Arbeitsrecht schlägt Datenschutzrecht?

Schmolz · 16. Januar 2026 um 11:55

Ich bin interner betrieblicher Datenschutzbeauftragter eines Unternehmens der Sozialbranche. Es werden überwiegend p.D. besonderer Kategorien nach den Sozialgesetzbüchern verarbeitet (Rehabilitationsleistungen, Jugendhilfeleistungen).

Es gab mehrere schwere Datenschutzvorfälle, die meiner Ansicht nach sowohl die Meldepflicht auslösten als auch die Information der Betroffenen erforderlich machte. Die Geschäftsführung wollte diese Vorfälle jedoch weder der Aufsichtsbehörde melden noch die Betroffenen informieren. Über diese Angelegenheit entstand ein Konflikt zwischen mir und der GF, mit dem Ergebnis, dass ich abgemahnt wurde. Es wurde mir unter Kündigungsandrohung ein Verbot ausgesprochen, zukünftig eigenständig ohne vorherige jeweilige Einzelgenehmigung der GF mit “Personen” zu kommunizieren. Der Rechtsanwalt, den ich konsultiert habe, meinte dazu, die GF wollte mich “kaltstellen”. Insbesondere rat mir der Anwalt davon ab, die Aufsichtsbehörde zu informieren. Damit würde ich praktisch meine Kündigung selbst unterschreiben. Im Kündigungsschutzverfahren vor dem Arbeitsgericht würde ich mit dieser Handlungsweise nicht gut dastehen (zerrüttetes Arbeitsverhältnis).

Mit der nun nicht mehr bestehenden Unabhängigkeit der Tätigkeit als Datenschutzbeauftragter kann ich meine Arbeit faktisch nicht mehr ausüben. Derzeit habe ich den Eindruck, eine einfache arbeitsrechtliche Abmahnung ist dazu fähig, den DSB bedeutungslos zu machen.

Vielleicht habe ihr noch Ideen, was ich machen könnte.

Domasla · 16. Januar 2026 um 15:15

Ruhig bleiben. Sag ich so einfach… Die Arbeit machen. Nichts vorwerfen lassen. (Bzw. das Fehlverhalten der Gegenseite prallt auf korrekte Tätigkeit.)

Mal in die DSB-Pflichten der DSGVO schauen. Und in die Pflichten des Verantwortlichen, den DSB einzubinden.

Betroffene Personen müssen sich immer direkt an DSB wenden können. Der Arbeitgeber darf sich da nicht dazwischenschalten.

Umgekehrt ist der DSB meistens auf den Verantwortlichen oder einzelne betriebliche Stellen angewiesen. Sitzt schließlich nicht selbst auf den Daten, muss nachfragen. Hier kann der Arbeitgeber darauf bestehen, dass DSB-Aktivitäten über ihn laufen. Er muss die nötigen Kontakte zuweisen, oder Infos hin und her vermitteln.

Verzeichnis führen und Einträge festlegen, geeignete technische und organisatorische Maßnahmen vorsehen und deren Wirksamkeit nachweisen, Datenschutzverletzungen bearbeiten, Folgenabschätzungen durchführen, Pflichtinformationen erteilen, Anträge zu Betroffenenrechten umsetzen,… alles Pflichten, die den Verantwortlichen treffen. Wenn die Erledigung einfach an DSB delegiert wird, sind diese Fälle nicht erledigt, weil Rückfragen und Entscheidungen nötig sind.

Du solltest der Geschäftsführung erkannte Misstände mitteilen, bei Klärungsbedarf anfragen, sie über aktuelle Entwicklungen informieren. (Wem sag ich das…) Bei Wiederholung bzw. nicht abgestellten Sachen regelmäßig; immer seltener; dann auf jeden Fall jährlich. Dazu bietet sich ein jährlicher Datenschutzbericht an, der sich nur an die Geschäftsführung richtet. Mit der Kopie kannst du dich als letztes Mittel beim Arbeitsgericht bzw. gegen Vorwürfe der Aufsichtsbehörde entlasten.

Externe DSB würden einfach ein solches Pflichtprogramm abspulen und weiter für ihre erbrachte Dienstleistung kassieren. Für interne DSB wird es natürlich frustrierend. Aufpassen, dass genug Arbeitszeit für das Spielchen zugeteilt ist

D., der als DSB nichts entscheidet und nur berät. Mehr oder weniger aufdringlich. Letzteres ist seltener nötig.

Thomas · 19. Januar 2026 um 05:59

Starker Tobak…. Spiegelt jedoch, wenn auch sehr extrem, was ich als bDSB in letzter Zeit erlebe.

Domasla hat eigentlich alles schon geschrieben, was es da zu Schreiben gibt. Dein GF ist sehr gut beraten mal in die DSGVO zu schauen, wer wofür er verantwortlich ist.
Da hilft nur hinweisen, dokumentieren und noch mal hinweisen, dass man Dir im Zweifel nicht ans Bein treten kann wegen falscher Beratung.
Einen bDSB abzumahnen, nur weil er seine Arbeit korrekt ausführt ist sogar ein klarer Verstoß gegen die DSGVO. Der AG kann nur bei grobfahrlässiger oder vorsätzlicher Pflichtverletzung den bDSB abmahnen. Und im geschilderten Fall ist keine Pflichtverletzung des des bDSB erkennbar, ganz im Gegenteil.

iDSB · 19. Januar 2026 um 23:38

Schließe mich an.

Nicht der DSB muss die Meldung nach Art 33 DSGVO machen sondern der Verantwortliche. Nach Art 39 haben wir diesen zu beraten und zu unterrichten sowie zu überwachen.

Also dokumentiere ich alle meine Empfehlungen und die Antworten und verhalte mich nach den Vorgaben der Geschäftsführung. Ein Kampf gegen den Arbeitgeber ist niemals anzuraten.

Außerdem haben Anfragen bei der Aufsichtsbehörde in der Vergangenheit schon zu Kontrollbesuchen und Maßnahmen geführt. Dann hast Du noch mehr Arbeit und bist am Ende auch noch Deinen Job los, weil Du rausgemobbt wirst.

l.huesker · 20. Januar 2026 um 06:54

So etwas ist nach meiner Erfahrung selten und sehr ärgerlich.

Zu 1:

Die Geschäftsführung wollte diese Vorfälle jedoch weder der Aufsichtsbehörde melden noch die Betroffenen informieren. Über diese Angelegenheit entstand ein Konflikt zwischen mir und der GF, mit dem Ergebnis, dass ich abgemahnt wurde. Es wurde mir unter Kündigungsandrohung ein Verbot ausgesprochen, zukünftig eigenständig ohne vorherige jeweilige Einzelgenehmigung der GF mit “Personen” zu kommunizieren.

Wichtig für den DSB zu wissen: Er ist nicht für die EInhaltung des Datenschutzes zuständig. Er ist zuständig, dass der Verantwortliche über seine Pflichten informiert ist.
[Das sollte er nachweisen können (dokumentieren, dokumentieren, dokumentieren).]
Von daher ist ein Bestehen das DSB auf einer bestimmten Handlungsweisen des Verantwortlichen nicht so vorgesehen. Der DSB ist in seinem Handeln unabhängig und muss deutlich und auch hartnäckig auf die Einhaltung der gesetzlichen Vorgaben hinwirken, er sollte es aber nicht soweit treiben, dass der Vertreter des Verantwortlichen richtig “sauer” wird, da das eine weitere Zusammenarbeit behindert und deshalb “kontraproduktiv” ist.
Von daher kann - soweit das “Hinwirken auf eine Handlung des Verantwortlichen” objektiv den Rahmen des “beratenden Aufgabenbereichs” des DSB überschritten hat - eine Abmahnung u.U. gerechtfertigt sein.
Empfehlung: Eine Stellungnahme des Mitarbeiters muss bei einer Abmahnung zur Personalakte genommen werden, wenn dieser es wünscht. Eine solche Stellungnahme, in der die Intention des DSB und die Rechtswidrigkeit der Entscheidungen des Verantwortlichen klar erkennbar sind, wäre sehr sinnvoll.

Das Verbot mit Einzelpersonen zu kommunizieren:
Wenn dies dokumentiert ist, ist es ein Verstoss gegen Art. 38 Abs. i.V.m Art. 39 Abs. 1.; darauf sollte man (schriftlich) hinweisen und eine Rücknahme des Verbots empfehlen.

Der benannte DSB ist nicht kündbar, wenn es sich um eine Pflichtbenennung handelt und er seine Aufgaben nachweislich (dokumentieren, doku….) wahrnimmt.
Auch eine “Zerrüttung des Vertrauensverhältnisses” KANN bei einem DSB keinen Kündigungsgrund darstellen. (Hier sollte der Anwalt einmal einschlägige Urteile zur Kündigung von DSB lesen.)

Trotzdem ist eine Anfrage/Meldung bei der Aufsicht nicht unbedingt ratsam, da es nicht zum gewünschten Ergebnis führen wird und auch die Treuepflicht des Arbeitnehmers verletzt. (Es gibt als Arbeitnehmer, auch als DSB, so etwas wie eine Loyalitätspflicht.) So sehr man als DSB auch gerne die Welt besser machen möchte: Der Verantwortliche entscheidet und wir müssen (das dokumentieren und) leider damit leben.
Die einzige Genugtuung, die man ggf. hat, ist das Wissen, dass wenn es zu einer Prüfung der Aufsicht (z.B. wegen einer Betroffenenbeschwerde) kommt und man als DSB gefragt wird, “… und was haben Sie dazu beraten?”, man seinen “RMA-Ordner” (RMA =Rette meinen Arsch) auf den Tisch legen kann, denn als DSB bin ich unabhängig, nicht parteipflichtig und zur Auskunft gegenüber der Behörde verpflichtet.

Also meine Empfehlung:

Beruhigen und verstehen, dass es nicht dii Aufgabe des DSB ist dafür Sorge zu tragen, dass es richtig gemacht wird, sondern nur NACHWEISLICH sicher zu stellen, dass der Entscheider weiss, wie es richtig gemacht wird. ER trägt die Verantwortung.
Mail/Brief oder Protokolleintrag zum Thema “Kommunikationsverbot”, dabei SACHLICH klar stellen, dass Sie Ihre Aufgaben als DSB so nicht mehr wahrnehmen können, etc. und das die Weisung ein klarer Verstoss gegen die Vorgaben der DSGVO (oder auch KDG, wenn kirchlich) darstellt. (Auch klar machen, dass Sie ihr Amt NICHT niederlegen.)
Dies ggf. auch zur Stellungnahme für die Abmahnung hinzufügen.

Gruß, von einem, der 2018 wegen eines Zerwürfnisses mit der GF über die Anwendungspflicht der DSGVO seiner Kündigung zuvor kam, indem er Mitarbeiter bei einem Datenschutzbüro wurde.
(DAS war eine gute Entscheidung und ein witziges Personalgespräch. Noch besser war das spätere Übergabegespräch mit der GF und dem neuen externen DSB dort, dem ich bei jeder Frage zur Bestandsaufnahme Dokumente (Ausdrucke von Mails, Protokolle) vorlegen konnte, dass die GF die erforderlichen Maßnahmen abgelehnt/blockiert hatte und der GF dämmerte, dass die DSGVO vielleicht doch umgesetzt werden muss …. ich bin aus dem Grinsen nicht rausgekommen)

Schmolz · 25. Januar 2026 um 16:12

Vielen Dank für eure Antworten, die sehr hilfreich für mich sind. Es macht es in der Sache zwar nicht besser zu lesen, dass es anderen ähnlich ergangen ist, aber doch besser erträglich für mich.

Ergänzend noch die Information, dass mir mein Anwalt davon abgeraten hat, eine Gegendarstellung zur Aufnahme in die Personalakte zu schreiben. Habe ich dann auch nicht gemacht (ist ein paar Monate her). Er meinte, damit liefere man dem Arbeitgeber die Argumente für die Kündigung. Er unterstelle dem Arbeitsrichter nicht unbedingt eine Expertise im Datenschutzrecht. Nach dem Motto: “Vor Gericht und auf hoher See…”. Dass eine Kündigung nur “aus wichtigem Grund” möglich ist, habe ich mit dem Anwalt zwar besprochen, er meinte, der Arbeitgeber werde, wenn er das wolle, schon einen wichtigen Grund finden. Zum Beispiel könnte ich irgendwann mal ein “falsches” Youtube-Video aufgerufen haben (habe ich nicht) und daraus einen Arbeitszeitbetrug konstruieren.

Ich sehe das Thema “Kündigung” mittlerweile jedoch gelassener. Meinen Unterrichtungs- und Beratungspflichten nach Art. 39 Abs. 1 lit a DSGVO bin ich umfassend nachgekommen, in schriftlicher Form und damit gut dokumentiert. Bei einem solchen Arbeitgeber, der wenig bis kein Verständnis bzw. Akzeptanz für die Tätigkeiten des bDSB aufbringt, geht es mir gelegentlich so, dass ich mich selbst hinterfrage, ob ich noch das richtige mache. Rückblickend betrachtet ist meine Dokumentation jedoch tadellos - der “RMA-Ordner” ist gut gefüllt (Danke @l.huesker )!

Im nächsten Tätigkeitsbericht an den Verantwortlichen werde ich einen Abschnitt mit der Überschrift “in eigener Sache” einfügen, in dem ich auf die Rechtswidrigkeit des Kommunikationsverbots hinweise. Mal sehen, wie es dann weitergeht.

Noch eine Anmerkung zum Verhalten des Betriebsrats in der Angelegenheit. Nach dem Wortlaut meiner Abmahnung muss ich alle Anfragen des BR an die GF weiterleiten, die dann entscheidet, ob bzw. was ich dem BR antworte (!). Abgesehen von dem Verstoß gegen die DSGVO ist hiermit auch ein Verstoß gegen § 79 BetrVG verbunden. Der BR sah in den Rechtsfolgen der Abmahnung, die die BR-Arbeit selbst betreffen würden, jedoch kein Problem für sich (!).

Grüsse an alle und Danke, Schmolz

Domasla · 26. Januar 2026 um 08:07

Ich würd’s nicht “in eigener Sache” nennen, sondern neutral feststellen, dass hier vertrauliche (d. h. direkte) Ansprachemöglichkeiten vorgeschrieben sind. Die Pflicht, das zu ermöglichen (und gleichzeitig das Verbot, die Vertraulichkeit zu beeinträchtigen) trifft den Verantwortlichen (Arbeitgeber).

Vorschlag für die Überschrift: Datenschutz-Organisation.