25.05.2020 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Das Landesarbeitsgericht Nürnberg hat jetzt in einem aktuellen Urteil festgehalten, dass dennoch die Abberufung aus wichtigem Grund möglich ist. Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN, erläutert die Entscheidung.
Nach § 38 Bundesdatenschutzgesetz (BDSG) müssen Verantwortliche einen Datenschutzbeauftragten bestellen, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Die Bestellung kann auch je nach Datenverarbeitungen unterhalb dieser Schwelle zwingend sein.
Neben einem externen Dienstleister kann die Wahl auch auf eine bereits im Unternehmen angestellte Person entfallen, die dann natürlich entsprechend geschult sein muss. Das Datenschutzrecht will dem Datenschutzbeauftragten eine möglichst unabhängige Stellung gewährleisten. Die Stellung des Datenschutzbeauftragten ist in Art. 38 der DSGVO geregelt. Dort heißt es in Absatz 3
(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
Nach § 6 Abs. 4 BDSG, der auch auf den Datenschutzbeauftragten in nichtöffentlichen Unternehmen Anwendung findet, gilt:
(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. 2Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. 3Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
Die Bestellung eines internen Datenschutzbeauftragten hat also arbeitsrechtliche Konsequenzen. Sein Arbeitsvertrag ändert sich. Hieraus entnehmen Stimmen in der Literatur die Begründung, warum die DSGVO keine abschließende Regelung sein soll. Der Kündigungsschutz kann also von den einzelnen Staaten der EU individuell und wie in Deutschland verstärkt ausgestaltet werden.
Damit muss allerdings für die Abberufung eines betriebsinternen Datenschutzbeauftragten ein wichtiger Grund vorliegen. Im konkreten Verfahren wollte der Arbeitgeber vom internen auf einen externen Datenschutzbeauftragten umschwenken, um sich „zu professionalisieren“. Dies ist aber nach Ansicht des LAG Nürnberg (Urt. v. 19.02.2020, Az. 2 Sa 274/19) kein wichtiger Grund. Aus dem Urteil:
Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen. Weitere Ausführungen seitens des Berufungsgerichts sind hierzu nicht veranlasst.
Hohe Risiken und Haftungspotentiale im Datenschutzbereich hätten bereits bei der Bestellung des Datenschutzbeauftragten vorgelegen.
Ähnliche Attacken wies auch das LAG Rostock unlängst zurück. In seinem Urteil vom 25.02.2020 (Az.: 5 Sa 108/19) sah es eine Abberufung eines internen Datenschutzbeauftragten in einem Universitätsklinikum als unwirksam an. Dabei erfolgten auch Ausführungen zum wichtigen Grund:
Ein wichtiger Grund in entsprechender Anwendung von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann.
Als solche Gründe, die die Ausübung der Tätigkeit des Datenschutzbeauftragten unmöglich machen oder doch zumindest erheblich gefährden, werden Geheimnisverrat oder dauerhafte Verletzungen von Kontrollpflichten angesehen (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09). Allein der Umstand, dass eine andere Person als besser geeignet angesehen wird, reicht nicht aus. Zu den notwendigen Fachkenntnissen führt das Urteil der Rostocker Richter aus:
"Das Gesetz knüpft die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich (...).
Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann (...). Des Weiteren sind Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich (...)."
Damit kann man dem Datenschutzbeauftragten auch nicht zu einfach mit mangelnden Fachkenntnissen zu Leibe rücken, obwohl diese natürlich eine Rolle spielen können.
Einfacher sind Zuverlässigkeitskriterien zu prüfen, denn ob der Datenschutzbeauftragte seinen Prüfpflichten nachkommt und ob er beispielsweise seine Verschwiegenheitsverpflichtung ernst nimmt, ist jedenfalls einfacher messbar. Natürlich wird die Zuverlässigkeit auch durch andere Fehltritte in Frage gestellt. Das LAG Rostock zur Zuverlässigkeit:
„Eine schwerwiegende Verletzung allgemeiner arbeitsvertraglicher Pflichten kann ebenfalls die Zuverlässigkeit in Frage stellen, beispielsweise Diebstahl, Unterschlagung, vorsätzliche Rufschädigung, Tätlichkeiten gegen andere Beschäftigte etc. Die Zuverlässigkeit ist unter Berücksichtigung von Sinn und Zweck der Bestellung eines Datenschutzbeauftragten zu bewerten.
Der Datenschutzbeauftragte hat die Aufgabe, eine wirkungsvolle Eigenkontrolle der datenschutzrechtlichen Vorschriften sicherzustellen, um dadurch zugleich öffentliche Kontrollstellen zu entlasten (...). Die zum Datenschutzbeauftragten bestellte Person muss (...) eine wirksame Selbstkontrolle gewährleisten können.
Bei einem internen Datenschutzbeauftragten lässt sich dessen Stellung als Datenschutzbeauftragter nicht vollständig von dem zugrundeliegenden Arbeitsverhältnis trennen. Eine schwerwiegende Verletzung arbeitsvertraglicher Pflichten kann dazu führen, dass eine zuverlässige Ausübung der datenschutzrechtlichen Selbstkontrolle nicht mehr möglich ist. Besitzt der Datenschutzbeauftragte aufgrund eines solchen Fehlverhaltens nicht mehr das nötige Vertrauen, ist es u. a. ausgeschlossen, ihm die für seine Tätigkeit erforderlichen Informationen unter Einschluss von Berufs- und Amtsgeheimnissen (...) anzuvertrauen."
Auch die Rostocker Richter kamen, wie ihre Nürnberger Kollegen im konkreten Fall dazu, dass die Abberufung bzw. Kündigung des internen Datenschutzbeauftragten im konkreten Fall nicht gerechtfertigt war. Das mag man als Arbeitgeber bedauern, aber der Datenschutzbeauftragte ist und darf kein willfähriger „Nickonkel“ sein. Das Gesetz bietet ihm eine stark abgesicherte Stellung. Inkompetenz und Rechtsverletzungen können natürlich dennoch einen Grund für eine Trennung auch fristloser Art bieten.
X
