Veröffentlicht von:

Rechtsanwalt Michael Ochsenfeld

Kündigung des externen Datenschutzbeauftragten

11.09.2020
7 Minuten Lesezeit

Kündigung des externen Datenschutzbeauftragten

Die Rechtsbeziehungen mit dem Datenschutzbeauftragten

Nicht immer funktioniert die Zusammenarbeit mit dem externen Datenschutzbeauftragten reibungslos. Das liegt zum einen in der Natur der Sache: Der Datenschutzbeauftragte soll ja „den Finger in die Wunde“ legen. Zum anderen passt es aber nicht mehr, weil sich z. B. die Ziele des Unternehmens geändert haben. Manchmal ist Unternehmen aber auch nicht so ganz klar, was der eigentlich macht. Und manchmal kommt ein Anbieter, der verspricht, die identische Leistung für deutlich weniger Kosten zu realisieren.

Jetzt soll der alte Datenschutzbeauftragte nach Möglichkeit so schnell wie möglich „entsorgt“ werden... Aber: Wie kann ich mich dann von dem externen Datenschutzbeauftragten lösen?

Hier ist es zunächst wichtig, die vorhandenen beiden unterschiedlichen Rechtsbeziehungen zu unterscheiden:

die Benennung zum Datenschutzbeauftragten gemäß Datenschutz-Grundverordnung (DSGVO)
der Dienstleistungsvertrag zwischen dem Datenschutzbeauftragten und dem Unternehmen.

Die Benennung stellt die formale Einsetzung der betreffenden Person als Datenschutzbeauftragten dar, während der Dienstleistungsvertrag die Einzelheiten der Zusammenarbeit festlegt, z. B. den konkreten Umfang der Leistung sowie das Entgelt.

Beendigung der Rechtsbeziehung

Wenn wir zwei Rechtsverhältnisse feststellen können, müssen wir eben auch zwei Rechtsverhältnisse kündigen – so einfach ist das. Wir müssen uns also sowohl um die Benennung als auch um den Dienstleistungsvertrag kümmern.

Abberufung des externen Datenschutzbeauftragten

Die Benennung muss beendet werden, der Datenschutzbeauftragte muss also formal von seiner Aufgabe entbunden werden. Dieses erfolgt durch schriftliche Abberufung, die dem Datenschutzbeauftragten und der Aufsichtsbehörde mitgeteilt werden.

„Hiermit entbinden wir Sie von Ihrer Tätigkeit als Datenschutzbeauftragter für die Pfefferminzia GmbH mit Wirkung ab dem 01.01.2018“.

Kündigung des Dienstleistungsvertrages

Nun muss noch die Kündigung des Dienstleistungsvertrags erfolgen.

Kündigungsschutz für den externen Datenschutzbeauftragten?

Nach § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des (internen) Datenschutzbeauftragten nur erschwert möglich. Diese Regelungen finden aber keine analoge Anwendung bei der Kündigung externer Datenschutzbeauftragter. Der externe Datenschutzbeauftragte steht in keinem Arbeitsverhältnis mit dem Unternehmen und ist auch insoweit nicht schutzwürdig. Dies bedeutet, dass der externe Datenschutzbeauftragte – anders als intern berufene Datenschutzbeauftragte – über keinen Kündigungsschutz verfügt.

Gründe für die Kündigung externer Datenschutzbeauftragter

Warum werden externe Datenschutzbeauftragte von ihren Aufgaben entbunden? Gründe, den externen Datenschutzbeauftragten abzuberufen, gibt es ggf. viele. Hauptsächlich dürften es die Folgenden sein:

Was macht der eigentlich? Woanders gibt's das billiger!

Natürlich sollten Sie nicht nur die Preise vergleichen, sondern müssen sich auch die jeweilige Leistung anschauen. Und ein guter Datenschutzbeauftragter kümmert sich auch dann um Ihr Unternehmen, wenn Sie es nicht merken.

Neben der Erstellung der erforderlichen Dokumente und der Prüfung Ihrer Prozesse kümmert sich der Datenschutzbeauftragte auch um die Fortbildung Ihrer Beschäftigten – und natürlich auch um seine eigene Qualifikation. Auch sollte er für Sie jederzeit erreichbar sein und Probleme lösen können – also auch präventiv z. B. Ihre Website regelmäßig prüfen und an die sich ändernden Anforderungen anpassen.

Denken Sie z. B. an die kommende ePrivacy-Verordnung, die Rechtsprechung des EuGH und die Veröffentlichungen der Landesdatenschutzbehörden. Wenn der Datenschutzbeauftragte sich konsequent und ernsthaft kümmert, lässt sich diese Leistung nicht „billig“ anbieten.

Es ist eine betriebswirtschaftliche Binsenweisheit, dass die (Gesamt-)Kosten auf die jeweiligen Mandate umgelegt werden müssen. Wenn ein Anbieter mit Kampfpreisen im Markt aktiv ist, muss er zwingend mehr Mandanten haben, damit sich sein Unternehmen rechnet - oder er ist ein schlechter Kaufmann und lebt von der Hoffnung, dass sich "das irgendwann rechnet". Wenn ich aus Kostengründen viele Mandanten betreuen muss, um kostendeckend zu arbeiten, bleibt wenig Raum für die Betreuung des einzelnen Mandanten.

Wenn die Leistung des alternativen Anbieters Ihren Anforderungen entspricht, sollten Sie den Preis entscheiden lassen.

Kann der das? Die fachliche Kompetenz reicht doch nicht aus!

Die Bezeichnung „Datenschutzbeauftragter“ ist nicht geschützt, eine verbindliche Ausbildung gibt es nicht, sodass die Dienstleistung "Datenschutzbeauftragter" auch ohne fachliche Qualifikation angeboten werden kann.

Viele Unternehmen haben sich für einen Anbieter entschieden, stellen dann aber schnell fest, dass außer ein paar schönen Mustervordrucken keine lösungsorientierte und fachliche fundiert Beratung erfolgt. Der Datenschutzbeauftragten ist häufig nicht ausreichend qualifiziert und stellt damit ein grob unterschätztes Haftungsrisiko dar:

Probleme werden entweder gar nicht erkannt oder rechtlich und technisch nicht überblickt. Die ausgedachten Lösungen sind unzulässig und wenig praktikabel. Alles in allem kein wirklicher Gewinn für das Unternehmen.

Uns sind Fälle bekannt, in denen der Datenschutzbeauftragte nach Bekanntwerden einer ärgerlichen Datenpanne äußerst kurzfristig die Tätigkeit beendet haben und das Unternehmen im "Regen stehen" ließ.

Sicher – auch der Datenschutzbeauftragte kann nicht hexen. Manches lässt sich eben nicht so umsetzen, wie es vom Management oder beispielsweise vom Vertrieb gewünscht ist. Und manchmal müssen Datenschutzbeauftragte bei der Unternehmensleitung, den Beschäftigten oder dem Betriebsrat richtig dicke Bretter bohren.

Nach unserer Auffassung besteht aber die Kunst in der Tätigkeit als Datenschutzbeauftragter darin, den rechtlichen und technischen Rahmen zu kennen und die notwendigen Anpassungen vorzuschlagen, die es ermöglichen, dem gewünschten Ziel im Ergebnis so nah wie möglich zu kommen, ohne gegen das Datenschutzrecht zu verstoßen. Dies ist ohne eine allgemeinjuristische, also nicht allein auf den Datenschutz beschränkte, Ausbildung sowie vertiefte Kenntnisse in der Technik (wohl) nicht möglich.

Wie bitte soll ein Anbieter mit einer 3-tägigen Ausbildung ein rechtswissenschaftliches Studium kompensieren? Woher soll er denn Kenntnisse aus dem Vertragsrecht, Strafrecht usw. haben? Und schon fast als allgemeingültiger Rechtssatz kann die Aussage gelten: „Gutes kostet gutes Geld“.

Ärgern Sie sich also nicht über die Qualifikation des Beraters – suche Sie lieber nach Qualität und Leistung.

Wo ist mein Berater denn eigentlich?

Durch die Aufregung ab März/April 2018 um die ab Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) sind viele Anbieter aufgetaucht, die mit einer schönen Website aber nicht ausreichendem Personalbestand in den Markt getreten sind. Gerne nehmen sie Beratungsaufträge an, versprechen Kunden mit Kampfpreisen pauschal zu viel und versuchen sich dann mit Standard-Mustern an der Beratung, weil es sonst zeitlich gar nicht geschafft werden kann.

Wieso kostet das denn jetzt extra?

Es gibt etliche Modelle, bei denen sich erst später herausstellt, was die Dienstleistung tatsächlich kostet. Auf einmal kostet der Jahresbericht extra, die Schulung der Mitarbeiter soll gesondert vergütet werden und die Erstanalyse kostet pauschal 2.000 EUR...

Wenn die angebotene Leistung des externen Datenschutzbeauftragten nicht klar beschrieben ist, ärgern Sie sich nicht. Dieser Fehler ist vielen Unternehmen passiert – Sie befinden sich in guter Gesellschaft.

Wer ist denn mein Berater oder habe ich mehrere?

Einige Anbieter nutzen sehr ausgiebig Bürodienstleister, wie z. B. Call Center. Hier wird dem Kunden kein fester Ansprechpartner an die Seite gestellt, sondern immer der, der gerade Zeit hat. Dieser kennt im Zweifel weder den Kunden noch ist ausreichend qualifiziert. Wir kennen Dienstleister, denen ein Frage-Antworten-Katalog zur Verfügung gestellt wird, der die fehlende Qualifikation des Gesprächspartners kompensieren soll.

Darf der das eigentlich? Risiko Inkompatibilität!

Bei der Bestellung des Datenschutzbeauftragten muss immer darauf geachtet werden, dass dieser unabhängig ist. Auch wenn es Sinn macht, dass der IT-Dienstleister sich auch um den Datenschutz kümmert, liegt hier eine sog. Inkompatibilität vor: Der Datenschutzbeauftragter soll die Qualität und Datenschutzkonformität des IT-Dienstleister kontrollieren – dann kann er natürlich nicht Prüfer und Dienstleister in einer Person sein!

Einvernehmliche Abberufung

Neben der einseitigen Beendigung des Dienstleistungsvertrages durch Kündigung und die parallele Abberufung kann die Rechtsbeziehung zu dem Datenschutzbeauftragten auch einvernehmlich beendet werden. Der Datenschutzbeauftragte und das Unternehmen einigen auf das Ende der Tätigkeit. Hier reicht eine kurze schriftliche Vereinbarung.

„Die Parteien sind sich einig, dass der Dienstleistungsvertrag zwischen Müller und Meier GmbH vom 15.10.2018 zum 01.01.2019 einvernehmlich sein Ende findet. Mit Ablauf des 31.12.2018 wird Herr Müller als Datenschutzbeauftragter abberufen.“

An was muss ich nach der Beendigung der Rechtsbeziehung denken?

Wenn Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, muss im Anschluss an die Tätigkeit des gekündigten Datenschutzbeauftragten unmittelbar ein neuer Datenschutzbeauftragte bestellt werden. Suchen Sie sich daher rechtzeitig einen neuen Anbieter, der besser zu Ihnen und Ihrem Unternehmen passt.

Und jetzt müssen Sie noch alle Dokumente usw. ändern. Dieses sind alle Texte usw., in denen auf den Datenschutzbeauftragten verwiesen wird oder dessen Kontaktdaten angegeben sind. Denken Sie aber auch an

die Datenschutzhinweise auf Ihrer Website,
die Datenschutzhinweise für andere Funktionen und Tools (z. B. WLAN),
Information des Betriebsrates, Gesamt- und Konzernbetriebsrat, Sprecherausschuss usw.
Informationen für Betroffene (Kunden, Mitarbeiter usw.)
Regelungen und Konzepte, wie an Auftraggeber und Partner, die über den Wechsel des Ansprechpartners informiert werden müssen.

Führen Sie ein ordnungsgemäßes Off-Boarding durch:

Sind Schlüssel oder Arbeitsmaterial ausgehändigt worden? Achten Sie auf vollständige Rückgabe.
Wenn Zugangs- und Zugriffsberechtigungen erteilt wurden, ändern Sie diese rechtzeitig.
Achten Sie darauf, dass Sie die notwendigen Unterlagen, die der Datenschutzbeauftragte erstellt hat, erhalten.
Sind noch Themen offen oder Anfragen unbearbeitet?
usw.

Zusammenfassend lässt sich festhalten, dass der Wechsel des Datenschutzbeauftragten durch Kündigung oder Vereinbarung Aufwand verursacht. U.E. ist dieser Aufwand aber überschaubar.

Rechtstipp aus dem Rechtsgebiet

Datenschutzrecht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Michael Ochsenfeld

Weitere Rechtstipps von Rechtsanwalt Michael Ochsenfeld

eCommerce: Telemediengesetz

Telemediengesetz Einführung Das Telemediengesetz (TMG) regelt die rechtlichen Rahmenbedingungen für sogenannte "Telemedien" in Deutschland. "Telemedien" sind nach der Definition des TMG "alle ... Weiterlesen

Weitere

Beiträge zum Thema

Die Kündigung eines Datenschutzbeauftragten

18.05.2020

Datenschutzbeauftragte genossen bereits nach der alten Rechtslage einen besonderen Kündigungsschutz. Hieran hat ... Weiterlesen
Wann benötige ich einen Datenschutzbeauftragten?

17.01.2022

Viele Unternehmen fragen sich, ob Sie zwingend einen Datenschutzbeauftragten bestellen müssen. Dieser Artikel gibt ... Weiterlesen
SERBIEN: Wer ist verpflichtet einen Datenschutzbeauftragten in Serbien zu bestellen?

27.11.2023

Datenkontrolleure und Datenverarbeiter, die keinen Geschäfts- oder Wohnsitz, Aufenthalt in der Republik Serbien ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Hildesheim

Rechtsanwalt Datenschutzrecht

Rechtsanwalt Hildesheim Datenschutzrecht