Suche
Contact
11.03.2021 | KPMG Law Insights

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

In Kürze

Auch Hochschulen und Forschungseinrichtungen (die mehr als 20 Mitarbeiter haben) sind verpflichtet einen Datenschutzbeauftragten zu bestellen. In dieser Entscheidung (LAG M-V AZ: 5 Sa 108/19) befasste sich das Gericht mit den Anforderungen, die an die fachliche Qualifikation eines Datenschutzbeauftragten zu stellen sind und unter welchen Voraussetzungen eine Abberufung möglich ist. Das Gericht entschied, dass der Kläger, der sich gegen seine Abberufung wehrte, als Volljurist, der sich anscheinend mit den Anforderungen des Datenschutzrechts auseinandergesetzt hatte, ausreichend qualifiziert sei. Außerdem ist auch nach Bestellung eines Datenschutzbeauftragten weiterhin die Organisation der Adressat der Pflichten der Datenschutzgesetze (Datenschutzverantwortliche). Der Datenschutzbeauftragte handelt als internes Kontrollorgan weitgehend unabhängig und leistet v.a. Hilfestellungen bei der Umsetzung der Datenschutzanforderungen. Eine Fehlentscheidung aus dem Jahr 2007, reicht nicht aus, um die Unzuverlässigkeit als Datenschutzbeauftragter zu begründen.

Hintergrund

Das beklagte Universitätsklinikum beschäftigte den Kläger als Datenschutzbeauftragen. Anfang 2018 stritten sich das beklagte Uniklinikum und der Kläger darüber, ob er als Datenschutzbeauftragter bereits mehr für die im Mai 2018 folgende Umsetzung der DS-GVO hätte tun müssen. Der Datenschutzbeauftragte machte darauf aufmerksam, dass erst mit der landesgesetzlichen Umsetzung und der Regelung bereichsspezifischer Anforderungen zum Datenschutz die Umsetzung in Gänze erfolgen könnte. Da die grundsätzlichen Regelungen seit Verabschiedung der DS-GVO klar seien, zweifelte das Universitätsklinikum auch wegen dieser Aussagen an der Geeignetheit des Datenschutzbeauftragten. Dieser habe sich zwar mit den Anforderungen der DS-GVO auseinandergesetzt, wie ein 2017 in einer Fachzeitschrift veröffentlichter Artikel über die Anforderungen nahelege. Er habe aber keine besondere Qualifikation (über die Ausbildung zum Volljuristen hinaus), um die Rolle als Datenschutzbeauftragter angemessen zu erfüllen.

Der Datenschutzbeauftragte hatte an der Einrichtung von Gremien zum Datenschutz mitgewirkt und Trainings für die Mitarbeiter des Klinikums organisiert. Seinem Verständnis nach handele es sich bei der Rolle des Datenschutzbeauftragten um die eines Kontrollorgans. Keineswegs sei er selbst – bei rund 10.000 Datenverarbeitungsvorgängen am Tag – für die Umsetzung der Anforderungen der DS-GVO im Einzelnen verantwortlich. Außerdem habe er fachlich ausgezeichnete Mitarbeiter gehabt.

Das Universitätsklinikum berief den Mann im Februar als Datenschutzbeauftragten ab und begründete dies mit den bisher ausgebliebenen Umsetzungsbemühungen und mit einer fehlerhaften Einschätzung im Jahre 2007, die das Universitätsklinikum mehrere Hunderttausend Euro gekostet hatte und die Frage aufwerfe, ob er überhaupt zuverlässig sei. Im August 2018, nach der Einführung der DS-GVO, wurde das Klinikum wegen eines seit mehreren Jahren intern genutzten Organisationsprogramms vom Landesdatenschutzbeauftragten gerügt. Der Kläger hatte in seiner Zeit als Datenschutzbeauftragter nicht auf die Probleme aufmerksam gemacht.

Die Parteien stritten sich darum, welche Qualifikation ein Datenschutzbeauftragter mitbringen muss und ob das Verhalten des Mannes für eine Abberufung ausreichte.

Entscheidung

Das Gericht gab dem Kläger im wesentlichen Recht. Die Abberufung war unwirksam. Die Bewertungsmaßstäbe für diese Entscheidung sind vor und nach der Einführung der DS-GVO im Mai 2018 ähnlich, auch wenn sie sich auf unterschiedliche Rechtsgrundlagen stützten.

  1. Fachliche Qualifikation eines Datenschutzbeauftragten

Das Landesgesetz stellte vor Mai 2018 darauf ab, dass der Datenschutzbeauftragte die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit mitbringe (§ 20 Abs. 1 S. 3 DSG M-V a.F.). Nach Art. 37 DS-GVO muss er eine ausreichende berufliche Qualifikation und Fachwissen im Datenschutzrecht mitbringen. Eine bestimmte Ausbildung oder Qualifikation wird nicht vorausgesetzt. Im Einzelnen sind die Anforderungen danach auszurichten, welche Größe die Organisation hat und wie umfangreich und sensibel die Datenverarbeitungsvorgänge sind. Der Kläger, als Volljurist, der sich ausweislich des Fachaufsatzes jedenfalls mit der Materie auseinandergesetzt hat, besitzt grundsätzlich eine angemessene Qualifizierung. Außerdem kann er sich auf fachlich qualifizierte Mitarbeiter verlassen.

  1. Abberufung aufgrund fehlender Maßnahmen zur Umsetzung

Ein Datenschutzbeauftragter ist zu unterscheiden vom Datenschutzverantwortlichen (der Organisation). Der Datenschutzbeauftragte hat die Einhaltung der Anforderungen zu überprüfen und hat nach der Konzeption der Gesetze eine unabhängige Stellung inne. Sowohl nach alter (§ 20 Abs. 2 DSG M-V a.F.) als auch nach neuer (§ 6 Abs. 4 S. 1 BDSG) Rechtslage setzt eine Abberufung ein schwerwiegendes Fehlverhalten unter entsprechender Anwendung des § 626 BGB voraus. Die vom Kläger ergriffenen Maßnahmen zur Überwachung der Einführung waren jedenfalls nicht derartig fehlerhaft, dass er seine Pflichten schwerwiegend verletzt hätte. Für eine derartige Pflichtverletzung reicht es nicht aus, dass der Kläger nicht auf die Datenschutzprobleme eines internen Organisationsprogramms hingewiesen hat, dass er nicht selbst eingeführt hatte. Schließlich kann der Datenschutzbeauftragte nicht jeden Datenverarbeitungsprozess überblicken.

  1. Abberufung wegen mangelnder Zuverlässigkeit

Das Verhalten eines Arbeitnehmers vor seiner Berufung zum Datenschutzbeauftragten hat einen Einfluss auf die Einschätzung der Zuverlässigkeit des Arbeitnehmers. Dass in der fehlerhaften Einschätzung einer Situation im Jahre 2007, die sich im Nachhinein als nachteilhaft für das Uniklinikum herausstellte, ein derartig schwerwiegender Zweifel an der Zuverlässigkeit zu erkennen sei, wurde vom Beklagten aber nicht ausreichend konkret dargelegt. Der Verdacht einer absichtlichen Schädigung reicht nicht, solange er nicht ordentlich begründet wird.

Was können die Leser mitnehmen?

  1. Ein Datenschutzbeauftragter muss keine bestimmte fachliche Qualifikation mitbringen. Im Detail kann er sich auch auf seine Mitarbeiter verlassen.
  2. Voraussetzung einer Abberufung ist wegen der unabhängigen Position des Datenschutzbeauftragten als Kontrollorgan ein schwerwiegendes Fehlverhalten (analog 626 BGB).
  3. Die Zuverlässigkeit kann auch durch ein Fehlverhalten vor Aufnahme der Tätigkeit als Datenschutzbeauftragter begründet sein.

Explore #more

17.01.2025 | In den Medien, Karriere

KPMG Law bei den azur Awards 2025 nominiert

Die azur-Redaktion verkündet die Nominierten der azur Awards 2025. In diesem Jahr sind juristische Arbeitgeber in vier Kategorien für ihr Engagement im Nachwuchsbereich nominiert. Die…

15.01.2025 | KPMG Law Insights

Gesetzliche Neuerungen im Arbeitsrecht 2025

Seit dem 1. Januar 2025 gelten einige Neuerungen im Arbeitsrecht. Insbesondere das Bürokratieentlastungsgesetz sorgt für viele Erleichterungen und ermöglicht es Personalabteilungen, Prozesse zu digitalisieren. Arbeitgeber…

13.01.2025 | KPMG Law Insights

IED: Erstes Gesetzespaket zur Umsetzung der EU-Richtlinie liegt vor

Die neue EU-Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) ist am 4. August 2024 in Kraft getreten und muss bis Juli 2026 von den Mitgliedsstaaten umgesetzt werden.…

12.01.2025 | In den Medien

Podcast zur EU-Entwaldungsverordnung

Entwaldung und Waldschädigung nehmen weltweit mit besorgniserregender Geschwindigkeit zu. Sie sind eng mit der globalen Klimakrise und dem Verlust von Artenvielfalt verknüpft – das sind…

09.01.2025 | In den Medien

KPMG Law stärkt den Bereich Legal Transformation & Managed Services und Legal Corporate Services mit zwei neuen Senior Managerinnen

KPMG Law hat sich zum 1. Januar mit Jana Sichelschmidt im Bereich Transformation Managed Services und mit Dr. Michaela Lenk im Bereich Corporate Services verstärkt.…

07.01.2025 | KPMG Law Insights

Grundsteuer als Betriebskosten: Drei aktuelle Fragen und Antworten

Als Teil der Betriebs- und Nebenkosten kann die für eine vermietete Wohn- oder Gewerbeimmobilie erhobene Grundsteuer regelmäßig an Mieterinnen und Mietern weiterberechnet werden. Zum 1. …

07.01.2025 | KPMG Law Insights

Digitalisierung und Kooperationen – diese Maßnahmen sollten Kommunen im Haushalt einplanen

Mit Maßnahmen der Digitalisierung und mit Kooperationen können Kommunen langfristig erhebliche Kosten und auch Personal sparen. Auch wenn das Geld gerade knapp ist, sollten die…

06.01.2025 | Dealmeldungen

KPMG Law hat die Flexfy GmbH bei der Ausgründung aus der DAW SE sowie einer anschließenden Finanzierungsrunde beraten

Die DAW SE hat im Rahmen eines Innovationsprogramms einen elektrisch leitfähigen und magnetischen Wandaufbau entwickelt, der eine flexible und neuartige Nutzung von Wänden ermöglicht („FLEXFY…

06.01.2025 | Dealmeldungen

KPMG Law begleitet den Verkauf der Käppler & Pausch GmbH

Gabriel Pausch, der Mitgründer und Hauptgesellschafter der Käppler & Pausch GmbH, ein Systemlieferant für Metallbaugruppen sowie Metall- und Blechverarbeitung mit 160 Mitarbeitern in Neukirch/Lausitz, hat…

03.01.2025 | In den Medien

Interview in der Betrieb zum EU-Geldwäschepaket und seine Auswirkungen

Das EU-Geldwäschepaket harmonisiert die Geldwäsche- und Terrorismusbekämpfungsregeln in Europa, bringt neue Maßnahmen wie Bargeld-Obergrenzen von 10.000 €, Identifizierungspflichten ab 3.000 € und eine neue zentrale…

Kontakt

Julia Hornbostel

Senior Associate

Fuhlentwiete 5
20355 Hamburg

Tel.: +49 40 3609945162
jhornbostel@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll