht selbst kontrolliert. So dürfen beispielsweise der Leiter der IT- oder Personalabteilung sowie natürlich der Geschäftsführer selbst nicht zum Datenschutzbeauftragten bestellt werden.
Insbesondere kleineren Unternehmen sei daher die Bestellung eines externen Datenschutzbeauftragten empfohlen. Hier kann – zumindest bei etablierten Anbietern – prinzipiell von größerer Sachkenntnis und Erfahrung ausgegangen werden.
BAG: Kündigungsschutz nur, solange Voraussetzungen der Bestellpflicht gegeben sind
Noch zum alten vor Mai 2018 geltenden Recht hat das BAG die zeitliche Dimension des Kündigungsschutzes des DSB präzisiert (Urteil vom 5. Dezember 2019 – 2 AZR 223/19). Die dort angestellten Erwägungen lassen sich nahezu vollständig auf das neue Recht übertragen, da das neue BDSG insofern der bisherigen, nationalen Rechtslage entsprechen will (BT-DrS 18/11325, S. 82.).
Der Entscheidung zugrunde lag die Kündigung des DSB, der sich im Verfahren auf seinen besonderen Kündigungsschutz in dieser Eigenschaft nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 BDSG berief. Der DSB wurde bestellt, nachdem die Schwelle zur Bestellpflicht überschritten war. Im Zeitpunkt des Zugangs der Kündigung war diese Schwelle im Unternehmen indessen wieder unterschritten.
Das BAG stellt klar, dass bereits das Unterschreiten der maßgeblichen Anzahl der mit Datenverarbeitungen in der Regel betrauten Arbeitnehmer im Unternehmen ausreicht, um seinen besonderen Kündigungsschutz zu beenden. Reduziert sich die Anzahl der mit Datenverarbeitungen vertrauten Mitarbeiter unter die Schwelle der Bestellpflicht, sei ein derart weitgehender Kündigungsschutz im Interesse eines effektiven Datenschutzes und zum Zwecke der Gewährleistung seiner Unabhängigkeit nicht mehr gerechtfertigt.
Dabei ist der (ehemalige) DSB keineswegs schutzlos gestellt: Ihm kommt vielmehr der nachwirkende Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 3 BDSG zugute, der ihn ein Jahr nach Ende der Tätigkeit als DSB vor einer ordentlichen Kündigung schützt.
Konsequenzen der Entscheidung: Automatischer Verlust des Amtes als verpflichtend zu bestellender DSB bei Wegfall der Voraussetzungen
Hinsichtlich der Bestimmung des Zeitpunktes des Erreichen der Schwellenuntergrenze gelten die dargelegten Grundsätze: Maßgebend ist nicht das tatsächliche Unterschreiten einer bestimmten Mitarbeiterzahl, sondern die Betrachtung des planmäßigen, regelmäßigen Beschäftigungsbedarfes für Mitarbeiter, die im Unternehmen mit personenbezogenen Daten regelmäßig umgehen. In der Regel dürfte es damit auf den Zeitpunkt ankommen, in dem eine organisatorische oder personalplanerische Entscheidung getroffen wird, die zu einer entsprechenden, langfristigen Reduktion datenverarbeitender Mitarbeiter führt.
Sofern sich dann auch keine Bestellpflicht aus anderen Umständen ergibt, entfällt nach richtiger Ansicht des BAG das Amt als verpflichtend bestellter DSB automatisch, eines Widerrufs bedarf es nicht. Das bedeutet aber nach der Ansicht des BAG offenbar nur, dass der Sonderkündigungsschutz in diesem Moment entfällt, da es sich nicht mehr um einen per Gesetz verpflichtend zu bestellenden DSB handelt. Bis zum Widerruf der Bestellung versieht der DSB seine Funktion nach Ansicht des BAG dann als freiwillig bestellter DSB, der dann nur noch den nachlaufenden Kündigungsschutz genießt.
Nicht entschieden, aber hierfür Sympathie geäußert hat das BAG die Frage, ob im Fall des erneuten Überschreitens des Schwellenwertes der DSB dann automatisch wieder in die Funktion als verpflichtend bestellter DSB einrückt, sofern der Arbeitgeber nicht in der Zwischenzeit die Bestellung widerrufen hat. Hierfür spricht einiges, denn es ist nicht publizitätspflichtig, ob es sich bei der Bestellung eines DSB um eine verpflichtende oder eine freiwillige Bestellung handelt. Für den Fall, dass die gesetzlichen Voraussetzungen vorliegen, kann bei einem tatsächlich bestellten DSB nicht mehr von einer freiwilligen Bestellung ausgegangen werden.
Im Ergebnis sollten insbesondere kleinere und mittlere Unternehmen aufgrund der Wichtigkeit der Funktion für die datenschutzrechtliche Compliance, aber auch wegen der mit dem Sonderkündigungsschutz einhergehenden Probleme die Bestellung eines externen DSB vorziehen. Sofern ein interner DSB bestellt wird, sollte von der Möglichkeit der Befristung der Bestellung Gebrauch gemacht werden, um den betreffenden Mitarbeiter nicht für prinzipiell unbegrenzte Zeit faktisch in eine unkündbare Stellung zu heben.
