Das Landesarbeitsgericht Rostock hat sich in seinem Urteil vom 25.02.2020, Az.: 5 Sa 108/19 mit der Frage befasst, welches Fachwissen und welche weiteren Kompetenzen der Datenschutzbeauftragte für seine Tätigkeit haben muss.

Im Einzelnen:

Nach Artikel 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.

Berufliche Qualifikation und notwendiges Fachwissen für die Tätigkeit des Datenschutzbeauftragten

Nach Auffassung des Landesarbeitsgerichts Rostock ist die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder an näher bezeichnete Fachkenntnisse geknüpft.

Welche Sachkunde tatsächlich erforderlich ist, richtet sich in erster Linie nach der Größe der zu betreuenden Organisationseinheit (z. B. Unternehmen), dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren oder nach dem Typus der anfallenden Daten.

Daraus folgt, dass das Maß des erforderlichen Fachwissens des Datenschutzbeauftragten in Wirtschaftsbranchen mit naturgemäß hohem personenbezogenen Datenaufkommen höher anzusiedeln ist. Dies gilt vor allem für E-Commerce-Anbieter, Adresshändler sowie telekommunikationsgestützte Dienstanbieter mit zahlreichen Endkunden oder Mitarbeitern und bei Branchen, die regelmäßig besonders sensible Daten verarbeiten (z. B. Krankenhäuser) (Taeger/Gabel DSGVO, BDSG Art. 37 Rn. 66).

Erforderlich sind aber regelmäßig:

  • Kenntnisse des Datenschutzrechts
  • Kenntnisse bezüglich der Technik der Datenverarbeitung
  • Kenntnisse zu den betrieblichen Abläufen
  • Besuch regelmäßiger Fortbildungen zu den neuen technischen Entwicklungen bzw. Gesetzesänderungen

Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.

Fähigkeit zur Erfüllung der Aufgaben des Datenschutzbeauftragten nach Artikel 39 DSGVO

Neben dem notwendigen Fachwissen muss der Datenschutzbeauftragte auch die Gewähr dafür bieten, dass er seinen Aufgaben gewissenhaft nachkommt und somit nicht gegen seine Pflichten als Datenschutzbeauftragter (z. B. seine Verschwiegenheitspflicht) verstößt.

Dabei handelt es sich insbesondere um die in Art. 39 DSGVO genannten Aufgaben:

  • die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und deren Beschäftigten hinsichtlich ihrer Datenschutzpflichten
  • die Überwachungsfunktion im Hinblick auf die Einhaltung der Datenschutzpflichten
  • die Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung nach Art. 35 DSGVO und die Überwachung von deren Durchführung
  • die Zusammenarbeit und Kooperation mit den Datenschutzaufsichtsbehörden

Aus vorgenannten Aufgaben ergibt sich, dass der Datenschutzbeauftragte somit insgesamt sicherstellen soll, dass eine wirkungsvolle Eigenkontrolle der datenschutzrechtlichen Vorschriften stattfindet, um dadurch zugleich öffentliche Kontrollstellen zu entlasten.

Zwar wird die persönliche Zuverlässigkeit nicht mehr explizit in Artikel 37 Abs. 5 DSGVO erwähnt, aber ohne diese wäre der Datenschutzbeauftragte nicht in der Lage, seine o. g. Aufgaben zu erfüllen. (Paal/Pauly, DS-GVO, Art. 37 Rn. 13)

Daraus folgt, dass bei schwerwiegenden Verfehlungen (z. B. Diebstahl, Unterschlagung, vorsätzliche Rufschädigung etc.) die persönliche Zuverlässigkeit nicht mehr gegeben sein kann.

Fazit

Zusammenfassend lässt sich somit festhalten, dass das Gesetz zwar keine expliziten Vorgaben im Hinblick auf den beruflichen Werdegang des Datenschutzbeauftragten enthält, aber eine gesetzeskonforme Ausübung der Tätigkeit des Datenschutzbeauftragten nicht nur Rechtskenntnisse sondern auch technisches Verständnis sowie eine entsprechende persönliche Zuverlässigkeit erfordert .

| | , | ,