Unter welchen Voraussetzungen Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen wird in Deutschland durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geregelt. Nach § 38 BDSG muss ein DSB im Unternehmen benannt werden, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftig sind. Bei kleineren Unternehmen kann die Benennung eines DSB gemäß Art. 37 DSGVO abhängig von der Kerntätigkeit des Unternehmens ebenfalls vorgeschrieben sein.
In diesem Beitrag soll nun aber beleuchtet werden, welche Rechte und Pflichten sich ergeben, wenn ein Unternehmen freiwillig einen DSB benennt, auch wenn es nach den genannten gesetzlichen Vorgaben nicht dazu verpflichtet ist.
Freiwillig benannter DSB
Die DSGVO und das BDSG differenzieren im Wesentlichen nicht zwischen einem „freiwilligen“ DSB und einem erforderlichen DSB. Schon allein anhand des Wortlauts der Gesetze kann daher der Schluss gezogen werden, dass rechtlich kaum ein Unterschied besteht. Dieses Ergebnis mag zunächst überraschen! So kann man sich fragen, warum beispielsweise ein DSB nach Art. 37 Abs. 7 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden muss, wenn es diesen DSB gar nicht geben müsste. Oder warum ein DSB in Datenschutzhinweisen nach Art. 13 und 14 DSGVO genannt werden muss, wenn es diesen DSB gar nicht geben müsste.
Gleiche Rechte und Pflichten
Dennoch ist es im Ergebnis so, dass für freiwillige DSB im Wesentlichen dieselben Rechte und Pflichten gelten, wie für einen erforderlichen DSB. Dies ist auch konsequent. Wenn es schon einen DSB gibt, soll dieser auch als kompetenter Ansprechpartner für die Aufsichtsbehörden und für Betroffene erreichbar sein und muss daher gemeldet und in Datenschutzhinweisen genannt werden.
Keine Regel ohne Ausnahme
Eine wichtige Ausnahme besteht jedoch: Der Kündigungsschutz, den ein DSB nach § 38 BDSG i.V.m. § 6 Abs. 4 BDSG genießt, gilt nach § 38 Abs. 2 BDSG nur, wenn die Benennung „einer oder eines Datenschutzbeauftragten verpflichtend ist“. Auch die Abberufung eines freiwilligen DSB ist einfacher gestaltet, als bei einem erforderlichen DSB. Der erforderliche DSB kann nach § 38 BDSG i.V.m. § 6 Abs. 4 BDSG nur in entsprechender Anwendung des § 626 BGB abberufen werden. Der freiwillige DSB kann hingegen grundsätzlich jederzeit abberufen werden.
Wilhelm Ball
19. Mai 2022 @ 12:53
Was beurteilen Sie die freiwillige Bestellung eines zweiten Datenschutzbeauftragten neben einem amtierenden Datenschutzbeauftragten?
Christian Dugall
19. Mai 2022 @ 17:42
Hallo Herr Ball,
vielen Dank für die Frage. Zu dem Thema findet man verschiedene Aussagen: Das BAG hat es in einem Urteil vom 27. Juli 2017 (2 AZR 812/16) nicht beanstandet, dass ein Unternehmen zwei Datenschutzbeauftragte hatte. Beiden standen laut dem BAG die gleichen Rechte hinsichtlich des Kündigungsschutzes zu. In dem Fall war allerdings ein Kompetenzkonflikt ausgeschlossen, da de facto nur einer der Datenschutzbeauftragten aktiv war.
Von manchen Datenschutzaufsichtsbehörden wird hingegen die Sichtweise vertreten, dass es in einer verantwortlichen Stelle (also einer Behörde oder einem Unternehmen) nur einen DSB geben könne. Vgl. https://www.datenschutz-bayern.de/datenschutzreform2018/aki30.html#fuss1