Die Auswahl des Datenschutzbeauftragten im Unternehmen ist kein leichtes Unterfangen. Die gesetzlichen Anforderungen an einen Datenschutzbeauftragten wurden durch die Gerichte jüngst konkretisiert. Auch zur Kündigung eines Datenschutzbeauftragten gibt es Neuigkeiten.
Der Inhalt im Überblick
Wer eignet sich als Datenschutzbeauftragter?
Mit einer Entscheidung vom LAG Rostock (Urteil v. 25.02.2020 – Az.: 5 Sa 108/19) konkretisiert das Gericht, welche Qualifikationen ein Datenschutzbeauftragter vorweisen muss. Geklagt hatte ein Volljurist, der bei der Beklagten als interner Datenschutzbeauftragter beschäftigt war. Der Kläger wurde gekündigt, weil die Beklagte der Meinung war, dem Kläger fehle die geeignete Sachkunde.
Gesetzliche Anforderungen
Nach der DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt, sowie auf der Grundlage seiner Fähigkeiten zur Erfüllung seiner Aufgaben (Art. 37 Abs. 5 DSGVO). Die Vorschrift lässt Interpretationsspielraum, bspw. inwieweit eine bestimmte berufliche Qualifikation erforderlich ist.
Entscheidung des LAG Rostocks
Das LAG Rostock betont, dass die erforderliche Sachkunde sich nach Art und Umfang der Tätigkeit richte, wie etwa die Größe des zu betreuenden Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten. Zudem könne der Datenschutzbeauftragte auch auf fachkundige Mitarbeiter zurückgreifen, wenn er nur in einem Teilbereich über eigene Qualifikationen verfüge. Fortbildungen seien unerlässlich, um auf dem aktuellen Stand der Entwicklungen zu bleiben.
Neben der Sachkunde müsse ein Datenschutzbeauftragter auch die notwendige Zuverlässigkeit gewähren. Diese könnte durch schwerwiegende Verletzungen arbeitsvertraglicher Pflichten gestört werden.
Datenschutzbeauftragter ist nicht gleich Datenschutzbeauftragter
Die Entscheidung des Gerichts lehnt an Erwägungsgrund 97 der DSGVO an. Hiernach richtet sich das erforderliche Niveau des Fachwissens, insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten personenbezogenen Daten. Grundsätzlich leuchtet es ein, dass die Sachkunde nach Art und Umfang der Tätigkeit zu bemessen ist. Dennoch gibt es in der Praxis erhebliche Unterschiede, gerade im Hinblick auf die Qualifikationen des Datenschutzbeauftragten. Fachliche Mängel können zu verheerenden Konsequenzen führen. Zumindest gewisse Mindestanforderungen würden helfen das Qualitätsniveau ein Stück weit anzugleichen.
Besonderer gesetzlicher Kündigungsschutz des Datenschutzbeauftragten
Die Wahl des Datenschutzbeauftragten sollte letztendlich auch gut überlegt sein, weil ein einst ernannter Datenschutzbeauftragter ziemlich fest im Sattel sitzt.
LAG Nürnberg hält Sonderkündigungsschutz für DSGVO-konform
Nach nationalem Recht genießt der Datenschutzbeauftragte ein Sonderkündigungsschutzrecht, wonach er nur bei Vorliegen eines wichtigen Grundes gekündigt werden kann (§§ 38 Abs. 2, 6 Abs. 4 S.2 BDSG). Die Parteien stritten vor dem LAG Nürnberg (Urteil v. 19.02.2020 – Az.: 2 Sa 274/19) darüber, ob das nationale Sonderkündigungsschutzrecht mit der DSGVO vereinbar sei.
Keine Öffnungsklausel in der DSGVO
Grundsätzlich bedarf es einer Öffnungsklausel in der DSGVO, damit der nationale Gesetzgeber tätig werden darf. Eine solche Öffnungsklausel zur Reglung des besonderen Kündigungsschutzes für den Datenschutzbeauftragten liegt nicht vor.
Arbeitsrechtsspezifische Regelungen nicht durch die DSGVO ausgeschlossen
Allerdings geht das LAG Nürnberg davon aus, dass die DSGVO keine abschließenden Regelungen für das Arbeitsverhältnis eines Datenschutzbeauftragten treffe. Grundsätzlich dürfe der nationale Gesetzgeber arbeitsrechtliche Regelungen für den Datenschutzbeauftragten treffen, wenn der Schutz der DSGVO dahinter nicht zurückbleibt. Denn der arbeitsrechtliche Bereich wird von der EU durch Erlass von Richtlinien bestimmt (Art. 153 Abs. 2 AEUV).
In Art. 38 DSGVO werde die Stellung des Datenschutzbeauftragten nur allgemein normiert. Der in der Vorschrift gewährleistete Abberufung – und Benachteiligungsschutz für den Datenschutzbeauftragten, würde nicht durch die nationale Reglung zum Sonderkündigungsschutz beeinträchtigt werden.
Eine endgültige Klärung der DSGVO-Konformität steht noch aus. Gegen die Entscheidung wurde Revision eingelegt.
Ausnahmefall vom Sonderkündigungsschutz: freiwilliger Datenschutzbeauftragter
Eine wichtige Ausnahme vom Sonderkündigungsschutzrecht besteht insofern, dass dieses Recht nicht für den freiwilligen Datenschutzbeauftragten gilt. Der entscheidende Zeitpunkt für die Feststellung, ob es sich um einen freiwilligen Datenschutzbeauftragten handelt oder nicht, ist der Zeitpunkt der Zugang der Kündigung (BAG Urteil v. 5. Dezember 2019 – Az.: 2 AZR 223/19). Dies ist insbesondere im Hinblick auf die Anpassung des Schwellenwerts für die Bestellung eines Datenschutzbeauftragten wichtig. Nach der Gesetzesanpassung besteht seit November 2019 erst bei 20 Mitarbeitern eine zwingende Pflicht zur Bestellung eines Datenschutzbeauftragten.
Immer noch Klärungsbedarf
Wie es auch bei vielen anderen Bereichen im Datenschutzrecht zu beobachten ist, ist das letzte Wort im Hinblick auf den im BDSG geregelte Sonderkündigungsschutz für den Datenschutzbeauftragten noch nicht gesprochen. Ebenfalls das Urteil des LAG Rostock zur Eignung eines Datenschutzbeauftragten sorgt nur sehr bedingt für mehr Klarheit.
Im Gesetzgebungsverfahren zur DSGVO wurde der Entwurf des EU Parlaments mit Anforderungen an die Mindestqualifikationen an einen Datenschutzbeauftragten nicht umgesetzt. Ob und inwieweit Gerichte gewollt sind durch weitere Urteile eine gewisse Mindestqualifikation festzulegen, bleibt abzuwarten.