Webshoprecht.de


data-ad-format="auto" data-full-width-responsive="true">
Landesarbeitsgericht Rostock Urteil vom 25.02.2020 - 5 Sa 108/19 - Erforderliches Fachwissen des Datenschutzbeauftragten und dessen Abberufung

LAG Rostock v. 25.02.2020: Erforderliches Fachwissen des Datenschutzbeauftragten und dessen Abberufung


Das Landesarbeitsgericht Rostock (Urteil vom 25.02.2020 - 5 Sa 108/19) hat entschieden:

  1.  Nach § 20 Abs. 2 Satz 2 DSG M-V in der bis zum 24.05.2018 geltenden Fassung (a. F.) kann die Bestellung zum behördlichen Datenschutzbeauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit seinen anderen dienstlichen Aufgaben eintritt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 BGB vorliegt. Vor der Entscheidung über den Widerruf ist der behördliche Datenschutzbeauftragte zu hören (§ 20 Abs. 2 Satz 3 DSG M-V a. F.).

  2.  Seit dem 25.05.2018 sind die DSGVO sowie die hierauf abgestimmten bundes- und landesrechtlichen Datenschutzgesetze anzuwenden. Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten – wie schon nach der vorherigen Rechtslage – nur in entsprechender Anwendung des § 626 BGB zulässig.

Der Datenschutzbeauftragte wird gemäß Art. 37 Abs. 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben. Die zu § 20 DSG M-V a. F. genannten Maßstäbe sind entsprechend heranzuziehen. Die persönliche Zuverlässigkeit ist zwar nicht mehr als Voraussetzung erwähnt. Der Datenschutzbeauftragte muss jedoch über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen. Daraus ergeben sich ähnliche Anforderungen, sodass auf die obigen Ausführungen verwiesen werden kann.

  3.  Ein Interessenkonflikt besteht, wenn der Datenschutzbeauftragte in erster Linie seine eigene Tätigkeit kontrollieren muss (BAG, Urteil vom 05. Dezember 2019 – 2 AZR 223/19 – Rn. 25, juris = NZA 2020, 227; BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 24, juris = ZTR 2011, 561). Die Mitgliedschaft im Betriebsrat ist grundsätzlich mit der Tätigkeit eines Datenschutzbeauftragten vereinbar (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 25, juris = ZTR 2011, 561).

  4.  Ein wichtiger Grund in entsprechender Anwendung von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann. Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und der Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der datenschutzrechtlichen Kontrollpflichten (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 15, juris = ZTR 2011, 561; Greiner/Senk, NZA 2020, S. 206 f.).

  5.  Das Gesetz knüpft die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich (Däubler, EU-DSGVO und BDSG, 2. Aufl. 2020, DSGVO Art. 37, Rn. 18; Gola DS-GVO/Klug, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 18). Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann (Kühling/Buchner/Bergt, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 34). Des Weiteren sind Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich (BeckOK DatenschutzR/Moos, 31. Ed., Stand 01.11.2019, DS-GVO Art. 37, Rn. 60).





Siehe auch
Der Datenschutzbeauftragte
und
Stichwörter zum Thema Datenschutz


Tatbestand:


Die Parteien streiten über die Wirksamkeit der Abberufung des Datenschutzbeauftragten.

Die Beklagte betreibt als Körperschaft des öffentlichen Rechts ein Universitätsklinikum mit mehr als 4100 Beschäftigten. Zur Unternehmensgruppe gehören weitere 11 Gesellschaften mit insgesamt rund 900 Beschäftigten. Der im November 1966 geborene Kläger ist Assessor der Rechte (ass. jur.), also Volljurist. Er schloss am 07.05.2007 mit der Beklagten einen Sonderdienstvertrag über eine Beschäftigung als Personaldezernent ab dem 01.08.2007. Der Arbeitsvertrag sieht eine regelmäßige wöchentliche Arbeitszeit von 46 Stunden vor sowie eine feste Jahresgrundvergütung in Höhe von € 82.000,- brutto, des Weiteren leistungs- und erfolgsbezogene Zahlungen und die Gestellung eines privat nutzbaren Dienstwagens. Zudem wird die übliche betriebliche Altersversorgung im Rahmen der zurzeit mit dem DUK Versorgungswerk abgeschlossenen Vereinbarung gewährt.

Wenige Monate nach seiner Einstellung verfasste der Kläger mit Datum vom 19.12.2007 einen Verfügungsvermerk, in dem er zu dem Ergebnis kam, dass dem ihm vorgesetzten Kaufmännischen Vorstand, Herrn G., eine betriebliche Altersversorgung zusteht. Zur Begründung verwies er auf die Bezugnahmeklausel im Dienstvertrag mit Herrn G. vom 24./30.10.2006, nach der die jeweils geltenden Tarifverträge Anwendung finden, soweit im Dienstvertrag nichts Abweichendes geregelt ist. Der Kläger bezog sich auf die schriftliche Geltendmachung durch Herrn G. vom 18.12.2007 und hielt eine im Rahmen der Ausschlussfrist rückwirkende Einrichtung einer betrieblichen Altersversorgung nach dem Leistungsplan des DUK Versorgungswerks für geboten. Die Beklagte richtete daraufhin für Herrn G. eine solche betriebliche Altersversorgung ein.

Im Jahr 2008 wurde der Kläger zum Geschäftsführer der Personalservice Gesundheitswesen GmbH, einer Tochtergesellschaft der Beklagten, bestellt. Zum 01.11.2009 begründete der Kläger mit einer anderen Tochtergesellschaft der Beklagten, der HKS Rettungsdienst A-Stadt GmbH, ein Arbeitsverhältnis über eine geringfügige Beschäftigung.

Am 23.10.2014 schlossen die Parteien mit Wirkung zum 01.01.2015 einen Änderungsvertrag, in dem u. a. die Bezugnahmeklausel, die Vergütungsregelung und die Arbeitsaufgabe neu gefasst sind. Einbezogen ist zudem die Bestellung des Klägers zum Datenschutzbeauftragten (soweit Angelegenheiten des Personaldezernats nicht berührt werden) und seine Bestellung zum 2. Abfallbeauftragten. Herr G. schied zum 31.12.2014 bei der Beklagten aus und wurde mit Wirkung zum 01.01.2015 von Frau L. abgelöst.

Mit Schreiben vom 10.07.2015 teilte der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern dem Kläger auf dessen Nachfrage hin mit, den Arbeitsumfang des Datenschutzbeauftragten an der Universitätsmedizin als Vollzeitbeschäftigung einzustufen. Die Parteien schlossen am 18.09.2015 einen weiteren Änderungsvertrag. Danach wird der Kläger ab 17.09.2015 im Umfang von 25 % seiner Arbeitszeit als Justiziar sowie als 2. Abfallbeauftragter weiterbeschäftigt. Als Justiziar wird er dem Bereich des Kaufmännischen Vorstandes zugeordnet, ohne mit Aufgaben aus dem Personalwesen und/oder der Datenverarbeitung inhaltlich betraut zu werden. Im Übrigen sieht der Vertrag eine Freistellung zu 75 % seiner Arbeitszeit für Aufgaben des behördlichen Datenschutzbeauftragten sowie des Konzernbeauftragten für den Datenschutz vor. Des Weiteren regelt der Änderungsvertrag, dass die betriebliche Altersversorgung zum 30.09.2015 geschlossen wird und kein Anspruch auf zukünftige Arbeitgeberleistungen zur Altersversorgung bestehen. Als Ausgleich hierfür erhält der Kläger eine Zulage.

Der Kläger veranstaltete interne Datenschutzkonferenzen, zu denen er die lokalen Datenschutzverantwortlichen einlud. Im Rahmen von innerbetrieblichen Fortbildungen bot er Schulungen zu verschiedenen Themen des Datenschutzes an. Er wirkte in verschiedenen Gremien und Arbeitskreisen mit. Bei der Beklagten und ihren Tochterunternehmen fallen täglich mehr als 10.000 Datenverarbeitungsvorgänge an. Mit der E-Mail vom 17.02.2017 bat der Kläger den Kaufmännischen Vorstand darum, wieder in die Abteilungsleiterrunde aufgenommen zu werden, um seiner Kontroll- und Beratungspflicht als Datenschutzbeauftragter nachkommen zu können. Die Bitte blieb erfolglos.

Seit 2017 ist der Kläger Mitglied des Gesamtpersonalrats der Beklagten.

Der frühere Kaufmännische Vorstand, Herr G., erhielt im Jahr 2017 eine Einmalzahlung aus der betrieblichen Altersversorgung in Höhe von € 260.395,91.

Am 30.01.2018 führte die Beklagte mit dem Kläger ein Gespräch zum Stand der Umsetzung der im Mai des Jahres in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) im eigenen Haus und bei den Tochtergesellschaften. Mit Schreiben vom 31.01.2018 nahm der Kläger hierzu Stellung und berichtete über die noch laufenden Gesetzgebungsverfahren im Land Mecklenburg-Vorpommern zur Anpassung des allgemeinen und des bereichsspezifischen Datenschutzrechts, insbesondere des Datenschutz- und des Landeskrankenhausgesetzes (DSG M-V, LKHG M-V). Des Weiteren verwies er auf einen von ihm verfassten Aufsatz zur DSGVO in der Zeitschrift "f&w führen und wirtschaften im Krankenhaus", Ausgabe 02/17. Im vorletzten Satz des Schreibens vom 31.01.2018 heißt es:

   "Die konkrete Umsetzung der Datenschutzgesetze des Landes kann durch die Datenschutzverantwortlichen denklogisch erst nach Inkrafttreten der Gesetze erfolgen."

Mit den im Wesentlichen gleichlautenden Schreiben vom 19.02.2018 widerriefen die nachstehend aufgeführten Tochtergesellschaften der Beklagten mit sofortiger Wirkung die Bestellung des Klägers zum Konzern- bzw. zum Datenschutzbeauftragten:

Servicezentrum A-Stadt GmbH,

Medizinisches Versorgungszentrum an der Universitätsmedizin A-Stadt GmbH,

Universitätsmedizin A-Stadt MVZ GmbH,

KID Krankenhaus Informatik und Dienstleistungen GmbH,

HKS Rettungsdienst A-Stadt GmbH,

Medical Service A-Stadt GmbH,

Kreiskrankenhaus W. gGmbH,

Palliativnetzwerk Vorpommern GmbH,

Gesundheitszentrum A-Stadt GmbH und

Personalservice Gesundheitswesen GmbH.

Mit Schreiben vom 20.02.2018 widerrief die Beklagte mit sofortiger Wirkung die Bestellung des Klägers zum Konzerndatenschutzbeauftragten. Sämtliche Schreiben gingen dem Kläger am 24.02.2018 zu.

Am 27.02.2018 führte die Beklagte mit dem Kläger erneut ein Gespräch, in dem sie ihm jegliche Tätigkeit als Datenschutzbeauftragter für die Beklagte und die genannten Tochtergesellschaften untersagte. Nachdem der Kläger in dem Gespräch auf den bislang unterbliebenen Widerruf seiner Bestellung zum Datenschutzbeauftragen bei der Beklagten selbst hingewiesen hatte, holte die Beklagte dies mit Schreiben vom 27.02.2018, dem Kläger am 01.03.2018 zugegangen, nach.

Mit Schreiben vom 28.02.2018 beantragte die Beklagte beim Gesamtpersonalrat die Zustimmung zu einer beabsichtigten außerordentlichen Änderungskündigung des Klägers, versehen mit dem Änderungsangebot, anschließend als Jurist beim Kaufmännischen Vorstand und als 2. Abfallbeauftragter mit einer regelmäßigen wöchentlichen Arbeitszeit von 39 Stunden und der dem Tarifvertrag entsprechenden Vergütung weiterzuarbeiten. Der Gesamtpersonalrat stimmte der außerordentlichen Änderungskündigung unter dem 08.03.2018 nicht zu. Ebenso lehnte der Personalrat für die nichtwissenschaftlich Beschäftigten mit Schreiben vom 13.03.2018 eine solche Änderungskündigung ab. Die Beklagte wandte sich daraufhin an das Verwaltungsgericht, um die Zustimmung gerichtlich ersetzen zu lassen. Eine Entscheidung liegt noch nicht vor.

Mit Schreiben vom 13.08.2018, der Beklagten zugegangen am 15.08.2018, rügte der Landesbeauftragte für Datenschutz und Informationsfreiheit M-V, nachdem der Personalrat für die nichtwissenschaftlichen Beschäftigten dort eine Beschwerde wegen der im elektronischen Dienstplansystem TDA einsehbaren Personaldaten eingereicht hatte, einen Verstoß gegen Datenschutzbestimmungen. Das Dienstplansystem TDA war bereits seit mehreren Jahren in Betrieb. Dort waren u. a. Personalnummern, geleistete Arbeitszeiten, Beschäftigungsverbote und Krankmeldungen hinterlegt, die alle Mitarbeiter der Station einsehen konnten. Der Landesbeauftragte hielt insbesondere die Offenlegung von Gesundheitsdaten ("krank") gegenüber allen Stationsmitarbeitern für nicht erforderlich und damit für unzulässig. Er forderte die Beklagte auf, das Verarbeitungsverzeichnis zum TDA vorzulegen, insbesondere forderte er ein Rechte- und Rollenkonzept und Löschfristenbestimmungen. Andernfalls stellte er ein Bußgeld in Aussicht. Der neu bestellte externe Datenschutzbeauftragte war in seiner Stellungnahme gegenüber dem Personalrat am 20.07.2018 ebenfalls von einer Unzulässigkeit ausgegangen, wovon die Beklagte am 24.07.2018 erfahren hatte.




Die Beklagte widerrief mit Schreiben vom 27.08.2018 vorsorglich erneut die Bestellung des Klägers zum Konzern- und zum Datenschutzbeauftragten. Ebenso erklärten die 10 genannten Tochtergesellschaften nochmals den Widerruf der Bestellung, ebenfalls unter dem 27.08.2018.

Am 10.09.2018 führte die Beklagte mit dem Kläger ein Personalgespräch zu den Vorwürfen, für den damaligen Kaufmännischen Vorstand, Herrn G., in kollusivem Zusammenwirken rechtswidrig eine Versorgungszusage eingerichtet zu haben und bei der eigenen Versorgungszusage ebenfalls ohne wirksame Rechtsgrundlage vorgegangen zu sein. Anschließend stellte die Beklagte ihn unwiderruflich von der Arbeit frei und erteilte ihm Hausverbot. Des Weiteren beantragte die Beklagte mit Schreiben vom 13.09.2018 sowohl beim Personalrat für die nichtwissenschaftlichen Beschäftigten als auch beim Gesamtpersonalrat die Zustimmung zur beabsichtigten außerordentlichen Kündigung des Klägers, hilfsweise mit Auslauffrist. Da die Personalräte ihre Zustimmung verweigerten, wandte sich die Beklagte mit Schriftsatz vom 23.09.2018 an das VG Greifswald (Aktenzeichen 7 A 1419/18). Gegenstand eines weiteren Rechtsstreits ist der Fortbestand des Arbeitsverhältnisses mit der HKS Rettungsdienst A-Stadt GmbH nach Ausspruch einer außerordentlichen, hilfsweise ordentlichen Kündigung am 21.09.2018 (ArbG Stralsund, Urteil vom 03.04.2019, Aktenzeichen 3 Ca 239/18; LAG Mecklenburg-Vorpommern, Urteil vom 16.10.2019, Aktenzeichen 4 Sa 104/19).

Nachdem die Beklagte die Tätigkeit des Klägers als Mitglied des Gesamtpersonalrates zunächst vom Hausverbot ausgenommen hatte, berief sie sich mit Schreiben vom 09.11.2018 nunmehr auf ein Ruhen seiner Mitgliedschaft im Gesamtpersonalrat nach § 22 Abs. 3 PersVG M-V. Nach dieser Vorschrift ruht die Mitgliedschaft im Personalrat, solange einem Beschäftigten die Führung der Dienstgeschäfte verboten oder ein Beamter wegen eines schwebenden Disziplinar- oder Untersuchungsverfahrens vorläufig des Dienstes enthoben ist. Des Weiteren erstattete die Beklagte Strafanzeige gegen den Kläger (StA Stralsund, Aktenzeichen 534 Js 23379/18).

Der Kläger hat erstinstanzlich die Ansicht vertreten, dass die Widerrufe der Bestellung zum Konzern- bzw. Datenschutzbeauftragten unwirksam seien. Ein wichtiger Grund im Sinne des § 626 Abs. 1 BGB, § 20 DSG MV (a. F.) liege nicht vor. Zudem sei die Ausschlussfrist des § 626 Abs. 2 BGB nicht gewahrt. Der Kläger habe seine Pflichten als Datenschutzbeauftragter nicht verletzt. Die Beklagte vermenge die Aufgaben des Datenschutzverantwortlichen mit denen des Datenschutzbeauftragten. Aufgabe des Datenschutzbeauftragten sei nicht die operative Umsetzung der gesetzlichen Vorgaben, sondern die Kontrolle der Umsetzung. Als Datenschutzbeauftragter sei der Kläger Berater des Arbeitgebers und der Mitarbeiter. Keinesfalls sei er untätig gewesen. Er habe sich intensiv mit den neuen Datenschutzregelungen befasst, wie der Aufsatz in der f&w zeige. Er habe die Datenschutzbelange in der IT-Kommission eingebracht. Des Weiteren habe er maßgeblich an der Gründung des Arbeitskreises Datenschutz an Universitätsklinika mitgewirkt. Er sei Mitglied des Arbeitskreises Datenschutzrecht der Krankenhausgesellschaft Mecklenburg-Vorpommern. Er habe Handlungsempfehlungen an die zuständigen Stellen weitergeleitet.

Der Kläger habe die Altersversorgungsangelegenheit G. nicht fehlerhaft behandelt. Die rechtliche Grundlage der Versorgungszusage ergebe sich aus dem vom Aufsichtsrat abgeschlossenen Anstellungsvertrag. Dieser enthalte keine Regelung zur betrieblichen Altersversorgung, sodass die Bezugnahmeklausel Anwendung finde. In dem Anstellungsvertrag seien zwar bestimmte Regelungsbereiche des Tarifvertrages ausdrücklich ausgenommen worden, wie beispielsweise die Arbeitszeit, Eingruppierung oder Vergütung. Die tarifvertraglichen Bestimmungen zur Altersversorgung seien davon aber gerade nicht erfasst. Demnach sei § 25 TV-L anzuwenden, wonach Herr G. eine betriebliche Altersversorgung unter Eigenbeteiligung habe beanspruchen können. Auch anderen Vorstandsmitgliedern sei eine betriebliche Altersversorgung gewährt worden, u. a. Herrn B. und Herrn H.. Herr G. sei auf den Kläger zugetreten und habe mitgeteilt, dass ursprünglich für ihn eine Umlage an die VBL (Versorgungsanstalt des Bundes und der Länder) gezahlt worden sei, was jedoch nach dem Wechsel zum DUK Versorgungswerk nicht mehr geschehe. Herr G. sei von einem Verwaltungsversehen ausgegangen und habe den Kläger um rechtliche Prüfung gebeten. Da dem Kläger die Hintergründe nicht bekannt gewesen seien und er sich in der Probezeit nicht habe blamieren wollen, habe er sich hierzu mit Herrn B. aus der Rechtsabteilung abgestimmt. In gleicher Weise seien auch die Anstellungsverträge der Vorstandsmitglieder B. und H. geprüft worden, ebenfalls mit positivem Ergebnis. Der Ordner mit den Unterlagen zur betrieblichen Altersversorgung für Herrn G. sei nicht, wie die Beklagte behaupte, versteckt aufbewahrt worden, sondern für alle Mitarbeiter der Personalabteilung einsehbar gewesen.

Die für den Kläger eingerichtete Altersversorgung habe den vertraglichen Regelungen entsprochen. Die Beitragsanpassung habe sich nach den jeweils von der Beklagten übermittelten Jahresgehältern gerichtet. Soweit das DUK Versorgungswerk im Jahr 2008 für den Kläger zunächst eine weitere betriebliche Altersversorgung eingerichtet habe, sei dies ein Versehen des Versorgungswerks gewesen, wie das Versorgungswerk mit Schreiben vom 17.09.2018 bestätigt habe. Ausweislich des Schreibens habe das Versorgungswerk aus nicht mehr nachvollziehbaren Gründen irrtümlich eine zweite Versorgung für den Kläger eingerichtet. Die Beiträge seien der Beklagten deshalb im Januar 2019 wieder gutgeschrieben worden. Der Beitragssatz sei nicht für alle Mitarbeiter einheitlich, sondern werde individuell bestimmt nach Alter, Rentenanspruch, Nachversicherungszeiten etc. Satzungsgemäß habe sein Beitragssatz 9,65 % betragen; der gemittelte Beitragssatz aller Beschäftigten habe seinerzeit bei 3,9 % gelegen.

Der Kläger hat erstinstanzlich, soweit für das Berufungsverfahren noch von Bedeutung, beantragt,

  1.  festzustellen, dass der Widerruf der Bestellung des Klägers zum Datenschutzbeauftragten der Beklagten und Konzerndatenschutzbeauftragten der Beklagten vom 19./20.02.2018 und 27.02.2018 unwirksam ist, und

  2.  festzustellen, dass der Widerruf der Bestellung des Klägers zum Datenschutzbeauftragten der Beklagten und Konzerndatenschutzbeauftragten der Beklagten vom 27.08.2018 unwirksam ist.

Die Beklagte hat beantragt,

   die Klage abzuweisen.

Sie hat die Auffassung vertreten, dass die Widerrufe berechtigt seien. Der Kläger habe es vollständig unterlassen, auf eine Umsetzung der Vorgaben aus der DSGVO hinzuwirken. Die Umsetzung der DSGVO und der ergänzenden Bestimmungen sei mit einem erheblichen zeitlichen und inhaltlichen Aufwand verbunden. Zunächst sei eine Bestandaufnahme der eigenen Datenverarbeitung vorzunehmen. Sodann seien der Anpassungsbedarf festzustellen und konkrete Maßnahmen daraus abzuleiten sowie umzusetzen. Komme die Beklagte dem nicht nach, müsse sie mit erheblichen Sanktionen, nämlich Geldbußen bis zu 10 oder sogar 20 Millionen Euro, rechnen. Der Datenschutzbeauftragte habe die Umsetzung der DSGVO proaktiv zu begleiten und eigene Vorschläge einzubringen. Mit dem Schreiben vom 31.01.2018 habe der Kläger zu erkennen geben, dass er nicht gewillt sei, seinen Verpflichtungen nachzukommen. Auf die datenschutzrechtlichen Probleme des Dienstplansystems TDA habe er zu keinem Zeitpunkt hingewiesen, sondern diesen mitgetragen. Erst der neu bestellte externe Datenschutzbeauftragte habe gegenüber dem Personalrat Bedenken geäußert.

Darüber hinaus fehle dem Kläger die erforderliche Zuverlässigkeit für die Tätigkeit des Datenschutzbeauftragten. Der Kläger sei kurz nach Aufnahme des Beschäftigungsverhältnisses auf den damaligen Kaufmännischen Vorstand, Herrn G., zugegangen und habe ihm angeboten, ihn in das betriebliche Altersversorgungssystem einzubeziehen. Zwar verweise der Vorstands-Anstellungsvertrag von Herrn G. auf Tarifverträge. Das gelte aber nur, soweit sich aus dem Vertrag nichts Anderes ergebe. Die systematische Auslegung des Vertrages führe dazu, dass ein Anspruch auf eine betriebliche Altersversorgung nicht bestehe. Das zeige die Überschrift des § 4 "Arbeitsunfähigkeit/Altersversorgung". Unter § 4 gebe es eben nur Regelungen zur Arbeitsunfähigkeit, weshalb die Altersversorgung also ausgeschlossen sei. Die Rechtsauffassung des Klägers sei nicht vertretbar. Für die Zusage einer Altersversorgung sei nur der Aufsichtsrat zuständig. Über die von Frau K., Leiterin Personalabrechnung, und Frau T., Lohnbuchhalterin, geäußerten Einwände, dass Herr G. als Vorstandsmitglied eine betriebliche Altersversorgung nicht beanspruchen könne, habe sich der Kläger hinweggesetzt, indem er sich gegenüber den beiden ihm unterstellten Mitarbeiterinnen auf seine Stellung als Vorgesetzter berufen habe. Auch habe er den Aufsichtsrat der Beklagten nicht eingebunden. Die Unterlagen zur Altersversorgung G. habe er in einem separaten Ordner abgelegt. Den wesentlichen Teil der Korrespondenz mit der Unterstützungskasse habe er persönlich geführt. Von diesen Vorgängen habe die seit 01.01.2016 eingesetzte, jetzige Kaufmännische Vorständin erstmalig am 27.08.2018 erfahren.

Zudem habe der Kläger bei seiner eigenen Altersversorgung mit Billigung von Herrn G. eine Erhöhung der Beiträge von 3,9 % des anrechenbaren Nettoaufkommens auf 9,65 % veranlasst. Der monatliche Beitrag habe sich dadurch von € 275,68 auf € 671,54 erhöht. Damit habe sich der Kläger einer strafbewehrten Untreue schuldig gemacht.

Das Arbeitsgericht hat der Klage im Umfang der hier noch maßgeblichen Anträge stattgegeben. Die Widerrufe der Bestellung des Klägers zum Datenschutzbeauftragten sowie Konzerndatenschutzbeauftragten seien unwirksam. Es gebe hierfür keine Gründe im Sinne des § 20 Abs. 2 Satz 2 DSG M-V a. F. in Verbindung mit § 626 BGB. Angesichts der unabhängigen Stellung des Datenschutzbeauftragten sei eine Abberufung nur aus schwerwiegenden Gründen zulässig. Zwar könne sich aus der dauerhaften Verletzung der Kontrollpflichten ein Grund für die Abberufung ergeben. Die Beklagte habe jedoch keine Umstände dargelegt, aus denen sich eine solche Pflichtverletzung herleiten lasse. Der Kläger habe sich rechtzeitig mit der DSGVO auseinandergesetzt. Deren tatsächliche Umsetzung habe erst nach Inkrafttreten erfolgen können. Gleiches gelte für die seinerzeit noch nicht verabschiedete Neufassung des DSG M-V und des LKHG M-V. Der Kläger habe zudem in verschiedenen Gremien und Arbeitskreisen mitgewirkt. Das elektronische Dienstplansystem TDA habe der Kläger nicht mitgetragen, da dieses während seiner Zeit als Datenschutzbeauftragter nicht eingeführt worden sei. Soweit sich die Beklagte auf evtl. Unregelmäßigkeiten bei der Einrichtung von Versorgungszusagen berufe, fehle es an einem Bezug zu den Tätigkeiten als Datenschutzbeauftragter.

Hiergegen wendet sich die Beklagte mit ihrer fristgerecht eingelegten und begründeten Berufung. Das Arbeitsgericht sei zu Unrecht davon ausgegangen, dass die Widerrufe der Bestellung des Klägers zum Datenschutzbeauftragten nicht wirksam seien. Trotz des unmittelbar bevorstehenden Inkrafttretens der DSGVO sei der Kläger vollständig untätig geblieben. Die Beklagte habe eine aktive Mitwirkung des Klägers an den Vorbereitungen zur Umsetzung der DSGVO erwarten dürfen. Der Kläger sei verpflichtet gewesen, sich einen Überblick über die datenschutzrechtlich relevanten Systeme zu verschaffen. Stattdessen habe sich der Kläger rein passiv und dilatorisch verhalten, um seine mangelnde Sachkunde und seine Unzuverlässigkeit zu verschleiern. Der Kläger habe den Umfang seiner Aufgaben überhaupt nicht erfasst. Die Beklagte sei im Sinne eines effektiven Datenschutzes gezwungen gewesen, einen fachlich geeigneten Nachfolger für den Kläger zu bestellen. Zudem habe das Arbeitsgericht verkannt, dass der Kläger arbeitsvertragliche Nebenpflichten in schwerwiegender Weise und strafrechtlich relevant verletzt habe. Dem Kläger fehle damit die persönliche Integrität. Die von ihm gewünschte Teilnahme an den erweiterten Abteilungsleiterrunden weise im Übrigen keinen Zusammenhang mit seinen Aufgaben als Datenschutzbeauftragter auf. Der Vorstand habe ihn stets ausreichend informiert.

Die Beklagte beantragt,

   das Urteil des Arbeitsgerichts Stralsund vom 17.04.2019, Aktenzeichen 3 Ca 75/18, abzuändern und die Klage abzuweisen.

Der Kläger beantragt,

   die Berufung der Beklagten zurückzuweisen.

Er verteidigt die Entscheidung des Arbeitsgerichts. Der Kläger sei den Aufgaben als Datenschutzbeauftragter stets und vollumfänglich nachgekommen. Der Kläger habe sich mit der DSGVO auseinandergesetzt und in verschiedenen Gremien und Arbeitskreisen mitgewirkt. Das elektronische Dienstplansystem TDA habe er nicht mitgetragen. Vielmehr habe ihn Frau L., die Vorsitzende des Personalrats für die nichtwissenschaftlich Beschäftigten, im Nachgang zu einer von ihm durchgeführten Schulung zum Datenschutz auf die Erfassung der Krankheitsdaten im TDA angesprochen. Der Kläger habe das für unzulässig gehalten, jedoch Frau L. zugleich über seine Abberufung als Datenschutzbeauftragter informiert und sie an den neuen Datenschutzbeauftragten verwiesen. Dieser habe dann die Rechtsauffassung des Klägers bestätigt.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Schriftsätze der Parteien nebst Anlagen, die Sitzungsprotokolle sowie das angegriffene arbeitsgerichtliche Urteil verwiesen.





Entscheidungsgründe:


Die Berufung der Beklagten ist zwar zulässig, aber nicht begründet. Das Arbeitsgericht hat der Klage im hier noch anhängigen Umfang zu Recht stattgegeben.

Die Beklagte hat die Bestellung des Klägers zum behördlichen Datenschutzbeauftragten und zum Konzerndatenschutzbeauftragten weder mit den Schreiben vom 19./20./27.02.2018 noch mit dem Schreiben vom 27.08.2018 wirksam widerrufen bzw. ihn wirksam abberufen.

Die Wirksamkeit der Widerrufe richtet sich nach der jeweils gültigen Gesetzeslage. Maßgebliche Beurteilungsgrundlage für die Rechtmäßigkeit eines Widerrufs sind ebenso wie bei einer Kündigung die objektiven Verhältnisse im Zeitpunkt des Zugangs der Widerrufserklärung (vgl. zur Kündigung: BAG, Urteil vom 05. Dezember 2019 – 2 AZR 223/19 – Rn. 39, juris = NZA 2020, 227). Für die Darlegungs- und Beweislast gelten die allgemeinen Grundsätze. Danach trägt der Anspruchsteller die Darlegungs- und Beweislast für die rechtsbegründenden, der Anspruchsgegner trägt sie für die rechtsvernichtenden, rechtshindernden und rechtshemmenden Tatbestandsmerkmale (BAG, Urteil vom 28. Februar 2019 – 8 AZR 201/18 – Rn. 32, juris = NZA 2019, 1279).


1. Widerrufe vom 19./20./27.02.2018

Nach § 20 Abs. 2 Satz 2 DSG M-V in der bis zum 24.05.2018 geltenden Fassung (a. F.) kann die Bestellung zum behördlichen Datenschutzbeauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit seinen anderen dienstlichen Aufgaben eintritt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 BGB vorliegt. Vor der Entscheidung über den Widerruf ist der behördliche Datenschutzbeauftragte zu hören (§ 20 Abs. 2 Satz 3 DSG M-V a. F.).

Ein Interessenkonflikt besteht, wenn der Datenschutzbeauftragte in erster Linie seine eigene Tätigkeit kontrollieren muss (BAG, Urteil vom 05. Dezember 2019 – 2 AZR 223/19 – Rn. 25, juris = NZA 2020, 227; BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 24, juris = ZTR 2011, 561). Die Mitgliedschaft im Betriebsrat ist grundsätzlich mit der Tätigkeit eines Datenschutzbeauftragten vereinbar (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 25, juris = ZTR 2011, 561).

Ein wichtiger Grund in entsprechender Anwendung von § 626 BGB ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Arbeitgeber unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile ein weiterer Einsatz des Mitarbeiters in der Funktion des Datenschutzbeauftragten nicht mehr zugemutet werden kann. Als wichtige Gründe kommen insbesondere solche in Betracht, die mit der Funktion und der Tätigkeit des Datenschutzbeauftragten zusammenhängen und eine weitere Ausübung dieser Tätigkeit unmöglich machen oder sie zumindest erheblich gefährden, beispielsweise ein Geheimnisverrat oder eine dauerhafte Verletzung der datenschutzrechtlichen Kontrollpflichten (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 15, juris = ZTR 2011, 561; Greiner/Senk, NZA 2020, S. 206 f.). Allerdings genügt es nicht, dass der Arbeitgeber eine andere Person, sei es ein anderer Arbeitnehmer oder ein externer Dienstleister, nunmehr für besser geeignet hält. Dem steht die Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten entgegen. Der Datenschutzbeauftragte soll seiner Kontrolltätigkeit im Interesse des Datenschutzes ohne Furcht vor einer Abberufung nachgehen können (BAG, Urteil vom 23. März 2011 – 10 AZR 562/09 – Rn. 14, juris = ZTR 2011, 561).

Zum Datenschutzbeauftragten darf nach § 20 Abs. 1 Satz 3 DSG M-V a. F. nur bestellt werden, wer die zur Erfüllung seiner Aufgabe erforderliche Sachkunde und Zuverlässigkeit besitzt. Sind diese Voraussetzungen weggefallen, ist es dem Arbeitgeber grundsätzlich nicht zumutbar, den Betreffenden weiterhin in der Funktion des Datenschutzbeauftragten zu belassen, zumal er sich dadurch selbst gesetzeswidrig verhalten würde.

Der behördliche Datenschutzbeauftragte hat nach § 20 Abs. 3 DSG M-V a. F. die Aufgabe, die Daten verarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu überwachen und Hinweise zur Umsetzung zu geben. Er kann Auskünfte verlangen und Einsicht in Akten und Dateien nehmen, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Berufs- und Amtsgeheimnisse können ihm nicht entgegengehalten werden. Zu seiner Unterstützung kann er sich jederzeit an den Landesbeauftragten für den Datenschutz wenden. Zu den Aufgaben des behördlichen Datenschutzbeauftragten gehört es insbesondere,

  1.  auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Datenverarbeitungsmaßnahmen hinzuwirken,

  2.  die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,

  3.  die Daten verarbeitende Stelle bei der Umsetzung der nach den §§ 18, 21 und 22 erforderlichen Maßnahmen zu unterstützen,

  4.  das Verzeichnis nach § 18 zu führen und

  5.  die Vorabkontrolle nach § 19 durchzuführen.

Nach § 18 Abs. 1 DSG M-V a. F. ist die Daten verarbeitende Stelle verpflichtet, in einer Beschreibung für jedes von ihr eingesetzte Verfahren festzulegen und dem behördlichen Datenschutzbeauftragten zur Führung des Verzeichnisses zu übermitteln:

  1.  die Bezeichnung des Verfahrens und der verarbeitenden Stelle

  2.  den Zweck und die Rechtsgrundlage der Verarbeitung,

  3.  die Art der gespeicherten Daten,

  4.  den Kreis der Betroffenen,

  5.  den Kreis der Empfänger, denen die Daten mitgeteilt werden,

  6.  geplante Datenübermittlungen in Drittländer,

  7.  eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Die Einrichtung oder die wesentliche Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten bedarf der Freigabe durch den Leiter der Daten verarbeitenden Stelle oder einen dafür beauftragten Vertreter (§ 19 Abs. 1 Satz 1 DSG M-V a. F.). Dem behördlichen Datenschutzbeauftragten ist nach § 19 Abs. 2 Satz 1 DSG M-V a. F. zuvor Gelegenheit zur Prüfung zu geben, ob die Datenverarbeitung zulässig ist und die vorgesehenen Maßnahmen nach den §§ 21, 22 DSG M-V a. F. ausreichend sind (Vorabkontrolle).

In § 21 DSG M-V a. F. sind allgemeine Maßnahmen zur Datensicherheit aufgeführt. Zu gewährleisten ist danach insbesondere, dass

  1.  nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),

  2.  personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),

  3.  personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),

  4.  personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können (Authentizität der Daten),

  5.  unter Beteiligung der Personal- oder Arbeitnehmervertretung von der Daten verarbeitenden Stelle ein Protokollierungsverfahren festgelegt wird, das die Feststellung erlaubt, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit) und

  6.  die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig und in zumutbarer Zeit nachvollzogen werden können (Transparenz).

§ 22 DSG M-V a. F. beschreibt die besonderen Maßnahmen zur Datensicherheit beim Einsatz automatisierter Verfahren. Danach sind automatisierte Verfahren so zu gestalten, dass eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung des Benutzers festgestellt worden ist (Abs. 1). Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren (Abs. 2). Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der verarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln (Abs. 3). Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden, was ebenso für die Veränderung und Übermittlung der Daten gilt (Abs. 4 Sätze 1 und 2).

Der Kläger besitzt sowohl die erforderliche Sachkunde als auch die erforderliche Zuverlässigkeit zur Erfüllung der dem behördlichen Datenschutzbeauftragten obliegenden Aufgaben.

Das Gesetz knüpft die Tätigkeit des Datenschutzbeauftragten nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse. Welche Sachkunde hierfür erforderlich ist, richtet sich insbesondere nach der Größe der zu betreuenden Organisationseinheit, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren, dem Typus der anfallenden Daten usw. Regelmäßig sind Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen erforderlich (Däubler, EU-DSGVO und BDSG, 2. Aufl. 2020, DSGVO Art. 37, Rn. 18; Gola DS-GVO/Klug, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 18). Verfügt der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann (Kühling/Buchner/Bergt, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 34). Des Weiteren sind Fortbildungen zu den neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung unerlässlich (BeckOK DatenschutzR/Moos, 31. Ed., Stand 01.11.2019, DS-GVO Art. 37, Rn. 60).

Als Volljurist ist der Kläger ohne weiteres in der Lage, sich mit dem einschlägigen Datenschutzrecht vertraut zu machen und dieses praktisch anzuwenden. Aufgrund der vorangegangenen langjährigen Tätigkeit als Personaldezernent waren ihm die wesentlichen Grundzüge des Datenschutzes ohnehin bereits geläufig. Die Einzelheiten des neuen Datenschutzrechts sind dem Kläger vertraut, wie seine Veröffentlichung in der Zeitschrift f&w zeigt. Dort hat er die Grundsätze des Datenschutzes und die wesentlichen Neuerungen durch die DSGVO näher dargestellt. Des Weiteren hatte er sich zum Stand der landesrechtlichen Gesetzgebung informiert. Zu den technischen Fragen der Datenverarbeitung konnte sich der Kläger bei dem stellvertretenden Datenschutzbeauftragten, einem Informatiker, informieren.

Darüber hinaus verfügt der Kläger über die notwendige Zuverlässigkeit für die Tätigkeit des Datenschutzbeauftragten. Der Datenschutzbeauftragte muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als Datenschutzbeauftragter, z. B. gegen seine Verschwiegenheitspflicht, verstößt. Eine schwerwiegende Verletzung allgemeiner arbeitsvertraglicher Pflichten kann ebenfalls die Zuverlässigkeit in Frage stellen, beispielsweise Diebstahl, Unterschlagung, vorsätzliche Rufschädigung, Tätlichkeiten gegen andere Beschäftigte etc. Die Zuverlässigkeit ist unter Berücksichtigung von Sinn und Zweck der Bestellung eines Datenschutzbeauftragten zu bewerten. Der Datenschutzbeauftragte hat die Aufgabe, eine wirkungsvolle Eigenkontrolle der datenschutzrechtlichen Vorschriften sicherzustellen, um dadurch zugleich öffentliche Kontrollstellen zu entlasten (BeckOK DatenschutzR/Moos, 31. Ed., Stand: 01.11.2019, DS-GVO Art. 37, Rn. 1; Däubler, EU-DSGVO und BDSG, 2. Aufl. 2020, DSGVO Art. 37, Rn. 1; Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, DS-GVO Art. 37, Rn. 3). Die zum Datenschutzbeauftragten bestellte Person muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle gewährleisten können. Bei einem internen Datenschutzbeauftragten lässt sich dessen Stellung als Datenschutzbeauftragter nicht vollständig von dem zugrundeliegenden Arbeitsverhältnis trennen. Eine schwerwiegende Verletzung arbeitsvertraglicher Pflichten kann dazu führen, dass eine zuverlässige Ausübung der datenschutzrechtlichen Selbstkontrolle nicht mehr möglich ist. Besitzt der Datenschutzbeauftragte aufgrund eines solchen Fehlverhaltens nicht mehr das nötige Vertrauen, ist es u. a. ausgeschlossen, ihm die für seine Tätigkeit erforderlichen Informationen unter Einschluss von Berufs- und Amtsgeheimnissen (§ 20 Abs. 3 Satz 3 DSG M-V a. F.) anzuvertrauen.





Der Kläger hat weder seine Pflichten als Datenschutzbeauftragter noch seine Pflichten aus dem Arbeitsverhältnis schwerwiegend verletzt. Eine wirksame Selbstkontrolle der Datenschutzbelange ist weiterhin gesichert.

Der Kläger hat seine Aufgaben als Datenschutzbeauftragter, für die er mit einer regelmäßigen wöchentlichen Arbeitszeit von 34,5 Stunden zur Verfügung stand, nicht vernachlässigt. Angesichts der Größe des zu betreuenden Bereichs ist es zwingend erforderlich, Schwerpunkte zu setzen. Die Beklagte und ihre Tochtergesellschaften verarbeiten täglich Tausende von besonders schutzwürdigen medizinischen Daten. Hinzu kommen Personaldaten von insgesamt rund 5000 Beschäftigten. Es sind verschiedene Datenverarbeitungsprogramme im Einsatz. Der Kläger hat entsprechend § 20 Abs. 3 Satz 5 DSG M-V a. F. auf die Einhaltung von Datenschutzvorschriften hingewirkt. Er hat die Beschäftigten mit den Vorschriften des Datenschutzes vertraut gemacht. Er hat zahlreiche Anfragen aus dem eigenen Haus und von Tochtergesellschaften beantwortet. Er hat in verschiedenen Gremien und Arbeitskreisen mitgewirkt.

Der Kläger hat mit seinem Schreiben vom 31.01.2018 nicht erklärt, seinen Verpflichtungen nicht nachkommen zu wollen. Die Einhaltung des aktuellen Datenschutzrechts unter Berücksichtigung der einschlägigen Rechtsprechung ist zunächst Aufgabe der Beklagten als Betreiberin der Kliniken. Der Kläger als Datenschutzbeauftragter ist Kontrollorgan. Er hat zwar die Beklagte bei der Umsetzung der erforderlichen Maßnahmen zu unterstützen (§ 20 Abs. 3 Satz 5 Nr. 3 DSG M-V a. F.). Die Umsetzung selbst bleibt jedoch Aufgabe der Beklagten und ihrer Tochtergesellschaften. Die Beklagte kannte die DSGVO ebenso wie der Kläger und war mit der Prüfung des Anpassungsbedarfs befasst. Der vorletzte Satz im Schreiben vom 31.01.2018 bezieht sich zum einen nur auf die "konkrete" Umsetzung der Datenschutzgesetze des Landes Mecklenburg-Vorpommern, die zu diesem Zeitpunkt nur als Entwurf vorlagen. Zum anderen sind dort die Datenschutzverantwortlichen angesprochen. Im Übrigen enthält das Schreiben ausschließlich Informationen zum Stand der Gesetzgebung. Auf die zu erwartenden rechtlichen Änderungen hatte sich der Kläger bereits vorbereitet, indem er sich mit der DSGVO auseinandergesetzt und das Gesetzgebungsverfahren zum Landesrecht verfolgt hatte.

Der Kläger hat gegenüber der Beklagten bis zu seiner Entbindung von den Aufgaben des Datenschutzbeauftragten keine datenschutzrechtlichen Einwände gegen das elektronische Dienstplansystem TDA erhoben. Daraus folgt aber nicht, dass er seine Pflichten als Datenschutzbeauftragter vernachlässigt hat. Die Vielzahl der Aufgaben eines Datenschutzbeauftragten lässt es häufig nicht zu, von sich aus sämtliche Datenverarbeitungsprozesse kurzfristig zu überprüfen. Die Tätigkeit erforderte es, Schwerpunkte zu setzen, insbesondere wenn diese nur einen Teil der Arbeitszeit ausmacht und zugleich weitere Unternehmen zu betreuen sind. Es sind Anfragen und Beschwerden zu bearbeiten, Fortbildungen durchzuführen, Informationsmaterialien auszuwerten etc. Die Kontrollpflichten werden nur dann vernachlässigt, wenn der Datenschutzbeauftragte die ihm hierfür zur Verfügung stehende Arbeitszeit nicht ausschöpft, obwohl die Aufgaben noch nicht erledigt sind. Das war bei dem Kläger nicht der Fall. Hinweise auf datenschutzrechtliche Probleme des TDA lagen erst vor, als der Kläger bereits von den Aufgaben des Datenschutzbeauftragten entbunden war. Der Kläger hat das Dienstplansystem nicht als datenschutzrechtskonform eingestuft. Vielmehr hat er ebenso wenig wie die Beklagte keinen vordringlichen Anlass für eine tiefergehende datenschutzrechtliche Prüfung gesehen.

Der Kläger hat keine allgemeinen Pflichten aus dem Arbeitsverhältnis verletzt, die einem weiteren Einsatz in der Funktion des Datenschutzbeauftragten entgegenstehen. Der Kläger hat die Beklagte nicht zielgerichtet zum Vorteil des damaligen Kaufmännischen Vorstands G. oder zum eigenen Vorteil geschädigt bzw. dieses versucht. Er hat sich nicht bewusst über vertragliche, tarifvertragliche oder gesetzliche Vorschriften hinweggesetzt, um Herrn G. oder sich selbst rechtswidrig zu begünstigen. Das Vertrauen in ein rechtskonformes Handeln des Klägers ist nicht zerstört.

Ob Herrn G. eine betriebliche Altersversorgung zustand, bedarf hier keiner abschließenden Bewertung. Die Rechtsauffassung des Klägers in dem Verfügungsvermerk vom 19.12.2007 erscheint jedenfalls vertretbar. Der Dienstvertrag mit Herrn G. vom 24./30.10.2006 enthält zwar den Begriff "Altersversorgung" in der Überschrift zu § 4. Eine Regelung zur Altersversorgung findet sich dort jedoch nicht, weder positiv noch negativ. Weshalb die Vertragsparteien dort das Begriffspaar "Arbeitsunfähigkeit/Altersversorgung" verwandt haben, ist nicht ersichtlich, zumal beide Regelungsgegenstände keinen inneren Zusammenhang aufweisen, sondern unterschiedliche Lebenssachverhalte und Leistungen bezeichnen. Zudem enthält § 4 des Dienstvertrages trotz der Überschrift keinerlei Aussagen zur Altersversorgung. Dort sind ausschließlich Rechtsfolgen für den Fall einer Arbeitsunfähigkeit festlegt. Da der Vertrag auch an anderer Stelle eine betriebliche Altersversorgung nicht regelt bzw. ausschließt, liegt es nicht fern, auf die Bezugnahmeklausel zurückzugreifen. Der Kläger hat sich jedenfalls nicht klar und eindeutig über den Vertrag oder sonstige Regelungen hinweggesetzt, um Herrn G. einen ihm offensichtlich nicht zustehenden Vorteil zu verschaffen. Der Kläger war nicht gehalten, unter Umgehung seines Vorgesetzten an den Aufsichtsrat heranzutreten. Der Anspruch von Herrn G. ergab sich nach Ansicht des Klägers aus dem Dienstvertrag, den der Aufsichtsrat selbst geschlossen hatte.

Der Kläger hat sich nicht vertragswidrig eine zu hohe betriebliche Altersversorgung verschafft. Soweit zu seinen Gunsten ein Beitragssatz von 9,65 % abgeführt wurde, ist ein Verstoß gegen vertragliche, tarifvertragliche oder satzungsrechtliche Vorschriften nicht feststellbar. Abgesehen davon haben die Parteien die betriebliche Altersversorgung mit dem Änderungsvertrag vom 18.09.2015 neu geregelt und mit Wirkung zum 30.09.2015 geschlossen. Eine Korrektur für die Vergangenheit wurde seinerzeit nicht vorgenommen.



2. Widerrufe vom 27.08.2018

Seit dem 25.05.2018 sind die DSGVO sowie die hierauf abgestimmten bundes- und landesrechtlichen Datenschutzgesetze anzuwenden. Nach § 6 Abs. 4 Satz 1 BDSG ist die Abberufung des Datenschutzbeauftragten – wie schon nach der vorherigen Rechtslage – nur in entsprechender Anwendung des § 626 BGB zulässig. Die Ausführungen zu § 20 DSG M-V a. F. unter Ziffer 1 gelten deshalb entsprechend.

Der Datenschutzbeauftragte wird gemäß Art. 37 Abs. 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben. Die zu § 20 DSG M-V a. F. genannten Maßstäbe sind entsprechend heranzuziehen. Die persönliche Zuverlässigkeit ist zwar nicht mehr als Voraussetzung erwähnt. Der Datenschutzbeauftragte muss jedoch über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen. Daraus ergeben sich ähnliche Anforderungen, sodass auf die obigen Ausführungen verwiesen werden kann. Eine abweichende Bewertung der Abberufung des Klägers ist auf der Grundlage des neuen Datenschutzrechts nicht veranlasst. Im Übrigen durfte der Kläger bereits seit Ende Februar 2018 seine Tätigkeit als Datenschutzbeauftragter nicht mehr ausüben, sodass er seine Kontrollpflichten und sonstigen datenschutzrechtlichen Aufgaben seitdem nicht mehr verletzen konnte.

Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO. Gründe für die Zulassung der Revision liegen nicht vor. Der Rechtsstreit wirft keine entscheidungserheblichen Rechtsfragen von grundsätzlicher Bedeutung auf.

- nach oben -






Datenschutz    Impressum