Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten
Auch Hochschulen und Forschungseinrichtungen (die mehr als 20 Mitarbeiter haben) sind verpflichtet einen Datenschutzbeauftragten zu bestellen. In dieser Entscheidung (LAG M-V AZ: 5 Sa 108/19) befasste sich das Gericht mit den Anforderungen, die an die fachliche Qualifikation eines Datenschutzbeauftragten zu stellen sind und unter welchen Voraussetzungen eine Abberufung möglich ist. Das Gericht entschied, dass der Kläger, der sich gegen seine Abberufung wehrte, als Volljurist, der sich anscheinend mit den Anforderungen des Datenschutzrechts auseinandergesetzt hatte, ausreichend qualifiziert sei. Außerdem ist auch nach Bestellung eines Datenschutzbeauftragten weiterhin die Organisation der Adressat der Pflichten der Datenschutzgesetze (Datenschutzverantwortliche). Der Datenschutzbeauftragte handelt als internes Kontrollorgan weitgehend unabhängig und leistet v.a. Hilfestellungen bei der Umsetzung der Datenschutzanforderungen. Eine Fehlentscheidung aus dem Jahr 2007, reicht nicht aus, um die Unzuverlässigkeit als Datenschutzbeauftragter zu begründen.
Das beklagte Universitätsklinikum beschäftigte den Kläger als Datenschutzbeauftragen. Anfang 2018 stritten sich das beklagte Uniklinikum und der Kläger darüber, ob er als Datenschutzbeauftragter bereits mehr für die im Mai 2018 folgende Umsetzung der DS-GVO hätte tun müssen. Der Datenschutzbeauftragte machte darauf aufmerksam, dass erst mit der landesgesetzlichen Umsetzung und der Regelung bereichsspezifischer Anforderungen zum Datenschutz die Umsetzung in Gänze erfolgen könnte. Da die grundsätzlichen Regelungen seit Verabschiedung der DS-GVO klar seien, zweifelte das Universitätsklinikum auch wegen dieser Aussagen an der Geeignetheit des Datenschutzbeauftragten. Dieser habe sich zwar mit den Anforderungen der DS-GVO auseinandergesetzt, wie ein 2017 in einer Fachzeitschrift veröffentlichter Artikel über die Anforderungen nahelege. Er habe aber keine besondere Qualifikation (über die Ausbildung zum Volljuristen hinaus), um die Rolle als Datenschutzbeauftragter angemessen zu erfüllen.
Der Datenschutzbeauftragte hatte an der Einrichtung von Gremien zum Datenschutz mitgewirkt und Trainings für die Mitarbeiter des Klinikums organisiert. Seinem Verständnis nach handele es sich bei der Rolle des Datenschutzbeauftragten um die eines Kontrollorgans. Keineswegs sei er selbst – bei rund 10.000 Datenverarbeitungsvorgängen am Tag – für die Umsetzung der Anforderungen der DS-GVO im Einzelnen verantwortlich. Außerdem habe er fachlich ausgezeichnete Mitarbeiter gehabt.
Das Universitätsklinikum berief den Mann im Februar als Datenschutzbeauftragten ab und begründete dies mit den bisher ausgebliebenen Umsetzungsbemühungen und mit einer fehlerhaften Einschätzung im Jahre 2007, die das Universitätsklinikum mehrere Hunderttausend Euro gekostet hatte und die Frage aufwerfe, ob er überhaupt zuverlässig sei. Im August 2018, nach der Einführung der DS-GVO, wurde das Klinikum wegen eines seit mehreren Jahren intern genutzten Organisationsprogramms vom Landesdatenschutzbeauftragten gerügt. Der Kläger hatte in seiner Zeit als Datenschutzbeauftragter nicht auf die Probleme aufmerksam gemacht.
Die Parteien stritten sich darum, welche Qualifikation ein Datenschutzbeauftragter mitbringen muss und ob das Verhalten des Mannes für eine Abberufung ausreichte.
Das Gericht gab dem Kläger im wesentlichen Recht. Die Abberufung war unwirksam. Die Bewertungsmaßstäbe für diese Entscheidung sind vor und nach der Einführung der DS-GVO im Mai 2018 ähnlich, auch wenn sie sich auf unterschiedliche Rechtsgrundlagen stützten.
Das Landesgesetz stellte vor Mai 2018 darauf ab, dass der Datenschutzbeauftragte die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit mitbringe (§ 20 Abs. 1 S. 3 DSG M-V a.F.). Nach Art. 37 DS-GVO muss er eine ausreichende berufliche Qualifikation und Fachwissen im Datenschutzrecht mitbringen. Eine bestimmte Ausbildung oder Qualifikation wird nicht vorausgesetzt. Im Einzelnen sind die Anforderungen danach auszurichten, welche Größe die Organisation hat und wie umfangreich und sensibel die Datenverarbeitungsvorgänge sind. Der Kläger, als Volljurist, der sich ausweislich des Fachaufsatzes jedenfalls mit der Materie auseinandergesetzt hat, besitzt grundsätzlich eine angemessene Qualifizierung. Außerdem kann er sich auf fachlich qualifizierte Mitarbeiter verlassen.
Ein Datenschutzbeauftragter ist zu unterscheiden vom Datenschutzverantwortlichen (der Organisation). Der Datenschutzbeauftragte hat die Einhaltung der Anforderungen zu überprüfen und hat nach der Konzeption der Gesetze eine unabhängige Stellung inne. Sowohl nach alter (§ 20 Abs. 2 DSG M-V a.F.) als auch nach neuer (§ 6 Abs. 4 S. 1 BDSG) Rechtslage setzt eine Abberufung ein schwerwiegendes Fehlverhalten unter entsprechender Anwendung des § 626 BGB voraus. Die vom Kläger ergriffenen Maßnahmen zur Überwachung der Einführung waren jedenfalls nicht derartig fehlerhaft, dass er seine Pflichten schwerwiegend verletzt hätte. Für eine derartige Pflichtverletzung reicht es nicht aus, dass der Kläger nicht auf die Datenschutzprobleme eines internen Organisationsprogramms hingewiesen hat, dass er nicht selbst eingeführt hatte. Schließlich kann der Datenschutzbeauftragte nicht jeden Datenverarbeitungsprozess überblicken.
Das Verhalten eines Arbeitnehmers vor seiner Berufung zum Datenschutzbeauftragten hat einen Einfluss auf die Einschätzung der Zuverlässigkeit des Arbeitnehmers. Dass in der fehlerhaften Einschätzung einer Situation im Jahre 2007, die sich im Nachhinein als nachteilhaft für das Uniklinikum herausstellte, ein derartig schwerwiegender Zweifel an der Zuverlässigkeit zu erkennen sei, wurde vom Beklagten aber nicht ausreichend konkret dargelegt. Der Verdacht einer absichtlichen Schädigung reicht nicht, solange er nicht ordentlich begründet wird.
Senior Associate
Fuhlentwiete 5
20355 Hamburg
tel: +49 40 3609945162
jhornbostel@kpmg-law.com
© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.
KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.