aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt

Kündigungsschutz für Datenschutzbeauftragte unter der DSGVO

Derzeit ist in § 4f Abs. 3 Satz 5 festgelegt, dass der Datenschutzbeauftragte einen Kündigungsschutz genießt, sofern die verantwortliche Stelle zur Bestellung verpflichtet ist. Die Kriterien dieser Verpflichtung finden sich in § 4f Abs. 1 BDSG.

Kein Kündigungsschutz in der DSGVO…

Zum 25.05.2018 tritt das heutige BDSG außer Kraft. Stattdessen gilt die EU Datenschutz-Grundverordnung (DSGVO), die ergänzt wird durch ein vollständig neues BDSG (BDSG-neu). In der DSGVO findet sich an keiner Stelle ein Wort zum Thema Kündigungsschutz des Datenschutzbeauftragten. Allgemein sind auch die Kriterien, welche zur Bestellung verpflichten, deutlich weniger streng als bislang nach dem BDSG.

… aber im BDSG-neu

Dennoch genießt der Datenschutzbeauftragte zumindest in Deutschland auch zukünftig einen umfassenden Kündigungsschutz. Dieser ist allerdings nicht in der DSGVO definiert, sondern im deutschen Ergänzungsgesetz, dem BDSG-neu. Dort wird in § 38 Abs. 2 BDSG-neu festgelegt, dass u. a. die Regelungen aus § 6 Abs. 4 BDSG-neu für die Abberufung Datenschutzbeauftragter öffentlicher Stellen auch für die nicht-öffentlichen Stellen gelten. Der Datenschutzbeauftragte genießt also auch zukünftig einen Kündigungsschutz, sofern eine Pflicht zur Bestellung vorliegt.

Alles beim Alten?

Nun gibt es zukünftig insgesamt weniger Kriterien als bisher, die eine Bestell-Pflicht auslösen. So fällt beispielsweise die 20-Personen-Grenze bei Verarbeitung ohne IT weg. Diese war aber ohnehin nicht mehr zeitgemäß. Übrig bleiben die folgenden Kriterien:

  • in der Regel sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt;
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen;
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeitet;
  • es werden personenbezogene Daten geschäftsmäßig für die Markt- oder Meinungsforschung verarbeitet

Böse Überraschung für Ärzte?

Speziell das zweite Kriterium könnte noch für Diskussionen sorgen: Art. 35 Abs. 3 lit. b DSGVO fordert, dass eine Datenschutz-Folgenabschätzung zwingend bei umfangreichen Verarbeitungen besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO durchzuführen ist. Hierzu gehören auch Gesundheitsdaten. Damit wäre zukünftig jeder Arzt zur Datenschutz-Folgenabschätzung und damit zur Bestellung eines Datenschutzbeauftragten verpflichtet…

Fazit

Zurück zum Thema: De facto wird sich in Deutschland für den überwiegenden Teil der internen Datenschutzbeauftragten am Kündigungsschutz nichts ändern.