Wackelt der Stuhl der Datenschutzbeauftragten in kleineren und mittleren Unternehmen?

Der Deutsche Bundestag hat am 27. Juni 2019 zwei neue Gesetze beschlossen, die den Datenschutz betreffen. Amtlich handelt es sich um Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679, zur Umsetzung der EU-Richtlinie 2016 / 680 und den Gesetzentwurf der Bundesregierung zur Umsetzung der EU-Richtlinie 2016 / 680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die EU-Verordnung 2016 /279 (die einzelnen Dokumente finden Sie hier).

Diese Gesetze bedingen einige bereichsspezifische Änderungen, die nicht jedes Unternehmen betreffen. Aber mit der Änderung zur Pflicht der Bestellung eines Datenschutzbeauftragten ist ein signifikanter Teil der kleineren und mittleren Unternehmen direkt betroffen. Und daraus ergeben sich Handlungsoptionen, die unmittelbar ergriffen werden sollten bzw. sogar müssen, da eine Dringlichkeit zu wahren ist.

Der Deutsche Bundestag hat zwei neue Gesetze zum Datenschutz beschlossen. Diese Gesetze setzen einige bereichsspezifische Änderungen voraus, die einen signifikanten Teil kleinerer und mittlerer Unternehmen direkt betreffen. (Copyright: Stadtratte/istockphoto)

Änderungen im Datenschutzrecht

Das bereichsspezifische Datenschutzrecht des Bundes wird mit der Gesetzesänderung an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) angepasst. Das Gesetz nimmt Änderungen in 154 Fachgesetzen und damit in fast allen Ressorts vor. Dabei werden neben Begriffsanpassungen (z.B. im Umsatzsteuergesetz) auch neue Rechtsgrundlagen für die Datenverarbeitung (z.B. in der Gewerbeordnung) oder Regelungen zu den Betroffenenrechten (z.B. in der Handwerksordnung) geschaffen.

Speziell: Änderungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten

Bisher bestimmt § 38 Abs. 1 BDSG, dass Unternehmen einen Datenschutzbeauftragten (DSB) bestellen müssen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Die Bundesrepublik Deutschland hat damit von der Möglichkeit nach Art. 37 Abs. 4 DSGVO Gebrauch gemacht (sog. Öffnungsklausel) und die Pflicht zur Bestellung gegenüber der DSGVO ausgeweitet. Daneben gelten bislang und auch weiterhin – unabhängig von den aktuellen Änderungsvorhaben – die in der Datenschutz-Grundverordnung normierten Pflichten zur Bestellung eines Datenschutzbeauftragten bei Vorliegen einer der Voraussetzungen des Art. 37 DSGVO, also z.B. bei umfangreichen Verarbeitung besonderer Kategorien von Daten. Letztere Voraussetzung erfüllt jedes Krankenhaus.
 
Nun hat der Deutsche Bundestag in seiner Gesetzesänderung die Schwelle der Pflicht zur Benennung von zehn auf zwanzig Beschäftigte, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, angehoben. Dieses soll einen signifikanten Teil der kleinen und mittleren Unternehmen entlasten, so die Idee der Gesetzesänderung. Dementsprechend fällt für diese Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten mit dieser Gesetzesänderung nachträglich weg. Welche Rechtsfolgen ergeben sich für diejenigen Unternehmen, welche bislang unter die 10-Personen-Regel fielen, die jetzt aber mit der Anhebung dieser Zahl von der Pflicht befreit sind? Hier muss zwischen der Bestellung interner und externer Datenschutzbeauftragter unterschieden werden.

Folgen für interne DSB

Interne Datenschutzbeauftragte genießen bislang besonderen Schutz im Beschäftigungsverhältnis. Nach § 38 Abs. 2 Satz 1 BDSG in Verbindung mit
§ 6 Abs. 4 BDSG ist die Abberufung als Datenschutzbeauftragter nur in entsprechender Anwendung des § 626 BGB zulässig. Dieser verlangt einen „wichtigen Grund“. Der für den Widerruf der Benennung geforderte wichtige Grund liegt vor, wenn Tatsachen oder Umstände gegeben sind, die unter Berücksichtigung der Gegebenheiten des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung der Beschäftigung unzumutbar machen. Als wichtiger Grund kommen daher sowohl Aspekte in Betracht, die die weitere Beschäftigung als Datenschutzbeauftragter betreffen, wie solche, die das Arbeitsverhältnis allgemein betreffen.

Diese hohe Hürde für die Abberufung fällt mit der Gesetzesänderung weg. Denn
§ 38 Abs. 2 Satz 2 BDSG normiert die Ausnahme, dass die Privilegierung des Datenschutzbeauftragten im Beschäftigungsverhältnis nur und ausschließlich gilt, wenn eine gesetzliche Pflicht zur Bestellung des Datenschutzbeauftragten besteht. Mit anderen Worten genießt nach der Gesetzesänderung ein „freiwillig“ bestellter Datenschutzbeauftragter keinen besonderen Schutz vor Abberufung mehr.

Entsprechendes gilt für die Kündigung des Arbeitsverhältnisses eines internen Datenschutzbeauftragten. Auch hier musste bislang ein wichtiger Grund zur fristlosen Kündigung vorliegen, um die Kündigung „unangenehmer“ Datenschutzbeauftragter für das Unternehmen zu erschweren und so dessen Unabhängigkeit zu stärken. Auch diese Privilegierung fällt ausnahmslos weg.

Schließlich genießt der interne Datenschutzbeauftragte einen nachwirkenden Kündigungsschutz nach dem Ende seiner Tätigkeit, der nach der Gesetzesänderung ebenfalls wegzufallen scheint. Hier bestehen allerdings offene Fragen, weil sich der nachwirkende Kündigungsschutz auf die zurückliegende Tätigkeit bezieht. Möglicherweise muss man das Bundesdatenschutzgesetz hier so interpretieren, dass angesichts der Gesetzesänderung der nachwirkende Kündigungsschutz nur für zukünftig bestellte Datenschutzbeauftragte nicht mehr besteht und die auf der Grundlage des bislang geltenden Rechts bestellten Datenschutzbeauftragten übergangsweise privilegieren.

Folgen für externe DSB

Mit externen Datenschutzbeauftragten besteht in der Regel ein Dienstvertrag, der auch eine Geschäftsbesorgung um Gegenstand haben kann. In erster Linie bestimmt dieser Vertrag, was für den Fall eine Gesetzesänderung geschehen soll. Schweigt der Vertrag und ist auch keine (ergänzende) Auslegung möglich, dann kommt eine Störung der Geschäftsgrundlage nach § 313 BGB in Betracht. Nach ständiger Rechtsprechung des Bundesgerichtshofs wird die Geschäftsgrundlage eines Vertrages gebildet durch die nicht zum Vertragsinhalt erhobenen, aber bei Vertragsschluss zutage getretenen gemeinschaftlichen Vorstellungen beider Vertragsparteien oder die dem Geschäftsgegner erkennbaren und von ihm nicht beanstandeten Vorstellungen der einen Vertragspartei vom Vorhandensein, künftigen Eintritt oder Fortbestand gewisser Umstände, auf denen der Geschäftswille der Parteien aufbaut (BGH, Urteil vom 01.02.2012 – VIII ZR 307/10).
 
Nicht vorhergesehene bzw. nicht vorhersehbare Änderungen von Gesetzen stellen eine solche „Störung“ dar. Mithin ist die Kündigung eines Vertrages mit externen Datenschutzbeauftragten je nach Ausgestaltung des Vertrages möglich.

Stand des Gesetzgebungsverfahrens

Entgegen der Darstellung in manchen Beiträgen sind die vom Bundestag beschlossenen Änderungen (noch) kein geltendes Recht. Es bedarf – wie immer – der verfassungsrechtlich garantierten Beteiligung des Bundesrates und schließlich der Ausfertigung durch den Bundespräsidenten sowie der Veröffentlichung. Somit bleibt noch Zeit für Überlegungen, wie auf die Änderungen reagiert werden kann.

Überlegungen und Vorbereitungen

Unternehmen, die durch die Gesetzesänderung betroffen sind, sollten die konkrete Rechtslage und die damit verbundenen Optionen in Bezug auf ihren internen oder externen Datenschutzbeauftragten prüfen lassen. Neben den Voraussetzungen aus der Gesetzesänderung ergeben sich Folgefragen, die geregelt und vorbereitet werden müssen.

So hat zum Beispiel die Abberufung des internen Datenschutzbeauftragten regelmäßig arbeitsrechtlich eine Änderung bzw. eine Kündigung des der Beschäftigung zugrunde liegenden Arbeitsverhältnisses zur Folge. 

Eine Vorbereitung sollte zeitnah erfolgen, da nach Inkrafttreten der Gesetzesänderung schnell gehandelt werden muss. Beide denkbaren Maßnahmen – in Richtung des internen wie des externen Datenschutzbeauftragten – dürfen nicht verzögert erfolgen, da sonst der Erfolg gefährdet ist.

Die Entscheidung, ob und ggf. wie eine Veränderung der Benennung des Datenschutzbeauftragten erfolgen soll, muss berücksichtigen, dass die Benennung eines Datenschutzbeauftragten auch ohne Pflicht zur Bestellung sinnvoll sein kann und bereits getätigte Investitionen (z.B. in Schulungen) weiterhin genutzt werden können. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, bezeichnete die Gesetzesänderung vor diesem Hintergrund als „Kompetenzabbau“.

Unsere Empfehlung

Neben der Prüfung der konkreten Änderungsoptionen empfehlen wir weiterhin neben den allgemeinen Voraussetzungen der Pflicht zur Bestellung auch die sorgfältige Prüfung der Voraussetzung der „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ Beschäftigen nach § 38 Abs. 1 BDSG. Erfahrungsgemäß sind Unternehmen bei der Beantwortung dieser Frage zu vorsichtig und nehmen eine Pflicht zur Bestellung überobligatorisch an.
 
Das verwundert auch nicht, denn selbst die einschlägige juristische Kommentierung bleibt eher vage:

„Die Frage, ob „in der Regel“ mindestens zehn Personen „ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, berücksichtigt die Häufigkeit und Intensität der Verarbeitung personenbezogener Daten. Je häufiger und intensiver die Datenverarbeitung ist, desto höher ist der Schutz- und Kontrollbedarf und damit der Bedarf nach einem Datenschutzbeauftragten.“
 
(Gola/Heckmann/Rücker/Dienst, 13. Aufl. 2019, § 38 BDSG, Rn. 29).

Wir beantworten diese Frage gerne für Sie. Und zwar konkret.