Suche
Contact
11.03.2021 | KPMG Law Insights

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

Landesarbeitsgericht MV: Bedingungen für die Abberufung eines Datenschutzbeauftragten

In Kürze

Auch Hochschulen und Forschungseinrichtungen (die mehr als 20 Mitarbeiter haben) sind verpflichtet einen Datenschutzbeauftragten zu bestellen. In dieser Entscheidung (LAG M-V AZ: 5 Sa 108/19) befasste sich das Gericht mit den Anforderungen, die an die fachliche Qualifikation eines Datenschutzbeauftragten zu stellen sind und unter welchen Voraussetzungen eine Abberufung möglich ist. Das Gericht entschied, dass der Kläger, der sich gegen seine Abberufung wehrte, als Volljurist, der sich anscheinend mit den Anforderungen des Datenschutzrechts auseinandergesetzt hatte, ausreichend qualifiziert sei. Außerdem ist auch nach Bestellung eines Datenschutzbeauftragten weiterhin die Organisation der Adressat der Pflichten der Datenschutzgesetze (Datenschutzverantwortliche). Der Datenschutzbeauftragte handelt als internes Kontrollorgan weitgehend unabhängig und leistet v.a. Hilfestellungen bei der Umsetzung der Datenschutzanforderungen. Eine Fehlentscheidung aus dem Jahr 2007, reicht nicht aus, um die Unzuverlässigkeit als Datenschutzbeauftragter zu begründen.

Hintergrund

Das beklagte Universitätsklinikum beschäftigte den Kläger als Datenschutzbeauftragen. Anfang 2018 stritten sich das beklagte Uniklinikum und der Kläger darüber, ob er als Datenschutzbeauftragter bereits mehr für die im Mai 2018 folgende Umsetzung der DS-GVO hätte tun müssen. Der Datenschutzbeauftragte machte darauf aufmerksam, dass erst mit der landesgesetzlichen Umsetzung und der Regelung bereichsspezifischer Anforderungen zum Datenschutz die Umsetzung in Gänze erfolgen könnte. Da die grundsätzlichen Regelungen seit Verabschiedung der DS-GVO klar seien, zweifelte das Universitätsklinikum auch wegen dieser Aussagen an der Geeignetheit des Datenschutzbeauftragten. Dieser habe sich zwar mit den Anforderungen der DS-GVO auseinandergesetzt, wie ein 2017 in einer Fachzeitschrift veröffentlichter Artikel über die Anforderungen nahelege. Er habe aber keine besondere Qualifikation (über die Ausbildung zum Volljuristen hinaus), um die Rolle als Datenschutzbeauftragter angemessen zu erfüllen.

Der Datenschutzbeauftragte hatte an der Einrichtung von Gremien zum Datenschutz mitgewirkt und Trainings für die Mitarbeiter des Klinikums organisiert. Seinem Verständnis nach handele es sich bei der Rolle des Datenschutzbeauftragten um die eines Kontrollorgans. Keineswegs sei er selbst – bei rund 10.000 Datenverarbeitungsvorgängen am Tag – für die Umsetzung der Anforderungen der DS-GVO im Einzelnen verantwortlich. Außerdem habe er fachlich ausgezeichnete Mitarbeiter gehabt.

Das Universitätsklinikum berief den Mann im Februar als Datenschutzbeauftragten ab und begründete dies mit den bisher ausgebliebenen Umsetzungsbemühungen und mit einer fehlerhaften Einschätzung im Jahre 2007, die das Universitätsklinikum mehrere Hunderttausend Euro gekostet hatte und die Frage aufwerfe, ob er überhaupt zuverlässig sei. Im August 2018, nach der Einführung der DS-GVO, wurde das Klinikum wegen eines seit mehreren Jahren intern genutzten Organisationsprogramms vom Landesdatenschutzbeauftragten gerügt. Der Kläger hatte in seiner Zeit als Datenschutzbeauftragter nicht auf die Probleme aufmerksam gemacht.

Die Parteien stritten sich darum, welche Qualifikation ein Datenschutzbeauftragter mitbringen muss und ob das Verhalten des Mannes für eine Abberufung ausreichte.

Entscheidung

Das Gericht gab dem Kläger im wesentlichen Recht. Die Abberufung war unwirksam. Die Bewertungsmaßstäbe für diese Entscheidung sind vor und nach der Einführung der DS-GVO im Mai 2018 ähnlich, auch wenn sie sich auf unterschiedliche Rechtsgrundlagen stützten.

  1. Fachliche Qualifikation eines Datenschutzbeauftragten

Das Landesgesetz stellte vor Mai 2018 darauf ab, dass der Datenschutzbeauftragte die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit mitbringe (§ 20 Abs. 1 S. 3 DSG M-V a.F.). Nach Art. 37 DS-GVO muss er eine ausreichende berufliche Qualifikation und Fachwissen im Datenschutzrecht mitbringen. Eine bestimmte Ausbildung oder Qualifikation wird nicht vorausgesetzt. Im Einzelnen sind die Anforderungen danach auszurichten, welche Größe die Organisation hat und wie umfangreich und sensibel die Datenverarbeitungsvorgänge sind. Der Kläger, als Volljurist, der sich ausweislich des Fachaufsatzes jedenfalls mit der Materie auseinandergesetzt hat, besitzt grundsätzlich eine angemessene Qualifizierung. Außerdem kann er sich auf fachlich qualifizierte Mitarbeiter verlassen.

  1. Abberufung aufgrund fehlender Maßnahmen zur Umsetzung

Ein Datenschutzbeauftragter ist zu unterscheiden vom Datenschutzverantwortlichen (der Organisation). Der Datenschutzbeauftragte hat die Einhaltung der Anforderungen zu überprüfen und hat nach der Konzeption der Gesetze eine unabhängige Stellung inne. Sowohl nach alter (§ 20 Abs. 2 DSG M-V a.F.) als auch nach neuer (§ 6 Abs. 4 S. 1 BDSG) Rechtslage setzt eine Abberufung ein schwerwiegendes Fehlverhalten unter entsprechender Anwendung des § 626 BGB voraus. Die vom Kläger ergriffenen Maßnahmen zur Überwachung der Einführung waren jedenfalls nicht derartig fehlerhaft, dass er seine Pflichten schwerwiegend verletzt hätte. Für eine derartige Pflichtverletzung reicht es nicht aus, dass der Kläger nicht auf die Datenschutzprobleme eines internen Organisationsprogramms hingewiesen hat, dass er nicht selbst eingeführt hatte. Schließlich kann der Datenschutzbeauftragte nicht jeden Datenverarbeitungsprozess überblicken.

  1. Abberufung wegen mangelnder Zuverlässigkeit

Das Verhalten eines Arbeitnehmers vor seiner Berufung zum Datenschutzbeauftragten hat einen Einfluss auf die Einschätzung der Zuverlässigkeit des Arbeitnehmers. Dass in der fehlerhaften Einschätzung einer Situation im Jahre 2007, die sich im Nachhinein als nachteilhaft für das Uniklinikum herausstellte, ein derartig schwerwiegender Zweifel an der Zuverlässigkeit zu erkennen sei, wurde vom Beklagten aber nicht ausreichend konkret dargelegt. Der Verdacht einer absichtlichen Schädigung reicht nicht, solange er nicht ordentlich begründet wird.

Was können die Leser mitnehmen?

  1. Ein Datenschutzbeauftragter muss keine bestimmte fachliche Qualifikation mitbringen. Im Detail kann er sich auch auf seine Mitarbeiter verlassen.
  2. Voraussetzung einer Abberufung ist wegen der unabhängigen Position des Datenschutzbeauftragten als Kontrollorgan ein schwerwiegendes Fehlverhalten (analog 626 BGB).
  3. Die Zuverlässigkeit kann auch durch ein Fehlverhalten vor Aufnahme der Tätigkeit als Datenschutzbeauftragter begründet sein.

Explore #more

01.07.2025 | Dealmeldungen

KPMG Law advised Bosch on the multinational carve-out of the entire product business of Bosch Building Technologies to investor Triton

KPMG Law advises Robert Bosch on the carve-out of the building technologies division’s product business for security and communications technology (Bosch Building Technologies) in more…

27.06.2025 | KPMG Law Insights

Krankenhaus-Sanierung: In drei Stufen aus der Krise

Viele Kliniken sehen kurz- oder mittelfristig ihre Existenz gefährdet. Auch anderen Einrichtungen des Gesundheitswesens geht es wirtschaftlich schlecht. Unzureichende Vergütungsstrukturen, Personalmangel, Nachwirkungen der Corona-Pandemie und…

27.06.2025 | In den Medien

KPMG Law bei den PMN Awards nominiert

Wir freuen uns über die Nominierung direkt in zwei Kategorien bei den PMN Awards 2025. Im Bereich Geschäftsentwicklung wurde unser Projekt „Verlängerte Werkbank“ nominiert.…

25.06.2025 | KPMG Law Insights

Mitarbeiterentsendung in die USA: Das ist bei der US-Immigration zu beachten

Die Verschärfungen bei der US-Immigration führen weltweit zu Verunsicherung. Insbesondere die Kontrollen bei der Einreise in die USA sind seit dem Antritt der neuen US-Regierung

19.06.2025 | Events, In den Medien

KPMG Law auf dem BUJ Unternehmensjuristenkongress 2025

Die Welt befindet sich im Wandel – dies dürfte zwar eine Binsenweisheit sein, trifft aber doch gerade auf die aktuelle Lage in bestechender Weise zu.…

19.06.2025 | In den Medien

KPMG Law Statement in der Technik&Einkauf: Weiße Mäuse in der Blackbox

Künstliche Intelligenz (KI) kann den Einkauf revolutionieren. Zuvor müssen Akteure allerdings ihre analogen Fähigkeiten bemühen. Ein zielgerichtetes und strukturiertes Vorgehen erhöht die Erfolgsaussichten des Vorhabens…

12.06.2025 | KPMG Law Insights

Vom KI-Tool zum KI-Framework – ein Werkstattbericht

Es fing mit ein paar Fragen zu Microsoft Copilot an – und endete mit einem unternehmensweiten KI-Framework. Wir durften das Unternehmen, ein global aufgestelltes Beratungshaus,…

12.06.2025 | Pressemitteilungen

Handelsblatt und Best Lawyers zeichnet KPMG Law Expert:innen aus

Best Lawyers hat erneut exklusiv für das Handelsblatt die besten Wirtschaftsanwältinnen und -anwälte Deutschlands für das Jahr 2025 ermittelt. Insgesamt wurden 33  Anwältinnen und Anwälte…

11.06.2025 | KPMG Law Insights

Omnibus IV bringt einige Vereinfachungen, vor allem im Produktrecht

Die EU-Kommission hat am 21. Mai 2025 das vierte Omnibus-Paket vorgeschlagen. Omnibus IV enthält Vereinfachungen in Bezug auf zahlreiche produktrechtliche Anforderungen und für KMU…

06.06.2025 | Unkategorisiert

KPMG Law berät den Mehrheitsgesellschafter der Heimkreiter GmbH beim Verkauf an PreZero

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat den Mehrheitsgesellschafter der Heimkreiter GmbH bei der Veräußerung seiner Gesellschaftsbeteiligung an die PreZero Dritte Verwaltungs GmbH rechtlich…

Kontakt

Julia Hornbostel

Senior Associate

Fuhlentwiete 5
20355 Hamburg

Tel.: +49 40 3609945162
jhornbostel@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll