21. September 2015 - Unklare Rechtsstellung des externen Datenschutzbeauftragten

Externer DSB: zur Übernahme von Mandaten auf Weisung des Arbeitgebers verpflichtet?

Seit der letzten großen Änderung des Bundesdatenschutzgesetzes (BDSG) steht fest, dass externe Datenschutzbeauftragte prinzipiell zulässig sind (§ 4f Abs. 3 Satz 2 BDSG). Manche externe Datenschutzbeauftragte sind selbst Arbeitnehmer und werden dann von ihrem Arbeitgeber beauftragt, als externer DSB bei anderen Stellen tätig zu werden. Welche Weisungsbefugnisse hat der Arbeitgeber in einem solchen Fall? Wie vertragen sich die Unabhängigkeit eines Datenschutzbeauftragten und seine Bindung an Weisungen seines Arbeitgebers? Lesen Sie die erste Gerichtsentscheidung zu diesem Thema!

externer Datenschutzbeauftragter als Angestellter - Arbeitgeber weisungsbefugt? Wie weit reicht die Weisungsbefugnis des Arbeitgebers gegenüber einem Arbeitnehmer, der als externer Datenschutzbeauftragter eingesetzt wird? (Bild: everythingpossible / iStock / Thinkstock)

Arbeitnehmer in der „Prüfstelle Datenschutz“

Der Kläger, ein Jurist, ist bei der Beklagten in der Nähe von Essen beschäftigt. Die Beklagte ist ein Unternehmen, das für andere Unternehmen Dienstleistungen im Bereich des Datenschutzes erbringt. Der Arbeitsplatz des Klägers ist Teil einer „Prüfstelle für Datenschutz“ innerhalb der Abteilung „Business Security & Privacy“. In der „Prüfstelle Datenschutz“ sind außer ihm noch eine Juristin und zwei Arbeitnehmer mit anderer Vorbildung tätig.

„Mitgebrachtes Mandat“ des Arbeitnehmers

Die Prüfstelle war bisher vorwiegend mit Prüfungen und Gutachten zum Datenschutz betraut. Teils erfolgte dabei eine Zertifizierung durch externe Zertifizierungsstellen, teils nicht.

Bevor der Kläger in die Dienste des Unternehmens trat, war er selbstständig tätig. Aus dieser selbstständigen Tätigkeit hat er ein externes Datenschutzmandat bei einem Kunden in Dortmund mitgebracht. Nach seinem Eintritt bei dem Unternehmen mit Wirkung vom 1. Oktober 2011 war das Unternehmen Vertragspartner des Kunden in Dortmund geworden. Der Kläger betreute dieses Datenschutzmandat mit einem Arbeitsaufwand von vier Stunden im Monat in seiner neuen Funktion als Arbeitnehmer weiterhin.

Anweisung zur Übernahme von zwei zusätzlichen Mandaten

Mit zwei Mails vom 16.2.2015 erteilte das Unternehmen dem Kläger die Anweisung, zusätzlich noch als externer betrieblicher Datenschutzbeauftragter für die Entsorgungsbetriebe X und für die Unternehmen der Y Group Deutschland tätig zu werden. Dies hätte für ihn mehr Reisetätigkeit bedeutet, was er angesichts eines Rückenleidens ablehnte.

Zweifel über die Reichweite des Direktionsrechts

Unabhängig davon vertrat er die Auffassung, die Beklagte sei nicht berechtigt, ihm Tätigkeiten als externer Datenschutzbeauftragter im Weg des Direktionsrechts zuzuweisen. Er sei ganz bewusst als datenschutzrechtlicher Berater eingestellt worden. Externe Mandate als Datenschutzbeauftragter seien davon nicht erfasst gewesen.

Als es nicht zu einer Einigung kam, sprach das beklagte Unternehmen eine Änderungskündigung aus. Es bot dem Kläger an, das Arbeitsverhältnis dann fortzusetzen, wenn er die externen Datenschutzmandate übernimmt. Für den Fall, dass er dazu nicht bereit ist, kündigte es das Arbeitsverhältnis. Gegen diese Änderungskündigung wendet sich der Kläger mit seiner Klage zum Arbeitsgericht.

Befugnis der Arbeitsgeberin zu einer solchen Anweisung

Das Landesarbeitsgericht Düsseldorf als zweite Instanz ist ebenso wie das Arbeitsgericht als erste Instanz der Auffassung, dass die Änderungsschutzklage unbegründet ist. Nach Auffassung beider Gerichte war die Beklagte aufgrund ihres Direktionsrechts als Arbeitnehmerin befugt, vom Kläger die Übernahme der externen Datenschutzmandate zu verlangen. Eine einseitige Änderung der Arbeitsbedingungen, deren Überprüfung Gegenstand einer Änderungsschutzklage sein könne, liege nicht vor. Diese Auffassung begründen die Gerichte übereinstimmend wie folgt:

Reichweite des Begriffs „Berater für Datenschutz“

  • Laut Arbeitsvertrag ist der Kläger als „Berater für Datenschutz“ eingestellt worden.
  • Dieser Begriff ist dahin auszulegen, dass er auch die Tätigkeit als externer Datenschutzbeauftragter erfasst.
  • Das ergibt sich schon daraus, dass nach den Regelungen des BDSG auch ein Datenschutzbeauftragter Beratungsleistungen erbringt. Dazu gehört es beispielsweise, wenn der Datenschutzbeauftragte Personen, die bei der Verarbeitung personenbezogener Daten tätig sind, mit den Erfordernissen des Datenschutzes vertraut macht (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG). Wenn sich Betroffene an den Datenschutzbeauftragten wenden (§ 4f Abs. 5 Satz 2 BDSG), erbringt er ebenfalls Beratungsleistungen.

Keine Beeinträchtigung der fachlichen Unabhängigkeit

  • Die fachliche Unabhängigkeit, die einem Datenschutzbeauftragten zusteht (§ 4f Abs. 3 Satz 2 BDSG), führt zu keiner anderen Beurteilung. Es ist nämlich unstreitig, dass ein Datenschutzbeauftragter trotz dieser Unabhängigkeit von der verantwortlichen Stelle, für die er tätig ist, gezielte Prüfaufträge erhalten kann. Im vorliegenden Fall ist im Sinne des BDSG verantwortliche Stelle jeweils der Kunde, für den der Kläger aufgrund seines Arbeitsvertrags mit der Beklagten als externer Datenschutzbeauftragter tätig ist.

Rolle des „mitgebrachten Mandats“

  • Im konkreten Fall kommt hinzu, dass der Kläger ein externes Mandat als Datenschutzbeauftragter in sein Arbeitsverhältnis mitgebracht hat. Dieses Mandat ist einvernehmlich in das Arbeitsverhältnis integriert worden. Auch daran zeigt sich, dass der im Arbeitsvertrag verwendete Begriff des „Beraters für Datenschutz“ durchaus die Tätigkeit als externer Datenschutzbeauftragter mit umfassen sollte.
  • Weder dem Arbeitsvertrag noch der konkreten Ausgestaltung des Arbeitsverhältnisses sind Anhaltspunkte dafür zu entnehmen, dass sich eine Tätigkeit als externer Datenschutzbeauftragter auf das eine Mandat beschränken sollte, das der Kläger früher als Selbstständiger ausgeübt hatte.

Weisungsgebundenheit contra Weisungsfreiheit?

Es trifft nicht zu, dass sich die Weisungsgebundenheit des Klägers gemäß Arbeitsvertrag und die Weisungsfreiheit als (externer) Datenschutzbeauftragter (siehe dazu § 4f Abs. 3 Satz 2 BDSG) widersprechen würden und dass deshalb die Tätigkeit eines Arbeitnehmers als externer Datenschutzbeauftragter nicht zulässig wäre. Insoweit ist Folgendes von Bedeutung:

  • Die Weisungsgebundenheit laut Arbeitsvertrag hat – beachtet man die Richtung der Weisungsfreiheit – mit der Weisungsfreiheit des externen Datenschutzbeauftragten nichts zu tun.
  • Die Weisungsgebundenheit laut Arbeitsvertrag regelt die Frage, welche Tätigkeiten der Kläger nach Anweisung seiner Arbeitsgeberin auszuüben hat. Demgegenüber ist die Weisungsfreiheit in der Funktion als externer Datenschutzbeauftragter auf die verantwortliche Stelle zu beziehen, bei der er als externer Datenschutzbeauftragter tätig wird.
  • Die Arbeitsgeberin kann ihn also anweisen, für bestimmte verantwortliche Stellen als externer Datenschutzbeauftragter tätig zu werden. Die verantwortliche Stelle ist jedoch nicht berechtigt, ihm inhaltliche Weisungen zu erteilen. Die verantwortliche Stelle ist auch nicht berechtigt, der Arbeitsgeberin ihres externen Datenschutzbeauftragten Weisungen zu erteilen mit dem Ziel, dass die Arbeitsgeberin dem Datenschutzbeauftragten inhaltliche Weisungen auf dem Gebiet des Datenschutzes erteilt. Beides soll die Unabhängigkeit gegenüber der verantwortlichen Stelle sichern.
  • Beachtet man die dargestellte Schutzrichtung der Weisungsfreiheit des externen Datenschutzbeauftragten, dann ist die inhaltliche Unabhängigkeit des Datenschutzbeauftragten auf dem Gebiet des Datenschutzes durch seine Weisungsgebundenheit als Arbeitnehmer nicht berührt.

Keine einseitige Änderung der Arbeitsbedingungen

Da die Beklagte schon aufgrund des Arbeitsvertrags berechtigt war, dem Kläger Mandate als externer Datenschutzbeauftragter zuzuweisen, hat sie die gemäß Arbeitsvertrag vereinbarten Arbeitsbedingungen nicht einseitig geändert. Daher ist für eine Änderungsschutzklage von vornherein kein Raum. Es bedurfte nämlich keiner Änderungskündigung, um die Übernahme der Mandate im Rahmen des Arbeitsverhältnisses durchzusetzen. Die Klage ist daher unbegründet.

Erstes Gerichtsverfahren zum Thema

Es handelt sich um das erste bekannt gewordene Verfahren, in dem es um die Gestaltung der Arbeitsverträge von externen Datenschutzbeauftragten geht. Aus diesem Grund hat das Landesarbeitsgericht auch die Revision zum Bundesarbeitsgericht zugelassen. Es ist daher durchaus möglich, dass in einiger Zeit im vorliegenden Verfahren noch eine Entscheidung des Bundesarbeitsgerichts ergeht, die dann möglicherweise wieder ganz andere Akzente setzt.

Weder externe Datenschutzbeauftragte noch deren Arbeitgeber sollten sich deshalb darauf verlassen, dass die vorstehend geschilderte Argumentation „in Stein gemeißelt“ ist.

Geschäftsmodell der Beklagten

Eher am Rande schildert das Gericht, wie das Geschäftsmodell der Beklagten aussieht. Die Beklagte geht wie folgt vor:

  • Sie schließt mit ihren Kunden einen Vertrag ab, der als Datenschutz-Leistungspaket unter anderem auch die Stellung eines externen Datenschutzbeauftragten vorsieht.
  • Diese Tätigkeit wird dann einem Mitarbeiter (so wie hier dem Kläger) übertragen, der sie gegenüber der verantwortlichen Stelle wahrnimmt.
  • Vertragspartner der verantwortlichen Stelle ist bei dieser Konstruktion nicht der externe Datenschutzbeauftragte selbst, sondern dessen Arbeitgeber und damit in den meisten Fällen eine juristische Person. Das Gericht hat damit ersichtlich keine Probleme und verweist darauf, dass auch wichtige Stimmen in der Literatur (etwa Simitis in seiner Kommentierung zu § 4f BDSG) keine Bedenken gegen diese Konstruktion erheben. Allerdings sollte man beachten, dass es auch Gegenstimmen gibt und dass diese Konstruktion bisher noch nicht Gegenstand einer Entscheidung des Bundesarbeitsgerichts war.

Verankerung externer DSB im BDSG

Dass es überhaupt externe Datenschutzbeauftragte geben darf, wurde bei der letzten großen Änderung des BDSG im Jahr 2009 ausdrücklich klargestellt. Damals wurde folgende Regelung in das Gesetz eingefügt: „Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden.“ (§ 4f Abs. 3 Satz 2 BDSG).

Weitere Regelungen wurden allerdings nicht getroffen, weil man dies nicht für erforderlich hielt. Betrachtet man das vorliegende Verfahren, so kann man daran zweifeln, ob diese Sichtweise richtig war. Vor allem hatte man wohl nicht bedacht, dass es außer selbstständig tätigen externen Datenschutzbeauftragten auch solche geben könnte, die aufgrund eines Arbeitsvertrags verpflichtet sind, auf Weisung ihres Arbeitgebers als externer Datenschutzbeauftragter bei anderen Stellen tätig zu werden.

Das Urteil des Landesarbeitsgerichts Düsseldorf vom 4. März 2015-12 Sa 136/15 ist abrufbar unter http://www.justiz.nrw.de/.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln