Die Tätigkeit eines Datenschutzbeauftragten ist kein Ausbildungsberuf und auch kein neuer Studiengang an Hochschulen. Sie ergibt sich auch nicht ausschließlich aus dem Besuch eines Seminars oder einem erworbenen Zertifikat. Vorausgesetzt werden das nötige Fachwissen und berufliche Qualifikationen. Diese doch recht schwammige Hürde für die Benennung zum Datenschutzbeauftragten verleitet dazu, die Position fehlerhaft zu besetzen. Die Anforderungen an das Fachwissen und die beruflichen Qualifikationen hat das LAG Rostock nun etwas konkretisiert.
“Es ist unerlässlich, den internen Datenschutzbeauftragten in seiner Tätigkeit durch Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung weiterzubilden und ihm dadurch die Möglichkeit zu geben, der vorausgesetzten Fachkenntnis entgegenzukommen bzw. diese weiter auszubauen.” – Eileen Binder
Gesetzliche Vorgaben
Nach Art. 37 DSGVO wird ein Datenschutzbeauftragter aufgrund seiner beruflichen Qualifikationen und insbesondere des Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie aufgrund seiner Fähigkeiten zur Erfüllung der Aufgaben aus Art. 39 DSGVO besitzt, benannt. Die Formulierung lässt einen Interpretationsspielraum zu, wann eine berufliche Qualifikation für die Tätigkeit des Datenschutzbeauftragten vorliegt bzw. welche Tätigkeiten dafür geeignet sind und wann das erforderliche Maß an Fachwissen erreicht ist.
Erwägungsgrund 97 zur DSGVO ergänzt zum vorausgesetzten Fachwissen, dass sich im privaten Sektor das erforderliche Niveau des Fachwissens insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten soll.
Urteil LAG Rostock
Wie schafft das LAG Rostock hier nun etwas Klarheit? In seinem Urteil vom 25.02.2020 (Az.: 5 Sa 108/19) hat sich das LAG Rostock dazu geäußert, wann eine berufliche Qualifikation und insbesondere Fachwissen vorliegt.
Welche Sachkunde für die Tätigkeit eines Datenschutzbeauftragten erforderlich ist, kann sich zunächst anhand der objektiven Umstände unterscheiden. Sie richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Daneben sind regelmäßig Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich.
Spätestens hier könnten einige Datenschutzbeauftragte aus Mangel an der notwendigen beruflichen Qualifikation und des fehlenden Fachwissens die Tätigkeit als Datenschutzbeauftragter versagt werden. So findet sich nicht jeder interne Mitarbeiter in den oft komplizierten Gesetztestexten zurecht, ist technisch Affin oder lang genug im Unternehmen, um mit den betrieblichen Abläufen vertraut zu sein.
Auch hierauf geht das LAG Rostock ein und erkennt ein zumindest sehr gutes Grundverständnis für die Materie als Voraussetzung an. Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann. Der Rückgriff auf fachkundige Mitarbeiter soll jedoch nicht dazu führen, dass die Verantwortung über die Umsetzung und Einhaltung des Datenschutzes auf viele Schultern verteilt wird mit der Folge, dass sich ein ganzes Datenschutz-Team aus verschiedenen Mitarbeitern bildet. Es ist unerlässlich, den internen Datenschutzbeauftragten in seiner Tätigkeit durch Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung weiterzubilden und ihm dadurch die Möglichkeit zu geben, der vorausgesetzten Fachkenntnis entgegenzukommen bzw. diese weiter auszubauen.
Neben der Qualifikation und Sachkunde wird vom Datenschutzbeauftragten auch Zuverlässigkeit verlangt, und zwar auf ganzer Linie. So kann nach Ansicht des LAG Rostock die Zuverlässigkeit im Rahmen der Datenschutzbeauftragung bereits dann angezweifelt werden, wenn es zu einer schwerwiegenden Verletzung von allgemeinen arbeitsvertraglichen Pflichten kommt. Bei einem internen Datenschutzbeauftragten lässt sich dessen Stellung als Datenschutzbeauftragter nicht vollständig von dem zugrundeliegenden Arbeitsverhältnis trennen. Eine schwerwiegende Verletzung arbeitsvertraglicher Pflichten kann dazu führen, dass eine zuverlässige Ausübung der datenschutzrechtlichen Selbstkontrolle nicht mehr möglich ist.
Fazit
Das Urteil des LAG Rostock greift den Sinn des Erwägungsgrundes 97 zur DSGVO, wonach die berufliche Qualifikation und das erforderliche Fachwissen für die Tätigkeit eines Datenschutzbeauftragten von den Gegebenheiten des Unternehmens abhängt. Hinzu kommen Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen. Erfüllen Datenschutzbeauftragte Teilqualifikationen, kann erforderliches Fachwissen über entsprechend fachkundige Mitarbeiter hinzugeholt werden. Die notwendige eigene Fachkunde muss jedoch regelmäßig durch Fortbildungen ausgebaut bzw. erweitert werden. In der Praxis kann es hier zu erheblichen Missinterpretationen und Falscheinschätzungen kommen, teils mit verheerenden Folgen. Daher gilt schlussendlich wie immer im Datenschutz, dass im Ernstfall einzelfallbezogen beurteilt werden muss, ob ein betrieblicher Datenschutzbeauftragter den Anforderungen entspricht.
Artikel zum selben Thema:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]
