Die Tätig­keit eines Daten­schutz­be­auf­trag­ten ist kein Aus­bil­dungs­be­ruf und auch kein neu­er Stu­di­en­gang an Hoch­schu­len. Sie ergibt sich auch nicht aus­schließ­lich aus dem Besuch eines Semi­nars oder einem erwor­be­nen Zer­ti­fi­kat. Vor­aus­ge­setzt wer­den das nöti­ge Fach­wis­sen und beruf­li­che Qua­li­fi­ka­tio­nen. Die­se doch recht schwam­mi­ge Hür­de für die Benen­nung zum Daten­schutz­be­auf­trag­ten ver­lei­tet dazu, die Posi­ti­on feh­ler­haft zu beset­zen. Die Anfor­de­run­gen an das Fach­wis­sen und die beruf­li­chen Qua­li­fi­ka­tio­nen hat das LAG Ros­tock nun etwas konkretisiert.

Es ist uner­läss­lich, den inter­nen Daten­schutz­be­auf­trag­ten in sei­ner Tätig­keit durch Fort­bil­dun­gen zu den neu­en tech­ni­schen Ent­wick­lun­gen und Geset­zes­än­de­run­gen bzw. Ent­wick­lun­gen in der Recht­spre­chung wei­ter­zu­bil­den und ihm dadurch die Mög­lich­keit zu geben, der vor­aus­ge­setz­ten Fach­kennt­nis ent­ge­gen­zu­kom­men bzw. die­se wei­ter aus­zu­bau­en.” – Eileen Bin­der

Gesetz­li­che Vorgaben

Nach Art. 37 DSGVO wird ein Daten­schutz­be­auf­trag­ter auf­grund sei­ner beruf­li­chen Qua­li­fi­ka­tio­nen und ins­be­son­de­re des Fach­wis­sens, das er auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­pra­xis sowie auf­grund sei­ner Fähig­kei­ten zur Erfül­lung der Auf­ga­ben aus Art. 39 DSGVO besitzt, benannt. Die For­mu­lie­rung lässt einen Inter­pre­ta­ti­ons­spiel­raum zu, wann eine beruf­li­che Qua­li­fi­ka­ti­on für die Tätig­keit des Daten­schutz­be­auf­trag­ten vor­liegt bzw. wel­che Tätig­kei­ten dafür geeig­net sind und wann das erfor­der­li­che Maß an Fach­wis­sen erreicht ist.

Erwä­gungs­grund 97 zur DSGVO ergänzt zum vor­aus­ge­setz­ten Fach­wis­sen, dass sich im pri­va­ten Sek­tor das erfor­der­li­che Niveau des Fach­wis­sens ins­be­son­de­re nach den durch­ge­führ­ten Daten­ver­ar­bei­tungs­vor­gän­gen und dem erfor­der­li­chen Schutz für die von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten rich­ten soll.

Urteil LAG Rostock

Wie schafft das LAG Ros­tock hier nun etwas Klar­heit? In sei­nem Urteil vom 25.02.2020 (Az.: 5 Sa 108/19) hat sich das LAG Ros­tock dazu geäu­ßert, wann eine beruf­li­che Qua­li­fi­ka­ti­on und ins­be­son­de­re Fach­wis­sen vorliegt.

Wel­che Sach­kun­de für die Tätig­keit eines Daten­schutz­be­auf­trag­ten erfor­der­lich ist, kann sich zunächst anhand der objek­ti­ven Umstän­de unter­schei­den. Sie rich­tet sich ins­be­son­de­re nach der Grö­ße der zu betreu­en­den Orga­ni­sa­ti­ons­ein­heit, dem Umfang der anfal­len­den Daten­ver­ar­bei­tungs­vor­gän­ge, den ein­ge­setz­ten IT-Verfahren, dem Typus der anfal­len­den Daten usw. Dane­ben sind regel­mä­ßig Kennt­nis­se des Daten­schutz­rechts, zur Tech­nik der Daten­ver­ar­bei­tung und zu den betrieb­li­chen Abläu­fen erforderlich.

Spä­tes­tens hier könn­ten eini­ge Daten­schutz­be­auf­trag­te aus Man­gel an der not­wen­di­gen beruf­li­chen Qua­li­fi­ka­ti­on und des feh­len­den Fach­wis­sens die Tätig­keit als Daten­schutz­be­auf­trag­ter ver­sagt wer­den. So fin­det sich nicht jeder inter­ne Mit­ar­bei­ter in den oft kom­pli­zier­ten Gesetz­tes­tex­ten zurecht, ist tech­nisch Affin oder lang genug im Unter­neh­men, um mit den betrieb­li­chen Abläu­fen ver­traut zu sein.

Auch hier­auf geht das LAG Ros­tock ein und erkennt ein zumin­dest sehr gutes Grund­ver­ständ­nis für die Mate­rie als Vor­aus­set­zung an. Ver­fügt der Daten­schutz­be­auf­trag­te nur in einem Teil­be­reich über eine eige­ne Qua­li­fi­ka­ti­on, genügt es, wenn er im Übri­gen auf fach­kun­di­ge Mit­ar­bei­ter zurück­grei­fen kann. Der Rück­griff auf fach­kun­di­ge Mit­ar­bei­ter soll jedoch nicht dazu füh­ren, dass die Ver­ant­wor­tung über die Umset­zung und Ein­hal­tung des Daten­schut­zes auf vie­le Schul­tern ver­teilt wird mit der Fol­ge, dass sich ein gan­zes Datenschutz-Team aus ver­schie­de­nen Mit­ar­bei­tern bil­det. Es ist uner­läss­lich, den inter­nen Daten­schutz­be­auf­trag­ten in sei­ner Tätig­keit durch Fort­bil­dun­gen zu den neu­en tech­ni­schen Ent­wick­lun­gen und Geset­zes­än­de­run­gen bzw. Ent­wick­lun­gen in der Recht­spre­chung wei­ter­zu­bil­den und ihm dadurch die Mög­lich­keit zu geben, der vor­aus­ge­setz­ten Fach­kennt­nis ent­ge­gen­zu­kom­men bzw. die­se wei­ter auszubauen.

Neben der Qua­li­fi­ka­ti­on und Sach­kun­de wird vom Daten­schutz­be­auf­trag­ten auch Zuver­läs­sig­keit ver­langt, und zwar auf gan­zer Linie. So kann nach Ansicht des LAG Ros­tock die Zuver­läs­sig­keit im Rah­men der Daten­schutz­be­auf­tra­gung bereits dann ange­zwei­felt wer­den, wenn es zu einer schwer­wie­gen­den Ver­let­zung von all­ge­mei­nen arbeits­ver­trag­li­chen Pflich­ten kommt.  Bei einem inter­nen Daten­schutz­be­auf­trag­ten lässt sich des­sen Stel­lung als Daten­schutz­be­auf­trag­ter nicht voll­stän­dig von dem zugrun­de­lie­gen­den Arbeits­ver­hält­nis tren­nen. Eine schwer­wie­gen­de Ver­let­zung arbeits­ver­trag­li­cher Pflich­ten kann dazu füh­ren, dass eine zuver­läs­si­ge Aus­übung der daten­schutz­recht­li­chen Selbst­kon­trol­le nicht mehr mög­lich ist.

Fazit

Das Urteil des LAG Ros­tock greift den Sinn des Erwä­gungs­grun­des 97 zur DSGVO, wonach die beruf­li­che Qua­li­fi­ka­ti­on und das erfor­der­li­che Fach­wis­sen für die Tätig­keit eines Daten­schutz­be­auf­trag­ten von den Gege­ben­hei­ten des Unter­neh­mens abhängt. Hin­zu kom­men Kennt­nis­se des Daten­schutz­rechts, zur Tech­nik der Daten­ver­ar­bei­tung und zu den betrieb­li­chen Abläu­fen. Erfül­len Daten­schutz­be­auf­trag­te Teil­qua­li­fi­ka­tio­nen, kann erfor­der­li­ches Fach­wis­sen über ent­spre­chend fach­kun­di­ge Mit­ar­bei­ter hin­zu­ge­holt wer­den. Die not­wen­di­ge eige­ne Fach­kun­de muss jedoch regel­mä­ßig durch Fort­bil­dun­gen aus­ge­baut bzw. erwei­tert wer­den. In der Pra­xis kann es hier zu erheb­li­chen Miss­in­ter­pre­ta­tio­nen und Falschein­schät­zun­gen kom­men, teils mit ver­hee­ren­den Fol­gen. Daher gilt schluss­end­lich wie immer im Daten­schutz, dass im Ernst­fall ein­zel­fall­be­zo­gen beur­teilt wer­den muss, ob ein betrieb­li­cher Daten­schutz­be­auf­trag­ter den Anfor­de­run­gen entspricht.

Artikel zum selben Thema:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz