Wenige Tage vor Erlass des Urteils des Landesarbeitsgerichts (LAG) Mecklenburg-Vorpommern vom 25. Februar 2020 (5 Sa 108/19) hatte das LAG Nürnberg entschieden, dass die Abberufung eines Datenschutzbeauftragten an § 6 Abs.4 BDSG in Verbindung mit § 626 BGB zu messen sei. Auf einen Beitrag hierzu wird verwiesen. Das LAG Mecklenburg-Vorpommern ging wie selbstverständlich von der Anwendbarkeit der vorgenannten Gesetze aus und entschied in einem Fall mehrfacher Abberufungsversuche zugunsten des internen Datenschutzbeauftragten und bestätigte, dass die Abberufung an strenge Voraussetzungen geknüpft ist.
Zum Teil unterlag der Fall altem Datenschutzrecht, das – wie § 6 Abs.4 BDSG nach aktueller Rechtslage – die Abberufung vom Vorliegen eines „wichtigen Grunds“ im Sinne von § 626 BGB abhängig macht. Wie das LAG in Ziffer 2 seines Urteils klarstellte, seien seine Ausführungen zur alten Rechtslage daher auch auf die aktuelle Rechtslage anzuwenden (Urteil RN 81).
1. Sachverhalt
Die Parteien stritten um die Wirksamkeit von Abberufungserklärungen der beklagten Körperschaft des öffentlichen Rechts, die ein Universitätsklinikum mit 4.100 Beschäftigten betrieb. Zur Unternehmensgruppe gehörten 11 Tochtergesellschaften mit weiteren 900 Beschäftigten. Der Kläger war seit 2007 bei der Beklagten als Personaldezernent beschäftigt, mit Änderungsvertrag aus 2014 zusätzlich als Datenschutzbeauftragter. Mit weiterem Änderungsvertrag von 2015 vereinbarten die Parteien, dass der Kläger zu 25% als Justiziar tätig sein sollte, zu 75% als behördlicher Datenschutzbeauftragter für die Beklagte und als Konzerndatenschutzbeauftragter.
Mit Schreiben vom 20. Februar 2018 widerrief die Beklagte mit sofortiger Wirkung die Bestellung des Klägers als Konzerndatenschutzbeauftragter und am 27. Februar seine Bestellung als behördlicher Datenschutzbeauftragter.
Den Vorgang wiederholte die Beklagte vorsorglich mit Schreiben vom 27. August 2018.
Die Beklagte stütze ihre Widerrufsversuche auf 3 Vorfälle. Der Kläger habe es unterlassen, auf die Umsetzung der Vorgaben aus der ab dem 25.Mai 2018 anzuwendenden Datenschutz Grundverordnung (DSGVO) hinzuwirken. Außerdem habe dem Kläger die für die Ausübung der Position des Datenschutzbeauftragten notwendige Zuverlässigkeit gefehlt. Er habe nämlich in kollusivem Zusammenwirken mit seinem ehemaligen Vorgesetzen diesem im Dezember 2007 (!) durch einen bewusst falschen Verfügungsvermerk betriebliche Altersvorsorgeansprüche zugesprochen, die diesem nicht zugestanden hätten. Und mit Billigung dieses ehemaligen Vorgesetzten habe er sich selbst eine Erhöhung der Beiträge zur Altersversorgung verschafft. Drittens habe er zu keiner Zeit auf die datenschutzrechtlich rechtswidrige Führung des Dienstplans im Klinikum hingewiesen. Im Anschluss an eine Rüge eines Personalrats der Beklagten stellte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit dessen Rechtswidrigkeit mit Bescheid im August 2018 fest.
2. Begründung
Nach alter Rechtslage (Landesdatenschutzgesetz Mecklenburg-Vorpommern) wie nach neuer Rechtslage (DSGVO und BDSG) kann ein Datenschutzbeauftragter abberufen werden (in der alten Terminologie noch „Bestellung widerrufen“ werden) wenn hierfür ein wichtiger Grund im Sinne von § 626 BGB vorliegt.
Ein wichtiger Grund im Sinne von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann.
„Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und der Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der datenschutzrechtlichen Kontrollpflichten … Allerdings genügt es nicht, dass der Arbeitgeber eine andere Person, sei es ein anderer Arbeitnehmer oder ein externer Dienstleister, nunmehr für besser geeignet hält. Dem steht die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten entgegen. Der Datenschutzbeauftragte soll seiner Kontrolltätigkeit im Interesse des Datenschutzes ohne Furcht vor einer Abberufung nachgehen können.“ (Urteil RN 44)
„Zum Datenschutzbeauftragten darf nach § 20 Abs. 1 Satz 3 DSG M-V a. F. [altes Datenschutzrecht, Anm. des Verfassers] nur bestellt werden, wer die zur Erfüllung seiner Aufgabe erforderliche Sachkunde und Zuverlässigkeit [Hervorhebung durch den Verfasser] besitzt. Sind diese Voraussetzungen weggefallen, ist es dem Arbeitgeber grundsätzlich nicht zumutbar, den Betreffenden weiterhin in der Funktion des Datenschutzbeauftragten zu belassen, zumal er sich dadurch selbst gesetzeswidrig verhalten würde.“ (Urteil RN 45) Fehlende Sachkunde bzw. fehlende Zuverlässigkeit seien also wichtige Gründe für eine Abberufung. Dies gelte auch nach aktuellem Recht (Urteil RN 82).“
Zwar verwendet die DSGVO den Begriff der Zuverlässigkeit nicht, nach aktuellem Recht gelte aber in Bezug auf die Zuverlässigkeit nichts Anderes als nach altem Landesrecht Mecklenburg-Vorpommerns. Denn der Datenschutzbeauftragte muss gemäß Art. 37 Abs.5 DSGVO auch auf der Grundlage seiner Fähigkeit zur Erfüllung seiner in Artikel 39 DSGVO genannten Aufgaben ernannt werde. Daraus ergäben sich ähnliche Anforderungen. Die weiteren Ausführungen zur Zuverlässigkeit eines Datenschutzbeauftragten nach altem Landesdatenschutzrecht sollen nach Rechtsauffassung des LAG auch für das aktuelle Recht zur Auslegung des Begriffs der Fähigkeit zur Erfüllung der Aufgaben gelten (Urteil RN 82).
a) Sachkunde
Welche Sachkunde für die Ausübung der Funktion eines Datenschutzbeauftragten erforderlich ist, regelt das Gesetz nicht ausdrücklich. Nach Auffassung des LAG hänge die erforderliche Sachkenntnis u.a. von der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten ab (Urteil RN 70). Defizite in Teilbereichen könne der Datenschutzbeauftragte durch Zugriff auf fachkundige Mitarbeiter kompensieren. Das Gericht hatte an der Sachkenntnis des Klägers keine Zweifel. Der Kläger war Volljurist und habe als Personalreferent für die Beklagte bereits wesentliche Kenntnisse des Datenschutzrechts gewinnen können. In einem Fachartikel habe er bereits seine Kenntnisse des Datenschutzrechts der DSGVO unter Beweis gestellt. Technisches Knowhow habe er bei seinem Stellvertreter, einem Informatiker, einholen können.
b) Zuverlässigkeit (Fähigkeit)
Die erforderliche Zuverlässigkeit eines Datenschutzbeauftragten kann dann fehlen, wenn der Datenschutzbeauftragte die Gewähr für eine gewissenhafte Ausübung seiner Funktion nicht leistet. In Bezug auf seine Funktion sei das nach Ansicht des LAG, die wirkungsvolle Eigenkontrolle der datenschutzrechtlichen Vorschriften sicherzustellen, um dadurch zugleich öffentliche Kontrollstellen zu entlasten. Die zum Datenschutzbeauftragten bestellte Person müsse eine wirksame datenschutzbezogene Selbstkontrolle seines Unternehmens gewährleisten können (Urteil RN 72).
Auch an der erforderlichen Zuverlässigkeit habe es dem Kläger nicht gefehlt. Das LAG stellt in diesem Zusammenhang klar, dass angesichts der Größe der Einheiten, für die der Kläger bestellt war, und der Menge an Datenverarbeitungsvorgängen (mehrere Tausend am Tag) der Kläger Schwerpunkte habe setzen müssen (Urteil RN 74). Selbstverständlich ist das nicht so zu interpretieren, dass Datenschutzrecht erlaubtermaßen nicht vollständig beachtet werden müsse. Das Gericht bewertete lediglich, ob der Kläger in seiner Funktion als Datenschutzbeauftragter pflichtwidrig gehandelt hat. Bei der Bewertung lässt das LAG erkennen, dass angesichts der Menge an Daten und Datenverarbeitungsvorgängen eine perfekte datenschutzrechtliche Betreuung dem Kläger im Rahmen von 34,5 Wochenstunden schwerlich möglich gewesen sein konnte. Der Kläger habe intern geschult, auf die Einhaltung von Datenschutzvorschriften hingewirkt, zahlreiche Anfragen aus seinem Unternehmen und von den Tochterunternehmen beantwortet und in diversen Datenschutz-Gremien und Arbeitskreisen mitgewirkt.
Das LAG wies darauf hin, dass die Umsetzung der DSGVO nicht die Aufgabe des Datenschutzbeauftragten gewesen sei, sondern die des für die Datenverarbeitung Verantwortlichen, die beklagte Betreiberin des Krankenhauses und die ihrer Tochtergesellschaften. Die Pflichten des Datenschutzbeauftragten hätten sich auf Unterstützung und Kontrolle beschränkt (Urteil RN 75). Der Vorwurf der Beklagten, der Kläger habe es unterlassen, auf die Umsetzung der Vorgaben aus der ab dem 25.Mai 2018 anzuwendenden DSGVO hinzuwirken, ist juristisch daher unbeachtlich.
Unter der DSGVO ist mit Art.39 die Funktion des Datenschutzbeauftragten noch stärker als nach altem Datenschutzrecht der eines Supervisors, der unterstützt und kontrolliert, angeglichen. Der Datenschutzbeauftragte prüft und identifiziert Datenschutzdefizite im Unternehmen oder der Behörde. Er berät seinen Verantwortlichen bzw. seinen Auftragsverarbeiter und die mit der Datenverarbeitung betrauten Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten. Der Verantwortliche oder Auftragsverarbeiter und seine Mitarbeiter sollen auf diese Weise in die Lage versetzt werden, Anforderungen des Datenschutzrechts selbst umzusetzen. Für die Einhaltung des Datenschutzes ist der Datenschutzbeauftragte selbst nicht verantwortlich. Er ist Kontaktperson für die Aufsichtsbehörde. Er ist nicht verpflichtet, selbst zu schulen, vielmehr kontrolliert er, ob sein Unternehmen oder seine Behörde ein Schulungskonzept erarbeitet hat und Schulungen abhält. Er entwickelt keine Datenschutzstrategie, sondern überprüft die Strategie des Unternehmens oder der Behörde.
Einen wichtigen Grund wegen Unzuverlässigkeit bedeute es auch nicht, dass der Kläger die datenschutzrechtswidrige Handhabung der Dienstpläne nicht erkannt und die Geschäftsführung hierauf nicht hingewiesen habe (Urteil RN 76). Das LAG wiederholt, dass der Kläger – angesichts des Verhältnisses zwischen zur Verfügung stehender Arbeitszeit und den hohen Anforderungen an die datenschutzrechtliche Betreuung – Schwerpunkte bei seiner Arbeit habe setzen müssen. Die Kontrollpflichten würden nur dann vernachlässigt, wenn der Datenschutzbeauftragte die ihm hierfür zur Verfügung stehende Arbeitszeit nicht ausschöpft, obwohl die Aufgaben noch nicht erledigt sind. Hierfür sah das Gericht keine Anzeichen, zumal Hinweise auf datenschutzrechtliche Probleme der Dienstplanverwaltung erst vorgelegen haben, als der Kläger bereits von den Aufgaben des Datenschutzbeauftragten entbunden war.
Die schwerwiegende Verletzung allgemeiner arbeitsvertraglicher Pflichten könne ebenfalls die Zuverlässigkeit im Sinne des alten Landesdatenschutzrechts in Frage stellen, beispielsweise Diebstahl, Unterschlagung, vorsätzliche Rufschädigung, Tätlichkeiten gegen andere Beschäftigte (Urteil RN 72). Nach Interpretation des LAG gelte das auch für das aktuelle Datenschutzrecht: Die schwerwiegende Verletzung allgemeiner arbeitsvertraglicher Pflichten könne die gemäß Art. 37 Abs.4 DSGVO erforderliche Fähigkeit zur Erfüllung der Aufgaben eines Datenschutzbeauftragten (Art. 39 DSGVO) in Frage stellen (Urteil RN 82).
„Eine schwerwiegende Verletzung arbeitsvertraglicher Pflichten kann dazu führen, dass eine zuverlässige Ausübung der datenschutzrechtlichen Selbstkontrolle nicht mehr möglich ist. Besitzt der Datenschutzbeauftragte aufgrund eines solchen Fehlverhaltens nicht mehr das nötige Vertrauen, ist es u. a. ausgeschlossen, ihm die für seine Tätigkeit erforderlichen Informationen unter Einschluss von Berufs- und Amtsgeheimnissen … anzuvertrauen.“ (Urteil RN 72)
Der Kläger habe aber keine allgemeinen Pflichten aus dem Arbeitsverhältnis verletzt und er habe das Vertrauen in sein rechtskonformes Handeln nicht zerstört, als er durch seine juristische Beurteilung seinem Vorgesetzten betriebliche Altersvorsorgeansprüche gegenüber der Beklagten zusprach. Die Rechtsauffassung des Klägers hielt das LAG für vertretbar. Ebenso sei die Höhe der dem Kläger gewährten betrieblichen Altersversorgung vertraglich, tarifvertraglich und satzungsrechtlich nicht zu beanstanden gewesen. Eine Pflichtverletzung konnte das LAG daher nicht erkennen (Weitere Ausführungen hierzu im Urteil RN 78, 79).
3. Fazit
Fehler bei der Datenverarbeitung sind nicht automatisch dem internen Datenschutzbeauftragten anzulasten. Es kommt darauf an, ob er die ihm obliegenden Pflichten verletzt hat.
Der Pflichtenkatalog des internen Datenschutzbeauftragten (nach altem Landesdatenschutzrecht Mecklenburg-Vorpommerns und – noch deutlicher – nach aktuellem Datenschutzrecht der DSGVO und dem BDSG) entspricht sicherlich nicht den in der Praxis häufig an den Datenschutzbeauftragten gestellten Erwartungen. Nach dem Gesetz ist der Datenschutzbeauftragte eher Supervisor als Macher. Die an ihn gestellten Erwartungen hingegen sind eher die des qualifizierten Mitarbeiters, der für das Unternehmen oder die Behörde die Aufgaben des Datenschutzrechts steuert und erledigt. Aber nur soweit dem internen Datenschutzbeauftragten gesetzliche Pflichten obliegen, Art.39 DSGVO, § 7 und § 38 BDSG, und soweit er zur Erfüllung dieser Pflichten qualifiziert, wissend und fähig sein muss, Art.37 Abs.5 DSGVO, kommt ein Verstoß gegen eben diese Pflichten bzw. mangelnde Fähigkeit in Frage, was als wichtiger Grund Anlass für eine Kündigung sein kann. Die Verletzung subjektiver Erwartungen des Unternehmens oder der Behörde an ihren Datenschutzbeauftragten sind selbstverständlich irrelevant.
Das Gericht konkretisiert Anforderungen an die Sachkenntnis und die Fähigkeiten (dazu zählt auch seine Zuverlässigkeit) eines Datenschutzbeauftragten. In Bezug auf die Sachkenntnis bestätigt es ein relatives Verständnis des Begriffs (Ziffer 2.a).
Datenschutzrecht
§ 6 Abs.4 BDSG, § 626 BGB, Artt. 37, 39 DSGVO