Landesarbeitsgericht Mecklenburg-Vorpommern zum erforderlichen Fachwissen bei DSB

Rechtsprechung

Ein Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern (LAG M-V) befasst sich mit dem erforderlichen Fachwissen, das ein Datenschutzbeauftragter (DSB) aufzuweisen hat, um die Tätigkeit des DSB auszuüben (Urteil vom 25.02.2020, Az.: 5 Sa 108/19).

Gestritten haben im vorliegenden Fall ein Konzerndatenschutzbeauftragter und eine Körperschaft des öffentlichen Rechts, deren behördlicher DSB der Kläger war. Die Beklagte betreibt ein Universitätsklinikum.

Aus mehreren Gründen gab es „Ärger“ zwischen den Parteien. Unter anderem auch deswegen, weil der DSB zudem Mitglied des Gesamtpersonalrats war. Nicht ganz unbedeutend ist in diesem Fallszenario auch, dass der DSB Volljurist war.

Letztlich wurde der DSB „abberufen“. Und zwar mehrfach – mit jeweils unterschiedlicher Begründung.

In dem Urteil musste sich das Gericht mit vielen „Querelen“ der Parteien beschäftigen. Der Punkt, der mich an dem Urteil interessiert hat, ist, dass das Gericht Ausführungen zu dem nach Art. 37 DSGVO erforderlichen Fachwissen des DSB macht. Allerdings macht das Gericht das nicht direkt, verweist aber auf die grundsätzliche Anwendbarkeit der Ausführungen des Gerichts in denselben Urteil zu den Voraussetzungen an die Fachkunde, die nach dem alten Landesdatenschutzgesetz in Mecklenburg-Vorpommern diesbezüglich anzusetzen seien.

Wenn wir die Ausführungen des LAG M-V heranziehen, ergibt sich für das Fachwissen, das nach Art. 37 Abs. 5 DSGVO bei einem DSB vorliegen muss, Folgendes:

  • Der Datenschutzbeauftragte muss über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen.
  • Die Tätigkeit des Datenschutzbeauftragten ist nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft.
  • Welche Sachkunde erforderlich ist, richtet sich insbesondere nach der Größe der Organisation, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.
  • Wenn der DSB nur in einem Teilbereich über eine eigene Qualifikation verfügt, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.
  • Fortbildungen des DSB zu neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung sind unerlässlich.
  • Der Datenschutzbeauftragte muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als Datenschutzbeauftragter, z. B. gegen seine Verschwiegenheitspflicht, verstößt.
  • Der DSB muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle der Organisation gewährleisten können.

Ich denke, das ist eine recht gute Zusammenfassung der wesentlichen Vorgaben, die an einen DSB zu stellen sind.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.