Gemäß Art. 37, Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm übertragenen Aufgaben.
Doch was genau bedeutet das für die datenschutzrechtliche Praxis?
Mit dieser Frage beschäftigte sich jüngst das LAG Rostock, welches mit Urteil vom 22.02.2020 konkretisierte, welche Qualifikationen ein Datenschutzbeauftragter in der Praxis vorweisen muss.
Zunächst stellte das LAG Rostock klar, dass sich Art und Umfang der Qualifikation nicht pauschalisieren lassen, sondern nach den jeweiligen Umständen des Einzelfalls zu bestimmen sind. In diese Abwägung mit einzubeziehen sind insbesondere die Größe des zu betreuenden Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten.
Zudem sei insbesondere die regelmäßige Fortbildung des DSB unerlässlich, um auf dem aktuellen Stand der Entwicklungen zu bleiben und den fortlaufenden Veränderungen der datenschutzrechtlichen Anforderungen genügen zu können.
Das LAG betont in diesem Zusammenhang ausdrücklich, dass fachliche Mängel zu verheerenden Konsequenzen führen können, was letztlich die Frage einer persönlichen Haftung des Datenschutzbeauftragten aufwirft. Zumindest gewisse Mindestanforderungen würden helfen das Qualitätsniveau ein Stück weit anzugleichen und damit die Haftung zu begrenzen.
Neben der fachlichen Qualifikation ist insbesondere auch zu gewährleisten, dass der Datenschutzbeauftragte die erforderliche Zuverlässigkeit aufweist. Dies bedeutet für die Praxis, dass dem Datenschutzbeauftragten neben seiner eigentlichen Arbeit ausreichend Zeit und Kapazität für die Wahrnehmung seiner datenschutzrechtlichen Aufgaben zur Verfügung steht.
Auch die Tatsache, dass der betriebliche Datenschutzbeauftragte nach nationalem Recht ein Sonderkündigungsschutzrecht genießt, wonach er nur bei Vorliegen eines wichtigen Grundes gekündigt werden kann (§§ 38 Abs. 2, 6 Abs. 4 S.2 BDSG), sollte in die Auswahl des Datenschutzbeauftragten einbezogen werden – wenngleich die Vereinbarkeit dieser Regelung mit europäischem Recht gerichtlich noch nicht abschließend geklärt ist.
Einen solchen besonderen Kündigungsschutz genießt der externe Datenschutzbeauftragte grds. nicht. Auch dies ist zwar letztlich noch nicht höchstrichterlich entschieden, ist aber wohl überwiegende Rechtsauffassung.
Sie sehen also: die Entscheidung darüber, wer im Unternehmen als Datenschutzbeauftragter benannt wird, sollte wohl überlegt sein und insbesondere eine umfassende Abwägung aller wesentlichen Umstände erfordert.
Zudem stellt sich die Frage, ob es nicht zielführender ist, einen sachkundigen und qualifizieren externen Datenschutzbeauftragten zu bestellen und damit z.B. das Thema Haftung aber auch Kündigungsschutz des DSB zu vermeiden.
Gerne stellen wir Ihnen in einem persönlichen Gespräch einmal ausführlich Vor- und Nachteile der verschiedenen Möglichkeiten vor.
Und natürlich stehen wir für konkrete Fragen zur Umsetzung jederzeit gerne zur Verfügung.
