Datenschutzrecht: Bestellung eines Datenschutzbeauftragten

Das BDSG sieht für Unternehmen die Pflicht vor, einen betrieblichen Datenschutzbeauftragten zu bestellen – das gilt jedenfalls dann, wenn mindestens 9 Mitarbeiter mit der automatisierten Datenverarbeitung beschäftigt sind. Der Datenschutzbeauftragte kann dabei aus dem Kreis der Mitarbeiter ausgewählt werden. Ein solcher interner Datenschutzbeauftragter wiederum genießt einen sehr weit reichenden Kündigungsschutz. Das LAG Sachsen hatte zu entscheiden, welche Anforderungen an die Bestellung eines internen Datenschutzbeauftragten zu stellen sind (LAG Sachsen, Urteil vom 14.02.2014 – 3 Sa 485/13).

Der klagende Arbeitnehmer berief sich auf den besonderen Kündigungsschutz für interne Datenschutzbeauftragte. § 4f  Abs. 3 BDSG sieht nämlich vor, dass ein interner Datenschutzbeauftragter nur gekündigt werden kann, wenn wichtige Gründe eine außerordentliche Kündigung des Arbeitsverhältnisses insgesamt rechtfertigen würden. Selbst nach einer Abberufung des Datenschutzbeauftragten ist dessen Kündigung als Arbeitnehmer erst nach Ablauf eines Jahres zulässig.

Allerdings – und das war der Knackpunkt des Verfahrens vor dem LAG Sachsen – muss die Bestellung nach § 4f Abs. 1 BDSG „schriftlich“ erfolgen. Diese schriftliche Bestellung kann zwar auch direkt im Arbeitsvertrag erfolgen. Jedoch sah der hier streitgegenständliche Arbeitsvertrag hierzu lediglich folgenden Passus vor:

„Das Arbeitsgebiet des Arbeitnehmers umfasst folgende Kernthemen […]: […], im Allgemeinen auch die Aufgabenstellungen eines Datenschutzbeauftragten (die formale Berufung einschließlich der Aktivierung der mit der Berufung verbundenen Rechte und Pflichten für Arbeitnehmer und Arbeitgeber erfolgen im Rahmen der Zertifizierungsprozesse des Arbeitgebers zur ISO 27001 Zertifizierung).“

Hieraus leitete das LAG Sachsen den Schluss ab, dass eine auch formal wirksame Bestellung eben gerade noch nicht mit dem Arbeitsvertrag erfolgen sollte, sondern erst später hätte nachgeholt werden sollen. Denn die Zertifizierung war auch zum Zeitpunkt der Kündigung noch nicht abgeschlossen. Auch wenn das Unternehmen im zu entscheidenden Fall gesetzlich dazu verpflichtet war, einen betrieblichen Datenschutzbeauftragten zu bestellen und der später noch während der Probezeit gekündigte Arbeitnehmer tatsächlich die Aufgaben eines Datenschutzbeauftragten wahrgenommen habe, ergebe sich kein anderes Bild. Insbesondere habe der Arbeitnehmer keinen Anspruch darauf, aus den vorgenannten Gründen auch formal wirksam zum Datenschutzbeauftragten bestellt zu werden.

Die Entscheidung ist nach den Buchstaben des Gesetzes kaum in Frage zu stellen. Es ist dennoch nicht sicher, dass das Bundesarbeitsgericht die anhängige Revision nicht dazu nutzen wird, hier eine abweichende Meinung zu formulieren. Denn angesichts der Umstände (Pflicht zur Bestellung, Aufgabenübertragung an den Arbeitnehmer, Aufgabenwahrnehmung durch den Arbeitnehmer) wäre ein Missbrauch der formal unwirksamen Bestellung nicht auszuschließen. Dies gilt insbesondere deswegen, weil anlassunabhängige Prüfungen durch die Datenschutzaufsichtsbehörden nach wie vor eine Seltenheit sind. Unternehmen laufen also wenig Gefahr, wegen einer formal inkorrekten Bestellung tatsächlich mit möglichen Bußgeldern belangt zu werden. Würde ein formal unwirksam bestellter Datenschutzbeauftragter ansonsten ein hinreichendes Datenschutzniveau im Unternehmen sicherstellen, ließen sich die formal wirksame Bestellung und die damit verbundenen besonderen (Kündigungsschutz-)Rechte im Fall einer Prüfung auch relativ leicht nachholen. Der besondere Schutz für Arbeitnehmer, die als Datenschutzbeauftragte tätig sind, wäre also leicht zu umgehen.

Wie auch immer aber das Bundesarbeitsgericht die Sache entscheidet, dürfte das Urteil eine wichtige Klarstellung für die Voraussetzungen einer formal wirksamen Bestellung eines betrieblichen Datenschutzbeauftragten liefern.

Weitere Beiträge

AÜG in der IT 2024 Teil I

AÜG in der IT – Überlegungen Die Schwierigkeiten sind bekannt. Das Arbeitnehmerüberlassungsgesetz passt nicht für die Belange der IT Branche. Arbeitet ein Mitarbeiter eines IT Unternehmens dauerhaft für einen bestimmten Kunden und ist dieser in den Betrieb und die Betriebsorganisation

Mehr lesen »

Die KI-Verordnung  2024/ Teil I

Gleich zu Beginn ein Hinweis: Es gibt im Netz schon eine große Anzahl von Hinweisen zur neuen KI Verordnung (KI-VO oder AI act). Da ich diese Blogs nun nicht aus wissenschaftlichem Interesse sondern aus der Perspektive der IT Unternehmen schreibe,

Mehr lesen »
Nach oben scrollen