DSGVO

Was muss ein Datenschutzbeauftragter können?

Veröffentlicht: 22.06.2020 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 22.06.2020
DSGVO auf Puzzleteilen

Der Datenschutzbeauftragte in einem Unternehmen hat als Überbringer schlechter Nachrichten und Spielverderber meist keinen allzuguten Stand. Dabei muss er immer die Bürde auf seinen Schultern tragen, den Datenschutz zu wahren und hohe Bußgelder zu verhindern. Welche Ansprüche man an das datenschutzrechtliche Fachwissen eines Datenschutzbeauftragten stellen darf, hat das Landesarbeitsgericht Mecklenburg-Vorpommern entschieden.

Erforderliches Fachwissen des Datenschutzbeauftragten

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung dieser Aufgaben. Das Gesetz knüpft die Tätigkeit als Datenschutzbeauftragter zwar nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse, etwa ein angeschlossenes IT- oder Jura-Studium. 

Regelmäßig seien jedoch Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich. Verfüge der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genüge es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann. Des Weiteren seien Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich.

Letztendlich, so das Gericht, müsse man Rücksicht auf die Unternehmensgröße nehmen. „Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw.”, so der Leitsatz des Urteils (Landesarbeitsgericht Mecklenburg-Vorpommern, Urteil vom 25. Februar 2020, Aktenzeichen: 5 Sa 108/19). Der Forderung der betroffenen Unternehmen, Rücksicht auf kleinere Unternehmen zu nehmen, wurde damit ein Stück weit nachgekommen.

Zu viel zu tun?

Die Vielzahl der Aufgaben eines Datenschutzbeauftragten lässt es häufig nicht zu, von sich aus sämtliche Datenverarbeitungsprozesse kurzfristig zu überprüfen. Die Tätigkeit erfordere es, Schwerpunkte zu setzen, insbesondere wenn diese nur einen Teil der Arbeitszeit ausmacht und zugleich weitere Unternehmen zu betreuen sind. Es seien Anfragen und Beschwerden zu bearbeiten, Fortbildungen durchzuführen, Informationsmaterialien auszuwerten etc. Die Kontrollpflichten würden nur dann vernachlässigt, wenn der Datenschutzbeauftragte die ihm hierfür zur Verfügung stehende Arbeitszeit nicht ausschöpft, obwohl die Aufgaben noch nicht erledigt sind, so das Gericht.

Abberufung bei schweren Verfehlungen

An der Eignung als Datenschutzbeauftragter kann man jedoch ernsthaft zweifeln, wenn er die mit dieser Aufgabe verbundenen Pflichten verletzt. Trotz des unmittelbar bevorstehenden Inkrafttretens der DSGVO soll der vor Gericht stehende Datenschutzbeauftragte – ein Volljurist – vollständig untätig geblieben sein. Statt einer aktiven Mitwirkung an den Vorbereitungen zur Umsetzung der DSGVO habe sich der Jurist rein passiv und mit einer Hinhaltetaktik verhalten, um seine mangelnde Sachkunde und seine Unzuverlässigkeit zu verschleiern, so der Vorwurf des verklagten Arbeitgebers.

Es könne außerdem Auswirkungen auf seine Zuverlässigkeit haben, wenn er sich sonst unzuverlässig verhält. Das Gericht führt als Beispiel eine „schwerwiegende Verletzung von allgemeinen arbeitsvertraglichen Pflichten” an, beispielsweise Diebstahl, Unterschlagung, vorsätzliche Rufschädigung, Tätlichkeiten gegen andere Beschäftigte.

Tatsächlich konnte der klagende Datenschutzbeauftragte die Richter noch von sich und seiner Eignung und Zuverlässigkeit überzeugen und so die Klage gegen seine Abberufung als Datenschutzbeauftragter gewinnen.

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.