Hat sich ein Unternehmen einmal für einen internen Datenschutzbeauftragten entschieden, kann es diesen später nicht deshalb abberufen, weil es aus wirtschaftlichen oder organisatorischen Überlegungen einen externen Datenschutzbeauftragten bevorzugt.
Das Bundesarbeitsgericht hatte u.a. hierüber in einem Urteil aus dem Jahr 2011 zu entscheiden. Die Klägerin war bei der Beklagten beschäftigt und war von dieser schriftlich zur internen betrieblichen Datenschutzbeauftragten bestellt worden. Zur Erfüllung ihrer Aufgaben als Datenschutzbeauftragte wandte die Klägerin ca. 30 % ihrer Arbeitszeit auf. Zu ca. 70 % arbeitete sie in ihrem ursprünglichen Aufgabenbereich. Die Geschäftsleitung der Beklagten beschloss später, den betrieblichen Datenschutz für ihr Unternehmen zukünftig von einem externen Dritten wahrnehmen zu lassen. Sie widerrief deshalb schriftlich die Bestellung der Klägerin zur internen betrieblichen Datenschutzbeauftragten. Unter anderem hiergegen klagte die Arbeitnehmerin. Der Sachverhalt, über den das Bundesarbeitsgericht zu entscheiden hatte, war noch komplexer und enthielt noch weitere juristische Fragestellungen, auf die an dieser Stelle jedoch nicht eingegangen werden soll.
Das BAG entschied im Urteil vom 23. März 2011 (Az.: 10 AZR 562/09), dass der Widerruf der Bestellung zur betrieblichen Datenschutzbeauftragten rechtsunwirksam war. Der Widerruf der Bestellung der Klägerin zur betrieblichen Datenschutzbeauftragten genüge nicht den Anforderungen des § 4f Abs. 3 Satz 4 BDSG. Diese Regelung gewähre einen besonderen Abberufungsschutz für die Beauftragten für den Datenschutz durch den Verweis auf § 626 BGB. Die Stellung des Datenschutzbeauftragten, sein Amt weisungsfrei ausüben zu können und wegen der Erfüllung seiner Aufgaben nicht beeinträchtigt zu werden, solle so abgesichert werden. Eine Abberufung solle nur möglich sein, wenn objektive und schwerwiegende Gründe diese rechtfertigen. Eine weitere Tätigkeit als Beauftragter für den Datenschutz müsse für das Unternehmen unzumutbar sein. Als wichtige Gründe kämen insbesondere solche in Betracht, die mit der Funktion und Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der Kontrollpflichten als Datenschutzbeauftragter. Auch die wirksame Beendigung des zugrunde liegenden Arbeitsverhältnisses könne ein wichtiger Grund für den Widerruf der Bestellung eines internen Beauftragen für den Datenschutz sein.
Einen solch wichtigen Grund sah das BAG im vorliegenden Fall nicht. Die von der Beklagten durchgeführte bzw. geplante organisatorische Änderung, nach der der betriebliche Datenschutz zukünftig durch einen externen statt durch einen internen Datenschutzbeauftragten gewährleistet werden soll, rechtfertige den Widerruf der Bestellung aus wichtigem Grund nicht. Bei der erstmaligen Bestellung eines Beauftragten für den Datenschutz habe das Unternehmen zwar eine Entscheidungsfreiheit, ob es einen internen oder externen Datenschutzbeauftragten bestellen will. Dieser Umstand rechtfertige es aber nicht, einen bereits bestellten Beauftragten für den Datenschutz ohne Weiteres aufgrund einer erneuten Organisationsentscheidung wieder abzuberufen. Die Zulassung einer jederzeitigen Widerrufsmöglichkeit aufgrund einer organisatorischen Änderung und die generelle Anerkennung einer freien Strukturentscheidung als wichtiger Grund würden dazu führen, den besonderen Abberufungsschutz, der insbesondere der Sicherung der unabhängigen Stellung des Datenschutzbeauftragten dient, zur Disposition des Unternehmens zu stellen.
Befristung möglich
Will man als Unternehmen eine solche weitgehende Bindung vermeiden besteht die Möglichkeit, einen internen betrieblichen Datenschutzbeauftragten ggf. befristet zu bestellen. Dieser Ansatz wird von der wohl herrschenden Meinung als zulässig angesehen, sofern die Befristung nicht zu kurz gewählt ist. Oder man entscheidet sich für die Bestellung eines externen Datenschutzbeauftragten durch die Beauftragung einer externen Beratungsfirma, da § 626 BGB auf diese Vertragstypen keine Anwendung finden soll. Externe Datenschutzbeauftragte in freier Mitarbeiterschaft sollen hingegen unter den Anwendungsbereich des § 4f Abs. 3 Satz 4 BDSG fallen. Eine Änderung dieser Rechtslage durch die DSGVO und das neue BDSG tritt meines Erachtens nicht ein.
Von Martin Pessara