Suche
Contact
11.03.2021 | KPMG Law Insights

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

In Kürze

Auch Hochschulen und Forschungseinrichtungen (die mehr als 20 Mitarbeiter haben) sind verpflichtet einen Datenschutzbeauftragten zu bestellen. In dieser Entscheidung (LAG M-V AZ: 5 Sa 108/19) befasste sich das Gericht mit den Anforderungen, die an die fachliche Qualifikation eines Datenschutzbeauftragten zu stellen sind und unter welchen Voraussetzungen eine Abberufung möglich ist. Das Gericht entschied, dass der Kläger, der sich gegen seine Abberufung wehrte, als Volljurist, der sich anscheinend mit den Anforderungen des Datenschutzrechts auseinandergesetzt hatte, ausreichend qualifiziert sei. Außerdem ist auch nach Bestellung eines Datenschutzbeauftragten weiterhin die Organisation der Adressat der Pflichten der Datenschutzgesetze (Datenschutzverantwortliche). Der Datenschutzbeauftragte handelt als internes Kontrollorgan weitgehend unabhängig und leistet v.a. Hilfestellungen bei der Umsetzung der Datenschutzanforderungen. Eine Fehlentscheidung aus dem Jahr 2007, reicht nicht aus, um die Unzuverlässigkeit als Datenschutzbeauftragter zu begründen.

Hintergrund

Das beklagte Universitätsklinikum beschäftigte den Kläger als Datenschutzbeauftragen. Anfang 2018 stritten sich das beklagte Uniklinikum und der Kläger darüber, ob er als Datenschutzbeauftragter bereits mehr für die im Mai 2018 folgende Umsetzung der DS-GVO hätte tun müssen. Der Datenschutzbeauftragte machte darauf aufmerksam, dass erst mit der landesgesetzlichen Umsetzung und der Regelung bereichsspezifischer Anforderungen zum Datenschutz die Umsetzung in Gänze erfolgen könnte. Da die grundsätzlichen Regelungen seit Verabschiedung der DS-GVO klar seien, zweifelte das Universitätsklinikum auch wegen dieser Aussagen an der Geeignetheit des Datenschutzbeauftragten. Dieser habe sich zwar mit den Anforderungen der DS-GVO auseinandergesetzt, wie ein 2017 in einer Fachzeitschrift veröffentlichter Artikel über die Anforderungen nahelege. Er habe aber keine besondere Qualifikation (über die Ausbildung zum Volljuristen hinaus), um die Rolle als Datenschutzbeauftragter angemessen zu erfüllen.

Der Datenschutzbeauftragte hatte an der Einrichtung von Gremien zum Datenschutz mitgewirkt und Trainings für die Mitarbeiter des Klinikums organisiert. Seinem Verständnis nach handele es sich bei der Rolle des Datenschutzbeauftragten um die eines Kontrollorgans. Keineswegs sei er selbst – bei rund 10.000 Datenverarbeitungsvorgängen am Tag – für die Umsetzung der Anforderungen der DS-GVO im Einzelnen verantwortlich. Außerdem habe er fachlich ausgezeichnete Mitarbeiter gehabt.

Das Universitätsklinikum berief den Mann im Februar als Datenschutzbeauftragten ab und begründete dies mit den bisher ausgebliebenen Umsetzungsbemühungen und mit einer fehlerhaften Einschätzung im Jahre 2007, die das Universitätsklinikum mehrere Hunderttausend Euro gekostet hatte und die Frage aufwerfe, ob er überhaupt zuverlässig sei. Im August 2018, nach der Einführung der DS-GVO, wurde das Klinikum wegen eines seit mehreren Jahren intern genutzten Organisationsprogramms vom Landesdatenschutzbeauftragten gerügt. Der Kläger hatte in seiner Zeit als Datenschutzbeauftragter nicht auf die Probleme aufmerksam gemacht.

Die Parteien stritten sich darum, welche Qualifikation ein Datenschutzbeauftragter mitbringen muss und ob das Verhalten des Mannes für eine Abberufung ausreichte.

Entscheidung

Das Gericht gab dem Kläger im wesentlichen Recht. Die Abberufung war unwirksam. Die Bewertungsmaßstäbe für diese Entscheidung sind vor und nach der Einführung der DS-GVO im Mai 2018 ähnlich, auch wenn sie sich auf unterschiedliche Rechtsgrundlagen stützten.

  1. Fachliche Qualifikation eines Datenschutzbeauftragten

Das Landesgesetz stellte vor Mai 2018 darauf ab, dass der Datenschutzbeauftragte die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit mitbringe (§ 20 Abs. 1 S. 3 DSG M-V a.F.). Nach Art. 37 DS-GVO muss er eine ausreichende berufliche Qualifikation und Fachwissen im Datenschutzrecht mitbringen. Eine bestimmte Ausbildung oder Qualifikation wird nicht vorausgesetzt. Im Einzelnen sind die Anforderungen danach auszurichten, welche Größe die Organisation hat und wie umfangreich und sensibel die Datenverarbeitungsvorgänge sind. Der Kläger, als Volljurist, der sich ausweislich des Fachaufsatzes jedenfalls mit der Materie auseinandergesetzt hat, besitzt grundsätzlich eine angemessene Qualifizierung. Außerdem kann er sich auf fachlich qualifizierte Mitarbeiter verlassen.

  1. Abberufung aufgrund fehlender Maßnahmen zur Umsetzung

Ein Datenschutzbeauftragter ist zu unterscheiden vom Datenschutzverantwortlichen (der Organisation). Der Datenschutzbeauftragte hat die Einhaltung der Anforderungen zu überprüfen und hat nach der Konzeption der Gesetze eine unabhängige Stellung inne. Sowohl nach alter (§ 20 Abs. 2 DSG M-V a.F.) als auch nach neuer (§ 6 Abs. 4 S. 1 BDSG) Rechtslage setzt eine Abberufung ein schwerwiegendes Fehlverhalten unter entsprechender Anwendung des § 626 BGB voraus. Die vom Kläger ergriffenen Maßnahmen zur Überwachung der Einführung waren jedenfalls nicht derartig fehlerhaft, dass er seine Pflichten schwerwiegend verletzt hätte. Für eine derartige Pflichtverletzung reicht es nicht aus, dass der Kläger nicht auf die Datenschutzprobleme eines internen Organisationsprogramms hingewiesen hat, dass er nicht selbst eingeführt hatte. Schließlich kann der Datenschutzbeauftragte nicht jeden Datenverarbeitungsprozess überblicken.

  1. Abberufung wegen mangelnder Zuverlässigkeit

Das Verhalten eines Arbeitnehmers vor seiner Berufung zum Datenschutzbeauftragten hat einen Einfluss auf die Einschätzung der Zuverlässigkeit des Arbeitnehmers. Dass in der fehlerhaften Einschätzung einer Situation im Jahre 2007, die sich im Nachhinein als nachteilhaft für das Uniklinikum herausstellte, ein derartig schwerwiegender Zweifel an der Zuverlässigkeit zu erkennen sei, wurde vom Beklagten aber nicht ausreichend konkret dargelegt. Der Verdacht einer absichtlichen Schädigung reicht nicht, solange er nicht ordentlich begründet wird.

Was können die Leser mitnehmen?

  1. Ein Datenschutzbeauftragter muss keine bestimmte fachliche Qualifikation mitbringen. Im Detail kann er sich auch auf seine Mitarbeiter verlassen.
  2. Voraussetzung einer Abberufung ist wegen der unabhängigen Position des Datenschutzbeauftragten als Kontrollorgan ein schwerwiegendes Fehlverhalten (analog 626 BGB).
  3. Die Zuverlässigkeit kann auch durch ein Fehlverhalten vor Aufnahme der Tätigkeit als Datenschutzbeauftragter begründet sein.

Explore #more

06.09.2024 | KPMG Law Insights

Auch kleine integrierte Elektrizitätsversorgungsunternehmen müssen ab dem 1. Januar 2025 ihre Elektromobilitätssparten neu aufstellen

Der Geschäftsbereich der Ladesäuleninfrastruktur befindet sich derzeit regulatorisch im Wandel. Insbesondere für Verteilnetzbetreiber gelten nach § 7c EnWG strenge Entflechtungsvorgaben, von denen jedoch für Verteilnetzbetreiber,…

30.08.2024 | In den Medien

JUVE-Rechtsmarkt: Titelgeschichte zum Thema Legal-Tech mit KPMG Law

Wege und Werkzeuge von Kanzleien bei der Umsetzung ihrer Legal-Tech-Strategie unterscheiden sich teils massiv. Wer sich im Markt besonders hervortut, untersucht die aktuelle Ausgabe des…

27.08.2024 | KPMG Law Insights

Das bedeuten die FAQ der BaFin zur Institutsvergütungsverordnung

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Fragen und Antworten (FAQ) zur Institutsvergütungsverordnung (InstitutsVergV) veröffentlicht. Sie ersetzen die bisherige Auslegungshilfe. Die FAQ finden nun unmittelbare Anwendung.…

26.08.2024 | In den Medien

Interview mit Moritz Püstow zum Thema Nachhaltigkeit und Effizienzsteigerung in der Bauindustrie

Wie rüstet sich die Bauindustrie für die Zukunft, die vor großen Herausforderungen steht? Den Schlüssel darin, schneller mehr Automatisierung beim Bauen zu erreichen und nachhaltiges…

22.08.2024 | Pressemitteilungen

Strategische Allianz zwischen KPMG Law und MHP – A Porsche Company

KPMG Law und MHP – A Porsche Company haben eine strategische Allianz vereinbart. MHP ist ein führendes Beratungshaus im Bereich Engineering & Digital Plattform Solutions…

21.08.2024 | In den Medien

Gastbeitrag in der dpn: Erste praktische Erfahrungen mit der Umsetzung von DORA

In Krisenlagen und Zeiten zunehmender Cyberkriminalität ist die digitale Betriebsstabilität für Unternehmen enorm wichtig. Künftig müssen Finanzunternehmen und Drittdienstleister von Informations- und Kommunikationstechnologien in ihren…

19.08.2024 | In den Medien

Gastbeitrag bei Springer Professional: Giralgeldtoken will Finanzprozesse der Industrie erleichtern

Der Giraldgeldtoken der Geschäftsbanken soll für die Industrie eine Alternative zum digitalen Euro sein und dabei den Charakter einer Einlage haben. Das könnte eine Win-Win…

16.08.2024 | Dealmeldungen

KPMG Law berät Hagedorn bei Konsortialfinanzierung

KPMG Law hat die Hagedorn Unternehmensgruppe bei Verhandlung und Abschluss einer Finanzierungstransaktion beraten Ein Team um die Frankfurter KPMG-Law-Partnerin und Leiterin der Solution Line Legal…

13.08.2024 | Pressemitteilungen

Whistleblowing – international update

More than one year ago, on May 11th, 2023, the German Bundestag passed the „Act for Better Protection of Whistleblowers (Whistleblower Protection Act – HinSchG)“,…

09.08.2024 | KPMG Law Insights

Mietvertrag in der Insolvenz – diese Rechte haben die Parteien

Nicht umsonst prüfen Vertragsparteien vor Abschluss eines Mietvertrags ganz besonders die Bonität der jeweils anderen Partei. Während die Insolvenz auf Mieterseite ein gefürchtetes Szenario ist,…

Kontakt

Julia Hornbostel

Senior Associate

Fuhlentwiete 5
20355 Hamburg

tel: +49 40 3609945162
jhornbostel@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll