Unter welchen Voraussetzungen Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen wird in Deutschland durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geregelt. Nach § 38 BDSG muss ein DSB im Unternehmen benannt werden, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftig sind. Bei kleineren Unternehmen kann die Benennung eines DSB gemäß Art. 37 DSGVO abhängig von der Kerntätigkeit des Unternehmens ebenfalls vorgeschrieben sein.

In diesem Beitrag soll nun aber beleuchtet werden, welche Rechte und Pflichten sich ergeben, wenn ein Unternehmen freiwillig einen DSB benennt, auch wenn es nach den genannten gesetzlichen Vorgaben nicht dazu verpflichtet ist.

Freiwillig benannter DSB

Die DSGVO und das BDSG differenzieren im Wesentlichen nicht zwischen einem „freiwilligen“ DSB und einem erforderlichen DSB. Schon allein anhand des Wortlauts der Gesetze kann daher der Schluss gezogen werden, dass rechtlich kaum ein Unterschied besteht. Dieses Ergebnis mag zunächst überraschen! So kann man sich fragen, warum beispielsweise ein DSB nach Art. 37 Abs. 7 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden muss, wenn es diesen DSB gar nicht geben müsste. Oder warum ein DSB in Datenschutzhinweisen nach Art. 13 und 14 DSGVO genannt werden muss, wenn es diesen DSB gar nicht geben müsste.

Gleiche Rechte und Pflichten

Dennoch ist es im Ergebnis so, dass für freiwillige DSB im Wesentlichen dieselben Rechte und Pflichten gelten, wie für einen erforderlichen DSB. Dies ist auch konsequent. Wenn es schon einen DSB gibt, soll dieser auch als kompetenter Ansprechpartner für die Aufsichtsbehörden und für Betroffene erreichbar sein und muss daher gemeldet und in Datenschutzhinweisen genannt werden.

Keine Regel ohne Ausnahme

Eine wichtige Ausnahme besteht jedoch: Der Kündigungsschutz, den ein DSB nach § 38 BDSG i.V.m. § 6 Abs. 4 BDSG genießt, gilt nach § 38 Abs. 2 BDSG nur, wenn die Benennung „einer oder eines Datenschutzbeauftragten verpflichtend ist“. Auch die Abberufung eines freiwilligen DSB ist einfacher gestaltet, als bei einem erforderlichen DSB. Der erforderliche DSB kann nach § 38 BDSG i.V.m. § 6 Abs. 4 BDSG nur in entsprechender Anwendung des § 626 BGB abberufen werden. Der freiwillige DSB kann hingegen grundsätzlich jederzeit abberufen werden.