Zur Abberufung eines Datenschutzbeauftragten wegen mangelnder Zuverlässigkeit
LAG Mecklenburg-Vorpommern v. 25.2.2020 - 5 Sa 108/19
Der Sachverhalt:
Die Beklagte betreibt als Körperschaft des öffentlichen Rechts ein Universitätsklinikum mit mehr als 4100 Beschäftigten. Der 1966 geborene Kläger ist Volljurist. Er hatte mit der Beklagten einen Sonderdienstvertrag über eine Beschäftigung als Personaldezernent ab August 2007 abgeschlossen. Wenige Monate nach seiner Einstellung verfasste der Kläger einen Verfügungsvermerk, in dem er zu dem Ergebnis kam, dass dem ihm vorgesetzten Kaufmännischen Vorstand, Herrn G., eine betriebliche Altersversorgung zusteht. Er hielt eine im Rahmen der Ausschlussfrist rückwirkende Einrichtung einer betrieblichen Altersversorgung nach dem Leistungsplan des DUK Versorgungswerks für geboten. Die Beklagte richtete daraufhin eine solche betriebliche Altersversorgung ein.
Am 23.10.2014 schlossen die Parteien mit Wirkung zum 1.1.2015 einen Änderungsvertrag, in dem u.a. die Bestellung des Klägers zum Datenschutzbeauftragten mitaufgenommen wurde. Am 18.9.2015 folgte ein weiterer Änderungsvertrag, der u.a. im Umfang von 25 % die Arbeit als Justiziar sowie als 2. Abfallbeauftragter vorsah und zu 75 % eine Freistellung für Aufgaben des behördlichen Datenschutzbeauftragten sowie des Konzernbeauftragten für den Datenschutz.
Am 30.1.2018 führte die Beklagte mit dem Kläger ein Gespräch zum Stand der Umsetzung der im Mai des Jahres in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) im eigenen Haus und bei den Tochtergesellschaften. Der Kläger verwies auf die noch laufenden Gesetzgebungsverfahren im Land Mecklenburg-Vorpommern zur Anpassung des allgemeinen und des bereichsspezifischen Datenschutzrechts. Danach könne die konkrete Umsetzung der Datenschutzgesetze des Landes durch die Datenschutzverantwortlichen denklogisch erst nach Inkrafttreten der Gesetze erfolgen.
Daraufhin widerriefen sämtliche Tochtergesellschaften sowie die Beklagte selbst mit sofortiger Wirkung die Bestellung des Klägers zum Konzern- bzw. zum Datenschutzbeauftragten. Die Beklagte war der Ansicht, der Kläger habe es vollständig unterlassen, auf eine Umsetzung der Vorgaben aus der DSGVO hinzuwirken. Der Datenschutzbeauftragte habe die Umsetzung der DSGVO proaktiv zu begleiten und eigene Vorschläge einzubringen. Der Kläger habe allerdings zu erkennen geben, dass er nicht gewillt sei, seinen Verpflichtungen nachzukommen. Außerdem fehle dem Kläger die erforderliche Zuverlässigkeit für die Tätigkeit des Datenschutzbeauftragten. Denn er sei kurz nach Aufnahme des Beschäftigungsverhältnisses auf den damaligen Kaufmännischen Vorstand, Herrn G., zugegangen und habe ihm angeboten, ihn in das betriebliche Altersversorgungssystem einzubeziehen.
Das Arbeitsgericht hat der hiergegen gerichteten Klage stattgegeben. Die Berufung der Beklagten blieb vor dem LAG ohne Erfolg.
Die Gründe:
Die Widerrufe der Bestellung des Klägers zum Datenschutzbeauftragten sowie Konzerndatenschutzbeauftragten sind unwirksam. Es gibt hierfür keine Gründe i.S.d. § 20 Abs. 2 Satz 2 DSG M-V a. F. i.V.m. § 626 BGB.
Der Kläger besitzt sowohl die erforderliche Sachkunde als auch die erforderliche Zuverlässigkeit zur Erfüllung der dem behördlichen Datenschutzbeauftragten obliegenden Aufgaben. Das Gesetz knüpft die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich.
Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann. Außerdem sind Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich. Somit war der Kläger als Volljurist ohne weiteres in der Lage, sich mit dem einschlägigen Datenschutzrecht vertraut zu machen und dieses praktisch anzuwenden. Aufgrund der vorangegangenen langjährigen Tätigkeit als Personaldezernent waren ihm die wesentlichen Grundzüge des Datenschutzes ohnehin bereits geläufig.
Zwar hatte der Kläger gegenüber der Beklagten bis zu seiner Entbindung von den Aufgaben des Datenschutzbeauftragten keine datenschutzrechtlichen Einwände gegen das elektronische Dienstplansystem TDA erhoben. Daraus folgte aber nicht, dass er seine Pflichten als Datenschutzbeauftragter vernachlässigt hat. Denn die Vielzahl der Aufgaben eines Datenschutzbeauftragten lässt es häufig nicht zu, von sich aus sämtliche Datenverarbeitungsprozesse kurzfristig zu überprüfen. Die Tätigkeit erforderte es vielmehr, Schwerpunkte zu setzen, insbesondere wenn diese nur einen Teil der Arbeitszeit ausmacht und zugleich weitere Unternehmen zu betreuen sind.
Letztlich hat der Kläger auch keine allgemeinen Pflichten aus dem Arbeitsverhältnis verletzt, die einem weiteren Einsatz in der Funktion des Datenschutzbeauftragten entgegenstehen. Der Kläger hatte die Beklagte nicht zielgerichtet zum Vorteil des damaligen Kaufmännischen Vorstands G. oder zum eigenen Vorteil geschädigt bzw. dieses versucht. Er hatte sich nicht bewusst über vertragliche, tarifvertragliche oder gesetzliche Vorschriften hinweggesetzt, um Herrn G. oder sich selbst rechtswidrig zu begünstigen. Das Vertrauen in ein rechtskonformes Handeln des Klägers ist deshalb nicht zerstört.
Landesrecht Mecklenburg-Vorpommern
Die Beklagte betreibt als Körperschaft des öffentlichen Rechts ein Universitätsklinikum mit mehr als 4100 Beschäftigten. Der 1966 geborene Kläger ist Volljurist. Er hatte mit der Beklagten einen Sonderdienstvertrag über eine Beschäftigung als Personaldezernent ab August 2007 abgeschlossen. Wenige Monate nach seiner Einstellung verfasste der Kläger einen Verfügungsvermerk, in dem er zu dem Ergebnis kam, dass dem ihm vorgesetzten Kaufmännischen Vorstand, Herrn G., eine betriebliche Altersversorgung zusteht. Er hielt eine im Rahmen der Ausschlussfrist rückwirkende Einrichtung einer betrieblichen Altersversorgung nach dem Leistungsplan des DUK Versorgungswerks für geboten. Die Beklagte richtete daraufhin eine solche betriebliche Altersversorgung ein.
Am 23.10.2014 schlossen die Parteien mit Wirkung zum 1.1.2015 einen Änderungsvertrag, in dem u.a. die Bestellung des Klägers zum Datenschutzbeauftragten mitaufgenommen wurde. Am 18.9.2015 folgte ein weiterer Änderungsvertrag, der u.a. im Umfang von 25 % die Arbeit als Justiziar sowie als 2. Abfallbeauftragter vorsah und zu 75 % eine Freistellung für Aufgaben des behördlichen Datenschutzbeauftragten sowie des Konzernbeauftragten für den Datenschutz.
Am 30.1.2018 führte die Beklagte mit dem Kläger ein Gespräch zum Stand der Umsetzung der im Mai des Jahres in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) im eigenen Haus und bei den Tochtergesellschaften. Der Kläger verwies auf die noch laufenden Gesetzgebungsverfahren im Land Mecklenburg-Vorpommern zur Anpassung des allgemeinen und des bereichsspezifischen Datenschutzrechts. Danach könne die konkrete Umsetzung der Datenschutzgesetze des Landes durch die Datenschutzverantwortlichen denklogisch erst nach Inkrafttreten der Gesetze erfolgen.
Daraufhin widerriefen sämtliche Tochtergesellschaften sowie die Beklagte selbst mit sofortiger Wirkung die Bestellung des Klägers zum Konzern- bzw. zum Datenschutzbeauftragten. Die Beklagte war der Ansicht, der Kläger habe es vollständig unterlassen, auf eine Umsetzung der Vorgaben aus der DSGVO hinzuwirken. Der Datenschutzbeauftragte habe die Umsetzung der DSGVO proaktiv zu begleiten und eigene Vorschläge einzubringen. Der Kläger habe allerdings zu erkennen geben, dass er nicht gewillt sei, seinen Verpflichtungen nachzukommen. Außerdem fehle dem Kläger die erforderliche Zuverlässigkeit für die Tätigkeit des Datenschutzbeauftragten. Denn er sei kurz nach Aufnahme des Beschäftigungsverhältnisses auf den damaligen Kaufmännischen Vorstand, Herrn G., zugegangen und habe ihm angeboten, ihn in das betriebliche Altersversorgungssystem einzubeziehen.
Das Arbeitsgericht hat der hiergegen gerichteten Klage stattgegeben. Die Berufung der Beklagten blieb vor dem LAG ohne Erfolg.
Die Gründe:
Die Widerrufe der Bestellung des Klägers zum Datenschutzbeauftragten sowie Konzerndatenschutzbeauftragten sind unwirksam. Es gibt hierfür keine Gründe i.S.d. § 20 Abs. 2 Satz 2 DSG M-V a. F. i.V.m. § 626 BGB.
Der Kläger besitzt sowohl die erforderliche Sachkunde als auch die erforderliche Zuverlässigkeit zur Erfüllung der dem behördlichen Datenschutzbeauftragten obliegenden Aufgaben. Das Gesetz knüpft die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich.
Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann. Außerdem sind Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich. Somit war der Kläger als Volljurist ohne weiteres in der Lage, sich mit dem einschlägigen Datenschutzrecht vertraut zu machen und dieses praktisch anzuwenden. Aufgrund der vorangegangenen langjährigen Tätigkeit als Personaldezernent waren ihm die wesentlichen Grundzüge des Datenschutzes ohnehin bereits geläufig.
Zwar hatte der Kläger gegenüber der Beklagten bis zu seiner Entbindung von den Aufgaben des Datenschutzbeauftragten keine datenschutzrechtlichen Einwände gegen das elektronische Dienstplansystem TDA erhoben. Daraus folgte aber nicht, dass er seine Pflichten als Datenschutzbeauftragter vernachlässigt hat. Denn die Vielzahl der Aufgaben eines Datenschutzbeauftragten lässt es häufig nicht zu, von sich aus sämtliche Datenverarbeitungsprozesse kurzfristig zu überprüfen. Die Tätigkeit erforderte es vielmehr, Schwerpunkte zu setzen, insbesondere wenn diese nur einen Teil der Arbeitszeit ausmacht und zugleich weitere Unternehmen zu betreuen sind.
Letztlich hat der Kläger auch keine allgemeinen Pflichten aus dem Arbeitsverhältnis verletzt, die einem weiteren Einsatz in der Funktion des Datenschutzbeauftragten entgegenstehen. Der Kläger hatte die Beklagte nicht zielgerichtet zum Vorteil des damaligen Kaufmännischen Vorstands G. oder zum eigenen Vorteil geschädigt bzw. dieses versucht. Er hatte sich nicht bewusst über vertragliche, tarifvertragliche oder gesetzliche Vorschriften hinweggesetzt, um Herrn G. oder sich selbst rechtswidrig zu begünstigen. Das Vertrauen in ein rechtskonformes Handeln des Klägers ist deshalb nicht zerstört.