Können Unternehmen einen internen Datenschutzbeauftragten abberufen und kündigen, wenn sich dessen Position wirtschaftlich nicht mehr rentiert und ein externer Dienstleister dieselbe Leistung im Ergebnis effizienter erbringt? Nein sagt das Bundesarbeitsgericht. Wir erklären die Entscheidung und beantworten andere wichtige Fragen um den betrieblichen DSB.
Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen.
(Bild: fotogestoeber - stock.adobe.com)
Kann man einen internen Datenschutzbeauftragten (aus Gründen der Einfachheit wird das generische Maskulin verwendet) abberufen und kündigen, wenn sich dessen Position wirtschaftlich nicht mehr rentiert und ein externer Dienstleister dieselbe Leistung im Ergebnis effizienter erbringt?
Nein! Das Bundesarbeitsgericht (BAG) hat in seiner Ende August 2022 erfolgten Entscheidung betont, dass die Kündigung einer Datenschutzbeauftragen aus organisatorischen, finanziellen oder personalpolitischen Gründen unwirksam sei und einer dahingehenden Personalrestrukturierung eine Abfuhr erteilt.
Konkret kündigte die Beklagte das Arbeitsverhältnis ordentlich und berief sich zur Wirksamkeit der Kündigung auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Klägerin geführt habe.
Diese Kündigung hat das BAG – auch wenn bisher lediglich das Sitzungsergebnis bekannt wurde (2 AZR 225/20 - Das Bundesarbeitsgericht) – für unwirksam erklärt. Damit schloss sich das BAG im Ergebnis der Entscheidung der Instanzgerichte an, wonach die ordentliche Kündigung bereits deshalb unwirksam ist, weil der Klägerin als Datenschutzbeauftragter nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG) nur außerordentlich aus wichtigem Grund gekündigt werden kann. Zudem konstatierten schon die Instanzgerichte: Die von der Beklagten beschriebene Umstrukturierungsmaßnahme stellt allgemein keinen wichtigen Grund für eine außerordentliche Kündigung dar.
Mit der Entscheidung behandelt das BAG zwei für die Praxis relevante Fragen. Einerseits inkorporiert die BAG Entscheidung das diesjährige Urteil des Gerichtshofes der Europäischen Union (EuGH Urteil vom 22.06.2022 - C 534/20) . Der EuGH erkannte die deutsche Regelung, welche die Abberufung sowie Kündigung eines internen Datenschutzbeauftragten an einen wichtigen Grund knüpft, als zulässig an. Ein europarechtlicher Verstoß ergebe sich nicht aus dem Umstand, dass die deutsche Regelung die Vorgaben der Datenschutzgrundverordnung (DSGVO) übersteigt, obwohl diese bereits als europäische Verordnung unmittelbar verbindlich in den Mitgliedsstaaten gilt. Aus dem Gesetzteszweck der DSGVO ergebe sich eine – ungeschriebene - Kompetenz strengere Voraussetzungen an die Abberufung und Kündigung von Datenschutzbeauftragten zu stellen.
Andererseits bildet das Urteil des BAG ein weiteres Mosaik in der Beantwortung der Frage, wann ein wichtiger Grund zur Abberufung oder Kündigung eines Datenschutzbeauftragten vorliegt. Die Entscheidung des BAG soll vorliegend zum Anlass genommen werden, exemplarisch einige relevante Fragen rund um den Datenschutzbeauftragen aus der unternehmerischen Praxis zu beantworten:
1. Warum ist der Schutz vor Abberufung und Kündigung wichtig?
Die Antwort auf diese Frage ergibt sich im Wesentlichen aus Art. 38 Abs. 1 DSGVGO. Der Datenschutzbeauftragte ist nicht nur für die Unterrichtung und Beratung des Verantwortlichen (Arbeitgeber) und der Beschäftigten im Hinblick auf den Datenschutz zuständig. Er überwacht überdies die Einhaltung jedweder datenschutzrechtlicher Vorschriften, arbeitet mit der Aufsichtsbehörde zusammen und ist deren Anlaufstelle bei Fragen. Kurz: Der Datenschutzbeauftragte schützt personenbezogene Daten. Darunter fallen alle Informationen, die sich auf eine jedenfalls identifizierbare natürliche Person (nachfolgend: betroffene Person) beziehen.
Daraus wird deutlich, dass die Interessenlage im Zusammenhang mit dem Datenschutz etwa im Vergleich mit der Informationssicherheit oder aber der IT-Sicherheit eine andere ist. Die Informationssicherheit dient dem allgemeinen Schutz von unternehmensinternen Informationen, die IT-Sicherheit dem Schutz der IT-Infrastruktur. Während also die Informationssicherheit und die IT-Sicherheit mit dem Interesse des Arbeitgebers an einer Vorkehrung gegen Einwirkungen von außen korrelieren, muss dies beim Datenschutz gerade nicht der Fall sein. Dies wird besonders deutlich Anhang des nachfolgenden Beispiels.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der Praxis können Arbeitgeber ein gesteigertes tatsächliches Interesse daran haben, ihre Arbeitnehmer im Sinne einer möglichst effizienten Überwachung der Arbeitsleistung eine Totalüberwachung mittels „Keylogger“ zu installieren. Dies ist jedoch konträr zu dem Arbeitnehmerinteresse und entspricht diesem gerade nicht.
Diese Gemengelage macht die Stellung des Datenschutzbeauftragten – ähnlich wie den Betriebsrat –zu einer konfliktträchtigen Position. Um seine Funktion dennoch frei und unabhängig ausüben zu können, muss der Datenschutzbeauftragte – so auch das LAG Nürnberg in seiner Entscheidung vom 19.02.2020 (Az.: 2 Sa 274/19, Rn. 72) – vor Sanktionen durch Abberufung und Kündigung ausreichend geschützt werden.
2. Wann bestelle ich einen internen oder externen Datenschutzbeauftragten?
Als privatrechtlich organisierter Arbeitgeber besteht die Verpflichtung einen Datenschutzbeauftragten zu bestellen insbesondere dann, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wobei die regelmäßige Beschäftigung maßgeblich ist (§ 38 Abs. 1 S. 1 BDSG).
3. Wann darf ich einen internen Datenschutzbeauftragten kündigen oder abberufen?
Wie bereits festgestellt, genießt der interne Datenschutzbeauftragte in Deutschland einen weitreichenden Abberufungs- und Kündigungsschutz. Nach § 6 Abs. 4 S. 1, Abs. 4 S. 2 BDSG ist die Abberufung und Kündigung des internen Datenschutzbeauftragten nur zulässig, wenn es einen wichtigen Kündigungsgrund gibt, der eine fristlose Kündigung rechtfertigt. Einfache betriebliche Gründe reichen nicht.
Hiervon erfasst sind insbesondere schwerwiegende Pflichtverletzungen gegenüber dem Arbeitgeber, die eine weitere Zusammenarbeit schlichtweg unzumutbar erscheinen lassen und denen nicht durch mildere Maßnahmen beizukommen ist. Die Rechtsprechung stellt hier erfahrungsgemäß sehr hohe Anforderungen. Zu denken ist exemplarisch an Straftaten mit Bezug zum Arbeitsverhältnis, ein hinreichender Verdacht ebensolcher oder andere schwerwiegende Pflichtverletzungen (in der Regel, erst nach Abmahnung). Weiter bleibt der einvernehmliche Abschluss eines Aufhebungsvertrags ein gangbarer Weg, um sich von einem Datenschutzbeauftragten zu trennen.
4. Gilt der strenge Schutz vor Abberufung und Kündigung für jeden internen Datenschutzbeauftragten?
Nein! § 38 Abs. 2 BDSG normiert, dass der Kündigungsschutz des internen Datenschutzbeauftragten nur dann gilt, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist. Wird der Datenschutzbeauftragte freiwillig bestellt, so ist er gemäß Art. 38 Abs. 3 DSGVO „lediglich“ weisungsunabhängig und darf wegen der Erfüllung seiner Aufgaben nicht abberufen werden.
5. Existiert ein irgendwie gearteter Schutz auch für externe Datenschutzbeauftragte?
Der externe Datenschutzbeauftrage steht nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Damit kommen ihm auch keine Arbeitnehmerrechte, insbesondere kein weitreichender Kündigungsschutz zu. Eine wichtige Einschränkung besteht allerdings nach Art. 38 Abs. 3 S. 2 DSGVO auch für den externen Datenschutzbeauftragten (vgl. Frage 4).
Fazit
Der Schutz eines Datenschutzbeauftragen vor einer Kündigung und Abberufung ist in Deutschland jedenfalls bei verpflichtender Bestellung sehr hoch. Verantwortliche und Entscheider sind aus diesem Grund gut beraten, die Position nicht derjenigen Person aufzutragen, die gerade „das kürzeste Streichholz zieht“. Vielmehr sollte die Position des Datenschutzbeauftragten von Unternehmen als eine solche gesehen werden, die als qualifizierte Entscheidungshilfe die Prozesse einer Verarbeitung personenbezogener Daten innerhalb des Unternehmens proaktiv und konstruktiv mitbestimmt. Dies kann nur mit qualifiziertem Personal gelingen.
Über den Autor: Daniel Wasser ist als Rechtsanwalt und zertifizierter Datenschutzbeauftragter (TÜV) bei Rödl & Partner tätig. Er berät in- und ausländische Unternehmen in Fragen des Individual- und Kollektivarbeitsrechts. Insbesondere berät er in der Schnittstelle von Arbeits- und Datenschutzrecht, wobei ein Fokus auch auf der Implementierung und Anpassung von Datenschutz- oder Compliance-Management Systemen liegt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4b/55/4b551d44958f3a88d9f9e0e6a120a8b6/0127697451v2.jpeg "Das EuGH-Urteil zur Pseudonymisierung schafft Rechtssicherheit: Ob Daten personenbezogen sind, hängt von den Umständen und der Zugriffsmöglichkeit des Verantwortlichen ab. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/6a/846a1417c251f45cc2c47b6d7676b241/0128408070v2.jpeg "Arbeitgeber dürfen Beschäftigte überwachen, wenn ein arbeitsbezogener und rechtlich gedeckter Zweck vorliegt, die Maßnahme erforderlich und verhältnismäßig ist, die Mitbestimmung beachtet wird und keine anlasslose Dauerüberwachung erfolgt. (Bild: © Eric - stock.adobe.com)")