Sind Sie mit Ihrem aktuellen externen Datenschutzbeauftragten unzufrieden oder denken Sie darüber nach, eine Trennung in Erwägung zu ziehen und einen neuen zu bestellen? Hier erfahren Sie, worauf Sie dabei achten müssen.
In Organisationen, in denen kontinuierlich über 20 Angestellte mit der automatisierten Verarbeitung personenbezogener Daten betraut sind, ist es verpflichtend, einen Datenschutzbeauftragten zu bestimmen. Doch unter welchen Voraussetzungen kann die Beendigung oder Aufhebung der Position des externen Datenschutzbeauftragten erfolgen? Diese Thematik wird im anschließenden Blog erörtert.
- Was ist der Unterschied zwischen Abberufung und Kündigung des Datenschutzbeauftragten?
- Abberufung interner Datenschutzbeauftragter
- Abberufung externer Datenschutzbeauftragter
- Einvernehmlichen Abberufung
- Mögliche Gründe für die Abberufung eines externen Datenschutzbeauftragten umfassen
- Anleitung zum Wechsel des externen Datenschutzbeauftragten
- Wie Sie den richtigen externen Datenschutzbeauftragten finden
Was ist der Unterschied zwischen Abberufung und Kündigung des Datenschutzbeauftragten?
Diese Begriffe werden oft verwechselt, bezeichnen jedoch unterschiedliche Situationen. Die Abberufung betrifft die Funktion als Datenschutzbeauftragter, während die Kündigung das Arbeitsverhältnis eines internen Datenschutzbeauftragten als Ganzes betrifft. Selbst nach der Abberufung bleibt die Person im Unternehmen angestellt.
Betriebliche Datenschutzbeauftragte genießen spezielle Schutzmaßnahmen, die ihnen besondere Kündigungs- und Abberufungsrechte zusichern. Diese Rechte ergeben sich in Deutschland aus den Paragraphen 6 Abs. 4 S. 1 bzw. S. 2 in Verbindung mit § 38 Abs. 2 BDSG und in Verbindung mit § 626 Abs. 2 BGB. Der Europäische Gerichtshof hat die Vereinbarkeit dieser speziellen Kündigungsschutzregelungen mit der DSGVO bestätigt.
Abberufung interner Datenschutzbeauftragter
- Abberufung bei freiwilliger Benennung:
- Wenn die Benennung des Datenschutzbeauftragten freiwillig erfolgte und nicht gesetzlich vorgeschrieben war, kann die Abberufung jederzeit nach § 38 Abs. 2 Hs. 2 BDSG erfolgen.
- Abberufung aus wichtigem Grund:
- Bei zwingender Benennung eines Datenschutzbeauftragten ist eine Abberufung nur bei Vorliegen eines wichtigen Grundes gemäß § 626 BGB möglich.
- Ein wichtiger Grund kann bestehen, wenn die Ausübung der Funktion unmöglich oder erheblich gefährdet ist, z.B. aufgrund mangelnder persönlicher Integrität oder Fachkenntnisse.
- Interessenskollisionen, die die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigen, können ebenfalls einen wichtigen Grund darstellen.
- Betriebsbedingter wichtiger Grund:
- Ein betriebsbedingt wichtiger Grund kann in Situationen wie Betriebsstilllegung oder betrieblicher Notsituation vorliegen.
- Abberufung durch Aufsichtsbehörde:
- Die Aufsichtsbehörde kann die Abberufung verlangen, wenn der Datenschutzbeauftragte die erforderliche Fachkunde nicht besitzt oder ein schwerwiegender Interessenskonflikt nach Art. 38 Abs. 6 DSGVO vorliegt.
- Seltene Fälle, aber potenzielle Probleme:
- Fälle, in denen Arbeitsgerichte eine fehlende Fachkunde oder Interessenskonflikt anders bewerten als die Aufsichtsbehörde, sind selten, aber können für Verantwortliche problematisch sein.
Abberufung externer Datenschutzbeauftragter
Wenn das Unternehmen externe Dienstleistungen in Anspruch genommen hat, gestaltet sich die Beendigung vergleichsweise unkompliziert. Ein externer Experte unterliegt nicht dem speziellen Kündigungsschutz, der für interne Mitarbeiter gilt. Die Beauftragung eines externen Datenschutzbeauftragten erfolgt über einen Dienstleistungsvertrag, der seine Aufgaben definiert.
Um die Abberufung eines solchen Datenschutzbeauftragten zu realisieren, ist die Kündigung des Dienstleistungsvertrags erforderlich. Die Kündigungsfristen richten sich nach den im Vertrag festgelegten Regelungen. Nachfolgend muss die Bestellung als Datenschutzbeauftragter aufgehoben werden, um die formale Benennung rückgängig zu machen. Die Aufsichtsbehörde ist über die Neubesetzung zu informieren.
Einvernehmlichen Abberufung
Wenn ein Datenschutzbeauftragter eigenständig zurücktreten möchte, besteht die Möglichkeit einer einvernehmlichen Abberufung. Datenschutzbeauftragter und Unternehmen können sich in diesem Szenario gemeinsam auf die Beendigung der Tätigkeit einigen. Da diese Entscheidung von beiden Parteien getroffen wird, gestaltet sich die Umsetzung recht unkompliziert.
Es ist lediglich erforderlich, die Bestellung zurückzunehmen, um den Rücktritt als Datenschutzbeauftragter zu vollziehen.
Mögliche Gründe für die Abberufung eines externen Datenschutzbeauftragten umfassen:
- Unzureichende Beratung: Der externe Dienstleister könnte sich nach der Bestellung als unqualifiziert herausstellen, was zu Haftungsrisiken führt. Probleme werden möglicherweise nicht erkannt, und es fehlt an Verständnis für rechtliche und technische Aspekte.
- Unzureichende Verfügbarkeit: Einige Dienstleister, besonders nach dem DSGVO-Hype, könnten als Ein-Mann-Show agieren und unzureichendes Personal haben. Dies führt zu pauschalen Versprechen, aber möglicherweise unzureichender Unterstützung.
- Nicht vorhersehbare Kosten: Die tatsächlichen Kosten können unklar sein, wenn die angebotene Leistung nicht transparent beschrieben oder abgerechnet wird.
- Beratung durch wechselnde Personen: Anbieter ohne festen Ansprechpartner, wie Callcenter, bieten pauschale Lösungen, die nicht auf die spezifischen Bedürfnisse des Unternehmens eingehen.
- Nicht gerechtfertigte Bestellung: Unabhängigkeit ist für Datenschutzbeauftragte entscheidend. Bestellungen von Personen, die ihre eigenen Bemühungen als IT-Dienstleister überwachen müssten, sind unzulässig, auch wenn es verlockend erscheinen mag, IT-Unterstützung und Datenschutz von derselben Quelle zu beziehen.
Anleitung zum Wechsel des externen Datenschutzbeauftragten:
- Suche des Nachfolgers
- Sicherstellen, dass kein Zeitraum ohne Datenschutzbeauftragten entsteht.
- Einen neuen Anbieter suchen, der die Aufgaben zeitnah übernehmen kann.
- Kündigung des Dienstleistungsvertrags:
- Den Dienstleistungsvertrag kündigen, da der Datenschutzbeauftragte nicht gegen seinen Willen abberufen werden kann.
- Laufzeiten und Kündigungsfristen beachten.
- Bestellung des neuen Datenschutzbeauftragten:
- Den neuen externen Datenschutzbeauftragten für den Zeitpunkt nach der Beendigung der Kooperation bestellen.
- Meldung an die Aufsichtsbehörde:
- Die Änderung der Aufsichtsbehörde rechtzeitig melden.
- Anpassung von Aufgaben:
- Alle relevanten Informationen anpassen, die auf den Datenschutzbeauftragten verweisen.
- Datenschutzhinweise, Informationen für Betroffene, Regelungen, und Konzepte aktualisieren.
- Übergabe an den neuen Datenschutzbeauftragten:
- Bei Überschneidung der Zusammenarbeit mit dem bisherigen Beauftragten eine geregelte Übergabe anstreben.
- Herausgabe von Unterlagen:
- Die Herausgabe aller zustehenden Unterlagen vom bisherigen Beauftragten fordern.
- Auf die Pflichten des Beauftragten zur Datenbewahrung hinweisen.
- Entzug von Berechtigungen:
- Rechtzeitig den Zugang und die Rechte des ehemaligen Datenschutzbeauftragten entziehen.
- Remote-Zugriffsmöglichkeiten deaktivieren, E-Mailadressen ändern und den Wechsel dem relevanten Personal mitteilen.
- Vollständige Rückgabe von Schlüsseln und Arbeitsmaterial sicherstellen.
Wie Sie den richtigen externen Datenschutzbeauftragten finden
Bei der Auswahl des passenden Datenschutzbeauftragten für Ihr Unternehmen sollten Sie folgende Kriterien berücksichtigen:
- Qualifikationen: Stellen Sie sicher, dass der Anbieter über juristische, Datenschutz-, IT- und Projektmanagement-Kompetenzen verfügt, um DSGVO-konforme Projekte erfolgreich umzusetzen.
- Branchenerfahrung: Wählen Sie einen Anbieter mit Erfahrung in Ihrer Branche, da die erforderlichen Datenschutzmaßnahmen branchenspezifisch variieren können.
- Kalkulierbare Preise: Achten Sie auf transparente Angebote mit monatlichen Festpreisen, die alle grundlegenden Leistungen abdecken und somit leicht budgetierbar sind.
- Auskunftsfähigkeit: Der Datenschutzbeauftragte sollte den aktuellen Stand der Datenschutzmaßnahmen, Schulungen und Verträge stets im Blick haben und dem Verantwortlichen regelmäßig Bericht erstatten können.
- Tools zur Übersicht: Stellen Sie sicher, dass der Datenschutzbeauftragte effiziente Werkzeuge bereitstellt, um der Geschäftsführung einen klaren Überblick über die DSGVO-Konformität zu ermöglichen.
- Sensibilisierung: Der Datenschutzbeauftragte sollte die Mitarbeiter in Datenschutzfragen schulen, idealerweise durch kompakte Onlineschulungen mit nachweisbarem Erfolg.
- Verfügbarkeit: Digitale Dienstleistungen ermöglichen einen umfassenden Service, während persönliche Gespräche bei Bedarf per Videokonferenz geführt werden können.
- Gute Bewertungen: Recherchieren Sie externe Datenschutzbeauftragte online, lesen Sie ausführliche Rezensionen und suchen Sie nach Referenzen von zufriedenen Kunden, um die Qualität des Anbieters zu überprüfen.