Suche
Contact
11.03.2021 | KPMG Law Insights

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

In Kürze

Auch Hochschulen und Forschungseinrichtungen (die mehr als 20 Mitarbeiter haben) sind verpflichtet einen Datenschutzbeauftragten zu bestellen. In dieser Entscheidung (LAG M-V AZ: 5 Sa 108/19) befasste sich das Gericht mit den Anforderungen, die an die fachliche Qualifikation eines Datenschutzbeauftragten zu stellen sind und unter welchen Voraussetzungen eine Abberufung möglich ist. Das Gericht entschied, dass der Kläger, der sich gegen seine Abberufung wehrte, als Volljurist, der sich anscheinend mit den Anforderungen des Datenschutzrechts auseinandergesetzt hatte, ausreichend qualifiziert sei. Außerdem ist auch nach Bestellung eines Datenschutzbeauftragten weiterhin die Organisation der Adressat der Pflichten der Datenschutzgesetze (Datenschutzverantwortliche). Der Datenschutzbeauftragte handelt als internes Kontrollorgan weitgehend unabhängig und leistet v.a. Hilfestellungen bei der Umsetzung der Datenschutzanforderungen. Eine Fehlentscheidung aus dem Jahr 2007, reicht nicht aus, um die Unzuverlässigkeit als Datenschutzbeauftragter zu begründen.

Hintergrund

Das beklagte Universitätsklinikum beschäftigte den Kläger als Datenschutzbeauftragen. Anfang 2018 stritten sich das beklagte Uniklinikum und der Kläger darüber, ob er als Datenschutzbeauftragter bereits mehr für die im Mai 2018 folgende Umsetzung der DS-GVO hätte tun müssen. Der Datenschutzbeauftragte machte darauf aufmerksam, dass erst mit der landesgesetzlichen Umsetzung und der Regelung bereichsspezifischer Anforderungen zum Datenschutz die Umsetzung in Gänze erfolgen könnte. Da die grundsätzlichen Regelungen seit Verabschiedung der DS-GVO klar seien, zweifelte das Universitätsklinikum auch wegen dieser Aussagen an der Geeignetheit des Datenschutzbeauftragten. Dieser habe sich zwar mit den Anforderungen der DS-GVO auseinandergesetzt, wie ein 2017 in einer Fachzeitschrift veröffentlichter Artikel über die Anforderungen nahelege. Er habe aber keine besondere Qualifikation (über die Ausbildung zum Volljuristen hinaus), um die Rolle als Datenschutzbeauftragter angemessen zu erfüllen.

Der Datenschutzbeauftragte hatte an der Einrichtung von Gremien zum Datenschutz mitgewirkt und Trainings für die Mitarbeiter des Klinikums organisiert. Seinem Verständnis nach handele es sich bei der Rolle des Datenschutzbeauftragten um die eines Kontrollorgans. Keineswegs sei er selbst – bei rund 10.000 Datenverarbeitungsvorgängen am Tag – für die Umsetzung der Anforderungen der DS-GVO im Einzelnen verantwortlich. Außerdem habe er fachlich ausgezeichnete Mitarbeiter gehabt.

Das Universitätsklinikum berief den Mann im Februar als Datenschutzbeauftragten ab und begründete dies mit den bisher ausgebliebenen Umsetzungsbemühungen und mit einer fehlerhaften Einschätzung im Jahre 2007, die das Universitätsklinikum mehrere Hunderttausend Euro gekostet hatte und die Frage aufwerfe, ob er überhaupt zuverlässig sei. Im August 2018, nach der Einführung der DS-GVO, wurde das Klinikum wegen eines seit mehreren Jahren intern genutzten Organisationsprogramms vom Landesdatenschutzbeauftragten gerügt. Der Kläger hatte in seiner Zeit als Datenschutzbeauftragter nicht auf die Probleme aufmerksam gemacht.

Die Parteien stritten sich darum, welche Qualifikation ein Datenschutzbeauftragter mitbringen muss und ob das Verhalten des Mannes für eine Abberufung ausreichte.

Entscheidung

Das Gericht gab dem Kläger im wesentlichen Recht. Die Abberufung war unwirksam. Die Bewertungsmaßstäbe für diese Entscheidung sind vor und nach der Einführung der DS-GVO im Mai 2018 ähnlich, auch wenn sie sich auf unterschiedliche Rechtsgrundlagen stützten.

  1. Fachliche Qualifikation eines Datenschutzbeauftragten

Das Landesgesetz stellte vor Mai 2018 darauf ab, dass der Datenschutzbeauftragte die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit mitbringe (§ 20 Abs. 1 S. 3 DSG M-V a.F.). Nach Art. 37 DS-GVO muss er eine ausreichende berufliche Qualifikation und Fachwissen im Datenschutzrecht mitbringen. Eine bestimmte Ausbildung oder Qualifikation wird nicht vorausgesetzt. Im Einzelnen sind die Anforderungen danach auszurichten, welche Größe die Organisation hat und wie umfangreich und sensibel die Datenverarbeitungsvorgänge sind. Der Kläger, als Volljurist, der sich ausweislich des Fachaufsatzes jedenfalls mit der Materie auseinandergesetzt hat, besitzt grundsätzlich eine angemessene Qualifizierung. Außerdem kann er sich auf fachlich qualifizierte Mitarbeiter verlassen.

  1. Abberufung aufgrund fehlender Maßnahmen zur Umsetzung

Ein Datenschutzbeauftragter ist zu unterscheiden vom Datenschutzverantwortlichen (der Organisation). Der Datenschutzbeauftragte hat die Einhaltung der Anforderungen zu überprüfen und hat nach der Konzeption der Gesetze eine unabhängige Stellung inne. Sowohl nach alter (§ 20 Abs. 2 DSG M-V a.F.) als auch nach neuer (§ 6 Abs. 4 S. 1 BDSG) Rechtslage setzt eine Abberufung ein schwerwiegendes Fehlverhalten unter entsprechender Anwendung des § 626 BGB voraus. Die vom Kläger ergriffenen Maßnahmen zur Überwachung der Einführung waren jedenfalls nicht derartig fehlerhaft, dass er seine Pflichten schwerwiegend verletzt hätte. Für eine derartige Pflichtverletzung reicht es nicht aus, dass der Kläger nicht auf die Datenschutzprobleme eines internen Organisationsprogramms hingewiesen hat, dass er nicht selbst eingeführt hatte. Schließlich kann der Datenschutzbeauftragte nicht jeden Datenverarbeitungsprozess überblicken.

  1. Abberufung wegen mangelnder Zuverlässigkeit

Das Verhalten eines Arbeitnehmers vor seiner Berufung zum Datenschutzbeauftragten hat einen Einfluss auf die Einschätzung der Zuverlässigkeit des Arbeitnehmers. Dass in der fehlerhaften Einschätzung einer Situation im Jahre 2007, die sich im Nachhinein als nachteilhaft für das Uniklinikum herausstellte, ein derartig schwerwiegender Zweifel an der Zuverlässigkeit zu erkennen sei, wurde vom Beklagten aber nicht ausreichend konkret dargelegt. Der Verdacht einer absichtlichen Schädigung reicht nicht, solange er nicht ordentlich begründet wird.

Was können die Leser mitnehmen?

  1. Ein Datenschutzbeauftragter muss keine bestimmte fachliche Qualifikation mitbringen. Im Detail kann er sich auch auf seine Mitarbeiter verlassen.
  2. Voraussetzung einer Abberufung ist wegen der unabhängigen Position des Datenschutzbeauftragten als Kontrollorgan ein schwerwiegendes Fehlverhalten (analog 626 BGB).
  3. Die Zuverlässigkeit kann auch durch ein Fehlverhalten vor Aufnahme der Tätigkeit als Datenschutzbeauftragter begründet sein.

Explore #more

06.12.2022 | KPMG Law Insights

Transparenzregister und eingetragene Vereine – Handlungsbedarf?

Zum Oktober 2017 wurde das Transparenzregister eingeführt, mit dem Jahreswechsel 2022/23 kommt damit auch eine praktische Relevanz auf eingetragene Vereine (e.V.) zu. Deren wirtschaftlich Berechtigte…

06.12.2022 | KPMG Law Insights

Schrems II – Aktualisieren Sie Ihre Verträge bis zum 27.12.2022

Schrems II – Was bedeutet das für Sie? Mit dem Durchführungsbeschluss der EU-Kommission ((EU) 2021/914 KOM) müssen alle Standardvertragsklauseln für die Datenübermittlung in Drittländer angepasst…

30.11.2022 | KPMG Law Insights

Vergaberechtliche Besonderheiten bei der Zusammenarbeit von Wissenschaftseinrichtungen mit Ihren Ausgründungen (Teil 2)

Rechtspolitische Aktualität: Wissenschaftseinrichtungen der öffentlichen Hand haben bei der Zusammenarbeit mit ihren Ausgründungen zwei Möglichkeiten, auf welchem Wege sie diese ausgestalten können. Zum einen besteht…

30.11.2022 | KPMG Law Insights

Transparenzregister: EuGH-Urteil – Absage zum öffentlichen Zugriff auf das Transparenzregister?

Ausgangslage: Mit der Einführung des Transparenzregisters zum Oktober 2017 mussten grundsätzlich sämtliche Unternehmen mit Sitz in Deutschland ihre:n wirtschaftlich Berechtigte:n an das neu geschaffene Register…

18.11.2022 | KPMG Law Insights

KPMG Law Wochenupdate zu den Entwicklungen auf dem Energiemarkt infolge des Ukraine-Kriegs (KW 45)

Neue Gesetze und Verordnungen Gesetze Updates zur Gas- und Strompreisbremse Am Montag ließ die Vize-Regierungssprecherin Christiane Hoffman verlauten, dass wegen der Komplexität der zweiten Stufe…

08.11.2022 | Dealmeldungen

KPMG Law und KPMG Abogados beraten die Toppan-Gruppe bei der Übernahme von Decotec Printing

Die KPMG Law Rechtsanwaltsgesellschaft mbH in Deutschland (KPMG Law) und KPMG Abogados in Spanien haben die Toppan-Gruppe beim Erwerb von 40 Prozent der Anteile an…

28.10.2022 | KPMG Law Insights

KPMG Law Wochenupdate zu den Entwicklungen auf dem Energiemarkt infolge des Ukraine-Kriegs (KW 43)

Behördliche oder sonstige hoheitliche Tätigkeiten Lagebericht Gasversorgung (Stand 24.10.2022) Der Lagebericht der BNetzA zur Lage der Gasversorgung in Deutschland auf dem Stand vom 24.10.2022; 13…

26.10.2022 | Dealmeldungen

KPMG Law und KPMG beraten Deutsche Messe AG und Italian Exhibition Group beim anteiligen Verkauf der Italian German Exhibition Company und bei Joint Venture

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law), die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) und KPMG in Italien haben die Deutsche Messe AG, Hannover, und die Italian…

24.10.2022 | KPMG Law Insights

Client Alert zur betrieblichen Altersversorgung II

Anpassungsprüfung für laufende Betriebsrenten in Zeiten der Inflation Die aktuelle wirtschaftliche Entwicklung der Stagflation in Deutschland fordert seinen Tribut von den Bürgern wie den Unternehmen.

20.10.2022 | KPMG Law Insights

Client Alert zur betrieblichen Altersversorgung

bAV-Schriftformerfordernis nach Novellierung des Nachweisgesetzes Die am 1. August 2022 in Kraft getretene Neufassung des Nachweisgesetzes (NachwG) sorgte mit der Ausweitung und nunmehr Bußgeld bewährten…

Kontakt

Julia Hornbostel

Senior Associate

Fuhlentwiete 5
20355 Hamburg

tel: +49 40 3609945162
jhornbostel@kpmg-law.com

© 2022 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll