Marcus Belke
CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.
In Germania, i responsabili interni della protezione dei dati godono di una protezione speciale particolarmente ampia contro il licenziamento ai sensi del diritto del lavoro. Questa normativa ha una notevole importanza pratica per le aziende. Infatti, la nomina di un dipendente a responsabile della protezione dei dati non è solo una decisione di conformità organizzativa, ma anche una decisione di diritto del personale con conseguenze a lungo termine. Cosa significa questo per l'organizzazione della protezione dei dati delle aziende.
Protezione speciale contro il licenziamento del DPO secondo il BDSG
L'articolo 38 del BDSG è il punto di riferimento centrale per le aziende. Questo stabilisce che le aziende devono nominare un responsabile della protezione dei dati se in generale hanno almeno 20 persone coinvolte in modo permanente nel trattamento automatizzato dei dati. Elaborazione dei dati personali.
Per i responsabili interni della protezione dei dati, la legge fa riferimento all'articolo 6 (4) del BDSG. Questa disposizione stabilisce una protezione speciale ai sensi del diritto del lavoro.
Le conseguenze sono di vasta portata:
- La cessazione ordinaria del rapporto di lavoro è generalmente esclusa.
- Di norma, il licenziamento può essere considerato solo un licenziamento straordinario per giusta causa (§ 626 BGB).
- Anche dopo la cessazione del rapporto di lavoro, esiste una protezione contro il licenziamento per un anno.
Il legislatore persegue quindi un obiettivo chiaro: i responsabili della protezione dei dati devono essere in grado di svolgere i loro compiti in modo indipendente senza dover temere pressioni da parte del diritto del lavoro.
Giurisprudenza: ostacoli elevati per la cancellazione del DPO
Le sentenze dei tribunali del lavoro hanno ripetutamente confermato e specificato questa protezione.
Una decisione del Tribunale federale del lavoro (BAG, sentenza del 27 aprile 2021 - 2 AZR 225/20). Il tribunale ha chiarito che la risoluzione ordinaria di un contratto con un responsabile della protezione dei dati nominato su base obbligatoria non è consentita e può addirittura essere nulla.
Vale la pena notare che, secondo il BAG, questa protezione si applica anche se il licenziamento viene dato durante il periodo di prova o il periodo di attesa ai sensi della legge sulla protezione dei licenziamenti. Il BDSG non contiene alcuna restrizione al riguardo.
Ciò chiarisce che la protezione speciale contro il licenziamento non è solo uno strumento teorico, ma può anche avere un impatto pratico sulle decisioni del personale.
Classificazione secondo il diritto europeo
La questione della portata della tutela contro il licenziamento è stata chiarita anche a livello europeo.
La Corte di giustizia europea (CGUE) ha stabilito che le normative nazionali che consentono il licenziamento o la revoca di un responsabile della protezione dei dati solo per giusta causa sono generalmente compatibili con il principio di proporzionalità. GDPR sono compatibili.
Tuttavia, il prerequisito è che tali regolamenti soddisfino gli obiettivi del GDPR, in particolare l'effettivo adempimento dei compiti del DPO.
Questo significa per le aziende: La protezione speciale tedesca contro il licenziamento rientra nel quadro consentito dal diritto europeo.
Conflitti di interesse come motivo di licenziamento
Un altro punto chiave riguarda i potenziali conflitti di interesse.
Ai sensi dell'art. 38, par. 6 GDPR il responsabile della protezione dei dati non può svolgere compiti che comportino un conflitto di interessi con la sua funzione di controllo. Tale conflitto sussiste in particolare se l'interessato decide le finalità e i mezzi del trattamento dei dati.
Questi principi sono stati concretizzati dalla CGUE e dal BAG in diverse decisioni.
Ciò è risultato particolarmente chiaro nel caso di un presidente di comitato aziendale che è stato nominato anche responsabile della protezione dei dati. Il BAG ha rilevato che le due funzioni possono essere incompatibili. In una simile costellazione, può esserci un conflitto di interessi che giustifica il licenziamento del responsabile della protezione dei dati.
Ciò ha una conseguenza importante per le aziende: esse devono verificare la presenza di potenziali conflitti di interesse prima di nominare un dipendente.
Nomina obbligatoria o volontaria del DPO?
Una questione fondamentale che spesso viene sottovalutata nella pratica riguarda la base giuridica per la nomina di un responsabile della protezione dei dati. Questo perché la speciale protezione contro il licenziamento prevista dal diritto del lavoro ai sensi dell'articolo 6 (4) del BDSG presuppone generalmente che la nomina sia giuridicamente vincolante.
Tuttavia, le aziende non sono sempre obbligate a nominare un responsabile della protezione dei dati. I requisiti pertinenti sono indicati nell'articolo 37. GDPR e dalla Sezione 38 del BDSG, che prevede ulteriori obblighi di designazione per la Germania.
Ai sensi dell'articolo 38 (1) del BDSG, esiste un obbligo di designazione in particolare se almeno 20 persone in un'azienda sono generalmente coinvolte in modo permanente nel trattamento automatizzato dei dati. Elaborazione di dati personali. Inoltre, una nomina può essere necessaria se l'attività principale dell'azienda consiste in un ampio trattamento di dati. Elaborazione dati sensibili o sorveglianza sistematica delle persone.
La difficoltà pratica, tuttavia, è che spesso le aziende nominano un responsabile della protezione dei dati anche se non sono obbligate per legge a farlo. Ciò accade, ad esempio, per motivi di Conformità, chiarezza organizzativa o su indicazione di consulenti.
Questa nomina volontaria può avere un senso dal punto di vista organizzativo, ma ha altre conseguenze dal punto di vista del diritto del lavoro.
Secondo la formulazione della legge, la protezione speciale contro il licenziamento ai sensi dell'articolo 6 (4) del BDSG si applica solo se la nomina è stata fatta sulla base di un obbligo legale. Lo standard è applicabile nel settore aziendale attraverso la Sezione 38 del BDSG. In assenza di tale obbligo, la situazione del diritto del lavoro può essere diversa.
In diverse decisioni, i tribunali del lavoro hanno sottolineato che la protezione speciale contro il licenziamento non si applica automaticamente se un responsabile della protezione dei dati è stato nominato solo volontariamente. Ad esempio, la Tribunale del lavoro di Hamm (18 Sa 271/22) ha stabilito che la protezione speciale contro il licenziamento ai sensi del BDSG presuppone l'esistenza di un obbligo di nomina previsto dalla legge. In caso contrario, il responsabile della protezione dei dati può essere trattato in linea di principio come qualsiasi altro dipendente ai sensi del diritto del lavoro.
Ciò solleva un'importante questione di governance per le aziende: la nomina di un responsabile della protezione dei dati era effettivamente obbligatoria o era volontaria?
Rischi per le aziende
La protezione speciale contro il licenziamento può essere associata a diversi rischi per le aziende.
Rischi legati al diritto del lavoro
Un licenziamento non autorizzato può comportare l'invalidità o la nullità del licenziamento. Il rapporto di lavoro continua. Inoltre, possono sorgere richieste di risarcimento, ad esempio in caso di mancata accettazione.
Rischi organizzativi
Il forte legame con il diritto del lavoro può portare le aziende a rimanere legate per un lungo periodo di tempo a una struttura organizzativa che non è più adatta alla loro governance.
Rischi di reputazione
I conflitti con i responsabili della protezione dei dati sono spesso sensibili alla reputazione. I responsabili della protezione dei dati sono considerati organi di controllo indipendenti e sono spesso in contatto con le autorità di vigilanza.
Le controversie in materia di diritto del lavoro possono quindi essere gestite anche al di fuori dell'azienda.
Conseguenze pratiche e modelli organizzativi alternativi
La speciale protezione contro il licenziamento significa che la nomina di un responsabile interno della protezione dei dati non deve essere considerata una decisione puramente operativa.
Si tratta piuttosto di una decisione strategica del personale con un effetto vincolante a lungo termine.
In pratica, i conflitti sorgono spesso nelle seguenti situazioni:
- Riorganizzazioni
- strutture di gruppo internazionali
- Modifiche all'organizzazione della compliance
- Requisiti normativi in crescita
Se il quadro organizzativo cambia, può essere difficile ristrutturare o interrompere il ruolo del responsabile della protezione dei dati.
In pratica, questo porta spesso a controversie in materia di diritto del lavoro.
In questo contesto, molte aziende stanno esaminando modelli alternativi per l'organizzazione della protezione dei dati. Le opzioni più comuni includono
Responsabile esterno della protezione dei dati
Un fornitore di servizi esterno assume il ruolo di responsabile della protezione dei dati. In questo modo si elimina l'obbligo del diritto del lavoro, pur mantenendo competenza e indipendenza.
Responsabile della protezione dei dati del Gruppo
Nei gruppi di aziende è possibile nominare un responsabile della protezione dei dati comune, a condizione che possa essere contattato da tutte le aziende interessate.
Modelli ibridi
In molte organizzazioni, una combinazione di fattori interni ed esterni Team per la protezione dei dati e il responsabile esterno della protezione dei dati.
Tali modelli possono combinare la prossimità operativa con la flessibilità organizzativa.
Ripensare l'organizzazione della protezione dei dati con Ailance DSB
Il responsabile interno della protezione dei dati è un elemento centrale dell'organizzazione della protezione dei dati nelle aziende. Allo stesso tempo, il ruolo è eccezionalmente protetto dal diritto del lavoro.
Chiunque nomini un dipendente come responsabile della protezione dei dati deve essere consapevole di queste conseguenze. La decisione non riguarda solo Conformità, ma anche la strategia e la governance del personale.
Si consiglia pertanto alle aziende di esaminare attentamente il quadro organizzativo prima di procedere a una nomina interna.
Con Ailance DSB 2B Advice offre una soluzione che aiuta le aziende a creare la loro organizzazione per la protezione dei dati in modo professionale e flessibile allo stesso tempo. Il modello combina:
Responsabili esterni della protezione dei dati con esperienza
Processi di protezione dei dati scalabili
Piattaforma di conformità digitale
e Accesso diretto alle competenze legali e tecniche
Le aziende beneficiano così di un'organizzazione della protezione dei dati chiaramente strutturata, senza gli effetti vincolanti di una nomina interna ai sensi del diritto del lavoro.
Un responsabile esterno della protezione dei dati può essere un'alternativa strategicamente sensata, soprattutto per le aziende in crescita, le organizzazioni internazionali o le strutture di compliance complesse.
Marcus Belke è amministratore delegato di 2B Advice, nonché avvocato ed esperto di informatica per Protezione dei dati e digitale Conformità. Scrive regolarmente di governance dell'IA, conformità al GDPR e gestione del rischio. Potete trovare maggiori informazioni su di lui sul sito Pagina del profilo dell'autore.
German 
English 
Italian 
French