Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der Kündigungsschutz des Datenschutzbeauftragten nach der DS-GVO

Der Kündigungsschutz des Datenschutzbeauftragten ergibt sich künftig aus der Neufassung des BDSG

Derzeit ist in § 4f Abs. 3 Satz 5 BDSG festgelegt, dass der Datenschutzbeauftragte einen Kündigungsschutz genießt, sofern die verantwortliche Stelle zur Bestellung verpflichtet ist. Die Kriterien dieser Verpflichtung finden sich in § 4f Abs. 1 BDSG.

Kein Kündigungsschutz in der DS-GVO…

Zum 25.05.2018 tritt das heutige BDSG außer Kraft. Stattdessen gilt die EU Datenschutz-Grundverordnung (DS-GVO), die ergänzt wird durch ein vollständig neues BDSG (BDSG-neu). In der DS-GVO findet sich an keiner Stelle ein Wort zum Thema Kündigungsschutz des Datenschutzbeauftragten. Allgemein sind auch die Kriterien, welche zur Bestellung verpflichten, deutlich weniger streng als bislang nach dem BDSG.

… aber im BDSG-neu

Dennoch genießt der Datenschutzbeauftragte zumindest in Deutschland auch zukünftig einen umfassenden Kündigungsschutz. Dieser ist allerdings nicht in der DS-GVO definiert, sondern im deutschen Ergänzunggesetz, dem BDSG-neu. Dort wird in § 38 Abs. 2 BDSG-neu festgelegt, dass u. a. die Regelungen aus § 6 Abs. 4 BDSG-neu für die Abberufung Datenschutzbeauftragter öffentlicher Stellen auch für die nicht-öffentlichen Stellen gelten. Der Datenschutzbeauftragte genießt also auch zukünftig einen Kündigungsschutz, sofern eine Pflicht zur Bestellung vorliegt.

Alles beim Alten?

Nun gibt es zukünftig insgesamt weniger Kriterien als bisher, die eine Bestell-Pflicht auslösen. So fällt beispielsweise die 20-Personen-Grenze bei Verarbeitung ohne IT weg. Diese war aber ohnehin nicht mehr zeitgemäß. Übrig bleiben die folgenden Kriterien:

  • in der Regel sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt;
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO unterliegen;
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeitet;
  • es werden personenbezogene Daten geschäftsmäßig für die Markt- oder Meinungsforschung verarbeitet

Böse Überraschung für Ärzte?

Speziell das zweite Kriterium könnte noch für Diskussionen sorgen: Art. 35 Abs. 3 lit. b DS-GVO fordert, dass eine Datenschutz-Folgenabschätzung zwingend bei umfangreichen Verarbeitungen besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO durchzuführen ist. Hierzu gehören auch Gesundheitsdaten. Damit wäre zukünftig jeder Arzt zur Datenschutz-Folgenabschätzung und damit zur Bestellung eines Datenschutzbeauftragten verpflichtet…

Fazit

Zurück zum Thema: De facto wird sich in Deutschland für den überwiegenden Teil der internen Datenschutzbeauftragten am Kündigungsschutz nichts ändern.