Externer Datenschutzbeauftragter: Zum Direktionsrecht des Arbeitgebers

Anwaltskanzlei Ferner Alsdorf > News von Rechtsanwalt Ferner > Arbeitsrecht > Externer Datenschutzbeauftragter: Zum Direktionsrecht des Arbeitgebers

Rechtsanwalt Jens Ferner – Strafverteidiger & Fachanwalt für Informationstechnologierecht: Ihr Anwalt in Alsdorf in der Region Aachen, Heinsberg & Düren im: Strafrecht, Arbeitsrecht, IT-Recht & Datenschutzrecht, Urheberrecht und Markenrecht. Die Beratung von Handwerkern und mittelständischen Unternehmen wird im Vertragsrecht und Wettbewerbsrecht geboten sowie speziell ausgerichtet auf Produkte. „Produktanwalt„: Schutz der Gestaltung von Produkten, Haftungs- und Sicherheitsrechtliche Fragen, Rechtsdurchsetzung gegen Wettbewerber und „Piraten“.

Besprechungstermin in Alsdorf vereinbaren: 02404-92100

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Die Sachlage bei Landesarbeitsgericht Düsseldorf (12 Sa 136/15) ist zwar interessant, muss aber genau verstanden werden um die Entscheidung nicht falsch einzuordnen: Jemand war selbstständig als externer Datenschutzbeauftragter und lässt sich dann bei einem Unternehmen anstellen als „Berater für Datenschutz“, wobei er einen bisherigen Kunden mitbringt und den weiter betreut. Später dann soll er – im Rahmen einer Änderungskündigung – für einen weiteren Kunden tätig werden und zwar als „externer Datenschutzbeauftragter“. Das Gericht kommt zu dem Ergebnis, dass eine Änderungskündigung schon gar nicht notwendig war, denn genau hierfür war er angestellt.

Die Entscheidung ist ein Musterstück dafür, wie man als Arbeitnehmer für etwas eingestellt wird, was man selber gar nicht sieht. Die Ausführungen zum (externen) Datenschutzbeauftragen sind im Übrigen interessant, insbesondere was die Weisungsgebundenheit des externen Datenschutzbeauftragten gegenüber seinem eigenen Arbeitgeber angeht, die überzeugend und zu Recht abgelehnt wird.

Externer Datenschutzbeauftragter vom Berater erfasst

Das Gericht stellt dar, warum durch den Arbeitsvertrag die Tätigkeit als externer Datenschutzbeauftragter bereits erfasst war:

Auszugehen ist zunächst von dem Wortlaut des Arbeitsvertrag und der darin verwandten Tätigkeitsbeschreibung in § 1 Abs. 1. Genannt ist dort der Berater für Datenschutz. Zunächst ist dieser Begriff von den Parteien nicht eng verstanden worden, denn er erfasst unstreitig auch das Aufgabenspektrum Prüfer, Gutachter und Auditor Datenschutz. Bei enger Wortlautauslegung könnte man bereits den Prüfer vom Berater unterscheiden. Der Wortlaut ist vielmehr weit gefasst und erfasst die gesamte Beratung im Bereich des Datenschutzes. Der im Arbeitsvertrag verwandte Begriff des Beraters für Datenschutz erfasst damit den externen Datenschutzbeauftragten. (…) Diese Auslegung entspricht auch dem mit dem Arbeitsvertrag verfolgten Zweck und der Interessenlage der Parteien. Der Kläger hat nämlich bereits bisher auf dieser Grundlage die Tätigkeit eines externen Datenschutzbeauftragten ausgeführt. Zur Überzeugung der Kammer erfolgte diese Tätigkeit auf der Basis des Arbeitsvertrags. Wie der Kläger auf Befragen des Gerichts in der Kammerverhandlung ausdrücklich klargestellt hat, hat er ein externes Mandat aus seiner selbständigen Tätigkeit zur Beklagten mitgebracht. Dieses führt er aber nicht neben dem Arbeitsvertrag etwa als genehmigte, selbständige Nebentätigkeit weiter, sondern dieses Mandat ist einvernehmlich in das Arbeitsverhältnis der Parteien integriert worden. Der Kunde hat ein Vertragsverhältnis mit der Beklagten begründet und der Kläger wurde für die Beklagte bei dem Kunden als externer Datenschutzbeauftragter tätig. Eine gesonderte Vergütung erhielt er dafür nicht. Die geleisteten vier Stunden im Monat waren Teil seiner für die Beklagte erbrachten Arbeitsleistung. Es entsprach mithin der beiderseitigen Interessenlage, diese Tätigkeit im Rahmen des Arbeitsverhältnisses fortzuführen. Dieses ist Grundlage auch für diese Tätigkeit und erfasst sie. Dies zeigt zur Überzeugung der Kammer, dass der von den Parteien verwandte Tätigkeitsbegriff des Beraters für Datenschutz auch den externen Datenschutzbeauftragten erfassen sollte, was angesichts der ohnehin bestehenden Überschneidungen – wollte man Berater und externen Datenschutzbeauftragten insoweit trennen – auch nahelag. Eine Eingrenzung nur auf dieses eine Mandat ist dem Arbeitsvertrag nicht zu entnehmen.

Das bedeutet, es konnte problemlos ein weiterer Kunde des Unternehmens zugeordnet werden, da dies ja gerade in die arbeitsvertraglich geschuldete Tätigkeit hineinfällt.

Problem: Weisungsgebundenheit des Datenschutzbeauftragten?

Ebenfalls sehr anschaulich – wenn auch sehr lang – führt das Gericht aus, warum die im Arbeitsvertrag vorgesehene Weisungsgebundenheit gegenüber dem Arbeitgeber sich gerade nicht auswirkt:

Dies gilt zunächst für die in § 5 des Arbeitsvertrags geregelte Weisungsgebundenheit des Klägers, der seine Dienste nach den Weisungen der Geschäftsführung der Beklagten ausübt. Dies steht weder seiner jetzigen Tätigkeit als externer Datenschutzbeauftragter noch künftigen, ihm zugewiesenen Tätigkeiten als solcher entgegen. Zur Überzeugung der Kammer ist die Weisungsfreiheit des externen Datenschutzbeauftragten funktionsbezogen aus ihrer Schutzrichtung gegenüber der verantwortlichen Stelle zu bestimmen. Das Gesetz sieht den externen Datenschutzbeauftragten ausdrücklich vor (§ 4f Abs. 2 Satz 3 Halbs. 1 BDSG). Unstreitig gilt auch für diesen, dass er in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes frei ist (§ 4f Abs. 3 Satz 2 BDSG; s.a. Erwägungsgrund 49 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).

Zu berücksichtigen ist dabei aber die Besonderheit des externen Datenschutzbeauftragten. Unabhängig von der Frage, ob eine juristische Person selbst externer Datenschutzbeauftragter sein kann (vgl. dazu Simitis a.a.O., § 4f Rn. 48 ff.; ablehnend z.B. Gola/Schomerus, BDSG 11. Aufl. 2012, § 4f Rn. 19), geht die Beklagte in ihrem Geschäftsmodell so vor, dass mit dem Kunden ein Vertrag abgeschlossen wird, der als Leistungspaket auch die Stellung eines externen Datenschutzbeauftragter enthält. Diese Tätigkeit wird sodann dem Mitarbeiter – hier soll es der Kläger sein – übertragen, der diese Aufgabe wahrnimmt (diesen Bestellungsweg beschreibend Simitis a.a.O. § 4f Rn. 49; i.E. wohl auch Gola/Schomerus a.a.O., § 4f Rn. 19). Richtig ist weiter, dass der externe Datenschutzbeauftragte organisatorisch auch in das Unternehmen des Kunden eingebunden ist (vgl. § 4f Abs. 3 Satz 1 BDSG). Legt man diese Struktur der hier vorgenommenen Organisation der Stellung eines externen Datenschutzbeauftragten zu Grunde, bezieht sich dessen Unabhängigkeit auf dem Gebiet der Fachkunde des Datenschutzes nicht auf das Verhältnis des externen Datenschutzbeauftragten zu seinem Arbeitgeber (HWK/Lembke, 6. Aufl. 2014, § 4g BDSG: „Der (interne) Datenschutzbeauftragte ist nach § 4f III 2 in fachlicher Hinsicht weisungsfrei.“; a.A. Däubler/Klebe/Wedde/Weichert, BDSG 4. Aufl. 2014, § 4f Rn. 22; Gola/Schomerus, § 4f BDSG a.a.O. Rn. 19). Dies ergeben der Normzweck und die funktionsbezogene Schutzrichtung der Weisungsfreiheit.

Die Weisungsfreiheit des Datenschutzbeauftragten ist bereits gegenüber dem Leiter der verantwortlichen Stelle nicht absolut ausgestaltet, sondern funktionsgezogen, um eine unabhängige Beratung des Leiters zu gewährleisten (BT-Drs. 14/4329 S. 36). Die Weisungsfreiheit bleibt so lange reine Leerformel, wie die verantwortliche Stelle den Datenschutzbeauftragten jederzeit anweisen kann, wie er sich zu verhalten hat. Das BDSG spricht der verantwortlichen Stelle jede Befugnis ab, dem Beauftragten vorzuschreiben, wie er seiner Aufgabe nachgehen muss (Simitis a.a.O., § 4f Rn. 121). Schutzrichtung der Weisungsfreiheit ist mithin die Unabhängigkeit gegenüber der verantwortlichen Stelle. Dies zeigt sich z.B. daran, dass dann, wenn die Aufgabe des Datenschutzbeauftragten arbeitsteilig ausgeführt wird, zwar die verantwortliche Stelle auch den Mitarbeitern des Datenschutzbeauftragten keine Weisungen auf dem Bereich der Fachkunde des Datenschutzes erteilen kann, wohl aber der Datenschutzbeauftragte seinen Mitarbeiter (Däubler/Klebe/Wedde/Weichert a.a.O., § 4f Rn. 45; Simitis a.a.O., § 4f Rn. 123). Das Benachteiligungsverbot (§ 4f Abs. 3 Satz 3 BDSG) richtet sich primär an die verantwortliche Stelle (HWK/Lembke a.a.O. § 4g BDSG Rn. 10; Simitis a.a.O., § 4f Rn. 130, 132) und betrifft auch bei einem externen Datenschutzbeauftragten primär dass zu dieser bestehende Vertragsverhältnis (Simitis a.a.O., § 4f Rn. 135). Und auch das Kündigungsverbot des § 4f Abs. 3 Satz 5 BDSG richtet sich gegen die verantwortliche Stelle. Nichts anderes als bei arbeitsteiliger Organisation des externen Datenschutzbeauftragten gilt im Ergebnis, wenn der externe Datenschutzbeauftragte von einem dritten Unternehmen gestellt wird. Weder diesem gegenüber noch dem Datenschutzbeauftragten darf die verantwortliche Stelle auf dem Gebiet des Datenschutzes Weisungen erteilen.

Innerhalb der Organisation des Unternehmens, das den externen Datenschutzbeauftragten stellt, darf dieses seinem Mitarbeiter aber auch auf dem Gebiet des Datenschutzes Weisungen erteilen. Die Schutzrichtung der Weisungsfreiheit gegenüber der verantwortlichen Stelle ist nicht betroffen. Dies muss sich entgegen der Ansicht des Klägers auch nicht zum Nachteil des Datenschutzes auswirken, weil durch eine effektive Steuerung der von dem externen Dritten eingesetzten Datenschutzbeauftragten die Kontrolldichte und Kontrolltiefe im Bereich des Datenschutzes effektiver gestaltet werden kann. Mit seiner Bestellung zum Datenschutzbeauftragten bei dem Kunden wird dieser im Hinblick auf das Weisungsrecht nicht aus der Arbeitsorganisation seines Arbeitgebers herausgelöst.

Keine Zuweisung durch Direktionsrecht

Übrigens: Das Direktionsrecht kann im Übrigen nicht greifen:

Richtig ist, dass einem Arbeitnehmer grundsätzlich die Stellung des Datenschutzbeauftragten nicht aufgedrängt werden darf. Einem betrieblichen Datenschutzbeauftragten, der in einem Arbeitsverhältnis steht, kann die Aufgabe des Datenschutzbeauftragten regelmäßig nicht im Wege des Direktionsrechtes zugewiesen werden (BAG 13.03.2007 – 9 AZR 612/05, AP Nr. 1 zu § 4f BDSG).