Die Kündigung des externen Datenschutzbeauftragten
[toc]
Die Rechtsbeziehungen mit dem Datenschutzbeauftragten
Nicht immer funktioniert die Zusammenarbeit mit dem externen Datenschutzbeauftragten reibungslos. Das liegt zum einen in der Natur der Sache: der Datenschutzbeauftragte soll ja “den Finger in die Wunde” legen. Zum anderen passt es aber nicht mehr, weil sich z.B. die Ziele des Unternehmens geändert haben. Manchmal ist Unternehmen aber auch nicht so ganz klar, was der eigentlich macht. Und manchmal kommt ein Anbieter, der verspricht, die identische Leistung für deutlich weniger Kosten zu realisieren.
Jetzt soll der alte Datenschutzbeauftragte nach Möglichkeit so schnell wie möglich “entsorgt” werden… Aber: wie kann ich mich dann von dem externen Datenschutzbeauftragten lösen?
Hier ist es zunächst wichtig, die vorhandenen beiden unterschiedlichen Rechtsbeziehungen zu unterscheiden:
- die Benennung zum Datenschutzbeauftragten gemäß Datenschutzgrundverordnung (DSGVO)
- der Dienstleistungsvertrag zwischen dem Datenschutzbeauftragten und dem Unternehmen.
Die Benennung stellt die formale Einsetzung der betreffenden Person als Datenschutzbeauftragten dar, während der Dienstleistungsvertrag die Einzelheiten der Zusammenarbeit festlegt, z. B. den konkreten Umfang der Leistung sowie das Entgelt.
Wenn wir zwei Rechtsverhältnisse feststellen können, müssen wir eben auch zwei Rechtsverhältnisse kündigen — so einfach ist das ;o)
Abberufung des externen Datenschutzbeauftragten
Der Datenschutzbeauftragte muss auf der einen Seite formal von seiner Aufgabe entbunden werden. Dieses erfolgt durch schriftliche Abberufung, die dem Datenschutzbeauftragten und der Aufsichtsbehörde mitgeteilt werden.
“Hiermit entbinden wir Sie von Ihrer Tätigkeit als Datenschutzbeauftragter für die Pfefferminzia GmbH mit Wirkung ab dem 01.01.2018”.
Nun muss noch die Kündigung des Dienstleistungsvertrags erfolgen.
Kündigungsschutz für den externen Datenschutzbeauftragten?
Die weiteren Regelungen in § 6 BDSG finden keine Anwendung bei der Kündigung externer Datenschutzbeauftragter, da diese in keinem Arbeitsverhältnis mit dem Unternehmen stehen. Dies bedeutet, dass sie in dieser Hinsicht – anders als intern berufene Datenschutzbeauftragte – über keinen Kündigungsschutz verfügen.
Gründe für die Kündigung externer Datenschutzbeauftragter
Warum werden externe Datenschutzbeauftragte von ihren Aufgaben entbunden? Eine pauschale Antwort lässt sich hier verständlicherweise nicht geben.
Gründe, den externen Datenschutzbeauftragten abzuberufen, gibt es ggf. etliche. Hauptsächlich dürften es die folgenden sein:
Was macht der eigentlich? Woanders gibt’s das billiger!
Natürlich sollten Sie nicht nur die Preise vergleichen, sondern müssen sich auch die jeweilige Leistung anschauen. …und ein guter Datenschutzbeauftragter kümmert sich auch dann um Ihr Unternehmen, wenn Sie es nicht merken.
Neben der Erstellung der erforderlichen Dokumente und der Prüfung Ihrer Prozesse kümmert er sich auch um die Fortbildung Ihrer Beschäftigten — und natürlich auch um seine eigene Qualifikation. Auch sollte er für Sie jederzeit erreichbar sein und Probleme lösen können — also auch präventiv z.B. Ihre Website regelmäßig prüfen und an die sich ändernden Anforderungen anpassen. Denken Sie z.B. an die kommende ePrivacy-Verordung, die Rechtsprechung des EuGH und die Veröffentlichungen der Landesdatenschutzbehörden. Wenn der Datenschutzbeauftragte dieses ernsthaft macht, lässt sich diese Leistung nicht “billig” anbieten.
Es ist eine betriebswirtschaftliche Binsenweisheit, dass die Kosten auf die jeweiligen Mandante umgelegt werden müssen. Wenn der Anbieter mit Kampfpreisen im Markt aktive ist, muss er zwingend mehr Mandanten haben, damit sich sein Unternehmen rechnet. Wenn er dann viele Mandanten betreuen muss, um kostendeckend arbeiten zu können, bleibt wenig Raum für die Betreuung des einzelnen Mandanten.
Die fachliche Kompetenz reicht nicht aus!
Leider ist die Bezeichnung “Datenschutzbeauftragter” nicht geschützt, sodass jeder — auch ohne oder schlechte fachliche Qualifikation — die Dienstleistungen anbieten kann. Viele Unternehmen stellen dann recht schnell fest, dass außer ein paar schönen Mustervordrucken keine lösungsorientierte und fachliche fundiert Beratung erfolgt. Der Datenschutzbeauftragten ist tatsächlich nicht ausreichend qualifiziert und stellt damit ein grob unterschätztes Haftungsrisiko dar.
Probleme werden entweder gar nicht erkannt, oder rechtlich und technisch nicht überblickt. Die ausgedachten Lösungen sind unzulässig und wenig praktikabel. Alles in allem kein wirklicher Gewinn für das Unternehmen.
Sicher – auch der Datenschutzbeauftragte kann nicht hexen. Manches lässt sich eben nicht so umsetzen, wie es vom Management oder beispielsweise auch Vertrieb gewünscht ist. Und manchmal müssen Datenschutzbeauftragte bei der Unternehmensleitung, den Beschäftigten oder dem Betriebsrat richtig dicke Bretter bohren.
Nach unserer Auffassung besteht die Kunst darin, den rechtlichen und technischen Rahmen zu kennen und die notwendigen Anpassungen vorzuschlagen, die es ermöglichen, dem gewünschten Ziel im Ergebnis so nah wie möglich zu kommen, ohne gegen das Datenschutzrecht zu verstoßen. Dies ist aber ohne eine allgemeinjuristische, also nicht allein auf den Datenschutz beschränkte, Ausbildung sowie vertiefte Kenntnisse in der Technik nicht möglich.
Wie bitte soll ein Anbieter mit einer 3‑tägigen Ausbildung ein rechtswissenschaftlichen Studium kompensieren? Woher soll er denn Kenntnisse aus dem Vertragsrecht, Strafrecht usw. haben?
Und schon fast als allgemeingültiger Rechtssatz kann die Aussage gelten: “Gutes kostet gutes Geld”. Ärgern Sie sich also nicht über die Qualifikation des Beraters — suche Sie lieber nach Qualität und Leistung.
Wo ist mein Berater denn eigentlich?
Durch die Aufregung ab März/April 2018 um die ab Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) sind viele Anbieter aufgetaucht, die mit einer schönen Website aber nicht ausreichendem Personalbestand in den Markt getreten sind. Gerne nehmen sie Beratungsaufträge an, versprechen Kunden mit Kampfpreisen pauschal zu viel und versuchen sich dann mit Standard-Mustern an der Beratung, weil es sonst zeitlich gar nicht geschafft werden kann.
Wieso kostet das denn jetzt extra?
Es gibt etliche Modelle, bei denen sich erst später herausstellt, was die Dienstleistung tatsächlich kostet. Auf einmal kostet der Jahresbericht extra, die Schulung der Mitarbeiter soll gesondert vergütet werden und die Erstanalyse kostet pauschal 2.000 EUR…
Wenn die angebotene Leistung des externen Datenschutzbeauftragten nicht klar beschrieben ist, ärgern Sie sich nicht. Dieses Fehler ist vielen Unternehmen passiert — Sie befinden sich in guter Gesellschaft.
Wer ist denn mein Berater oder habe ich mehrere?
Einige Anbieter nutzen sehr ausgiebig Bürodienstleister, wie z.B. CallCenter. Hier wird dem Kunden kein fester Ansprechpartner an die Seite gestellt, sondern immer der, der gerade Zeit hat. Dieser kennt im Zweifel weder den Kunden noch ist ausreichend qualifiziert. Wir kennen Call-Center als Dienstleister für einen Datenschutzbeauftragten, denen ein Frage-Antworten-Katalog zur Verfügung gestellt wird, der die fehlende Qualifikation des Gesprächspartners kompensieren soll (“Die 30 häufigsten Kunden-Fragen”).
Darf der das eigentlich? Risiko Inkompatibilität!
Bei der Bestellung des Datenschutzbeauftragte muss darauf geachtet werden, dass dieser unabhängig ist und bleibt.
Auch wenn es durchaus Sinn machen kann, wenn der IT-Dienstleister sich auch um den Datenschutz kümmert, liegt hier eine sog. Inkompatibilität vor:
Der Datenschutzbeauftragter soll ja die Qualität und Datenschutzkonformität des IT-Dienstleisters kontrollieren — dann kann er natürlich nicht Prüfer und Dienstleister in einer Person sein!
Einvernehmliche Abberufung
Neben der einseitigen Beendigung des Dienstleistungsvertrages und Abberufung kann dieses auch einvernehmlich erfolgen. Der Datenschutzbeauftragte und das Unternehmen einigen auf die Beendigung der Tätigkeit. Hier reicht eine kurze schriftliche Vereinbarung.
“Die Parteien sind sich einig, dass der Dienstleistungsvertrag zwischen Müller und Meier GmbH vom 15.10.2018 zum 01.01.2019 einvernehmlich sein Ende findet. Mit Ablauf des 31.12.2018 wird Herr Müller als Datenschutzbeauftragter abberufen.”
An was muss ich nach der Kündigung denken?
Wenn Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, muss im Anschluss an die Tätigkeit des gekündigten Datenschutzbeauftragte unmittelbar ein neuer Datenschutzbeauftragte bestellt werden. Suchen Sie sich daher rechtzeitig einen neuen Anbieter, der besser zu Ihnen und Ihrem Unternehmen passt.
Und jetzt müssen Sie noch alle Dokumente usw. ändern. Dieses sind alle Texte usw., in denen auf den Datenschutzbeauftragten verwiesen wird oder dessen Kontaktdaten angegeben sind. Denken Sie aber auch an
- die Datenschutzhinweise auf Ihrer Website,
- die Datenschutzhinweise für andere Funktionen und Tools (z.B. Wlan),
- Information des Betriebsrates, Gesamt- und Konzernbetriebsrat, Sprecherausschuss usw.
- Informationen für Betroffene (Kunden, Mitarbeiter usw.)
- Regelungen und Konzepte, wie an Auftraggeber und Partner, die über den Wechsel des Ansprechpartners informiert werden müssen.
Führen Sie ein ordnungsgemäßes Off-Boarding durch:
- Sind Schlüssel oder Arbeitsmaterial ausgehändigt worden? Achten Sie auf vollständige Rückgabe.
- Wenn Zugangs- und Zugriffsberechtigungen erteilt wurden, ändern Sie diese rechtzeitig
- Achten Sie darauf, dass Sie die notwendigen Unterlagen, die der Datenschutzbeauftragte erstellt hat, erhalten.
- Sind noch Themen offen oder Anfragen unbearbeitet?
- usw.
Zusammenfassend lässt sich festhalten, dass der Wechsel des Datenschutzbeauftragte durch Kündigung oder Vereinbarung natürlich Aufwand verursacht. U.E. ist dieser Aufwand aber überschaubar.