LAG Sachsen: Abberufung eines Datenschutzbeauftragten allein wegen Anwendbarkeit der DSGVO?

In einem Urteil vom 08.10.2019 (Az. 7 Sa 128/19; aktuell leider noch nicht frei zugänglich) hat das Sächsische Landesarbeitsgericht (LAG) die Auflösung der Rechtsstellung eines betrieblichen Datenschutzbeauftragten einer öffentlichen Stelle, wegen eines Interessenkonflikts nach Art. 38 Abs. 6 DSGVO, für zulässig erklärt. Die Beschwerde wurde beim Bundesarbeitsgericht unter dem Az. 10 AZR 621/19 eingelegt. Das Gericht hat über die Revision des Klägers gegen die frühere Entscheidung des ArbG Dresden (03.04.2019 – 3 Ca 1978/18) entschieden.

Sachverhalt

Der Kläger ist seit dem 01.01.2002 auf der Grundlage eines schriftlichen Dienstvertrages bei der Beklagten als Mitarbeiterin beschäftigt. Bei der Beklagten handelt es sich um eine öffentliche Stelle des Landes, die – als Dienstleister für Kommunen – personenbezogene Daten verarbeitet. In seiner Tätigkeit obliegt dem Kläger für die Beklagte, die Kommunen des Freistaates Sachsen mit der Bereitstellung und Wartung sowie Beratung über Datenverarbeitungsprogramme betreut, eine Tätigkeit als Anwendungsberater. Mit Schreiben vom 27.02.2004 wurde der Kläger auf der Grundlage von § 11 Sächsisches Datenschutzgesetz (aF) zum Datenschutzbeauftragten bei der Beklagten bestellt.

Aufgrund von Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) entschloss sich die Beklagte, den Kläger mit Schreiben vom 15.08.2018 von der Funktion als Datenschutzbeauftragten zum 31.08.2018 abzubestellen. Mit der vor dem ArbG Dresden zuvor erhobenen Klage hat der Kläger die Feststellung des Fortbestandes seiner Rechtsstellung als behördlicher Datenschutzbeauftragter über den 31.08.2018 hinaus gerichtlich geltend gemacht.

Nach Ansicht des Klägers bestand kein Interessenkonflikt. Beide Tätigkeiten wurden seit 15 Jahren unverändert nebeneinander ausgeübt. Es gäbe daher keinen triftigen Grund für die Abberufung. Die Rechtsstellung des Klägers sei darüber hinaus nicht durch die in Kraft getretene DSGVO beendet worden und daher verstoße die Abbestellung gegen Art. 38 Abs. 3 S. 2 DSGVO.

Die Beklagte trägt hingegen vor, dass mit Anwendbarkeit der DSGVO die im Jahre 2004 erfolgte Bestellung zum Datenschutzbeauftragten von Rechts wegen geendet habe. Die Fortführung des Amtes sei dem Kläger aber auch wegen eines Interessenkonflikts mit seiner beruflichen Tätigkeit unmöglich gewesen. Der Interessenkonflikt zwischen den fachlichen Tätigkeiten und seiner Funktion als Datenschutzbeauftragter liege im Wesentlichen darin, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe sowie in seinen fachlichen Aufgaben und Pflichten als Anwendungsbetreuer und als Auftragsverarbeiter tätig werde. Maßgeblich sei der Interessenkonflikt im Einsatz des Klägers als Kundenbetreuer und dem Umfang der von ihm geschuldeten Tätigkeit bei der Datenverarbeitung selbst. Der Kläger müsse die Einhaltung der Vorschriften während seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst.

Entscheidung

Im Ergebnis wies das Gericht die Berufung des Klägers gegen das erstinstanzliche Urteil ab.

Das Gericht teilte jedoch nicht die Auffassung der Beklagten, dass die Tätigkeit des Datenschutzbeauftragten allein aufgrund der Anwendbarkeit (Anm: das LAG nennt zwar das „Inkrafttreten“, meint aber offensichtlich die Anwendbarkeit, da auf den 25.5.18 verwiesen wird) der DSGVO beendet werden sollte. So finde die Auflösung der Rechtsstellung des Datenschutzbeauftragten keine gesetzliche Grundlage in der DSGVO oder nicht allein in deren Anwendbarkeit. Diese mag die Rechtsstellung des Datenschutzbeauftragten anders regeln als im zuvor allein anwendbaren Recht. Eine Regelung, wonach das Amt des Datenschutzbeauftragten – allein wegen der Anwendbarkeit der DSGVO am 25.05.2018 – von Gesetzes wegen endet, enthalte sie aber nicht.

Nach § 11 Abs. 2 SächsLDSG (aktuelle Fassung) dürfe zum Datenschutzbeauftragten (einer öffentlichen Stelle) nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit seinen sonstigen beruflichen Aufgaben ausgesetzt wird. Er ist bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen und weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Diese nach dem SächsLDSG im Verhältnis zu § 6 Abs. 4 S. 1 BDSG geringeren Schutz-Anforderungen entsprechen Art. 38 Abs. 3 DSGVO, wonach der Verantwortliche und der Auftragsverarbeiter sicherstellen muss, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die DSGVO und auch das SächsLDSG kennen keinen besonderen Kündigungs- bzw. Abberufungsschutz, wie er im BDSG geregelt ist.

(Gemäß § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, es liegen Tatsachen vor, die die öffentliche Stelle zur Kündigung des Arbeitsverhältnisses aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen).

Insbesondere darf der Datenschutzbeauftragte nach Auffassung des Gerichts nicht deshalb von seiner Funktion entbunden werden oder sonstige Nachteile erleiden, weil er sich in bestimmter Weise und mit einem Ergebnis seiner datenschutzrechtlichen Prüfung positioniert hat, die der Geschäftsleitung, dem Betriebs- oder Personalrat oder anderen Stellen im Unternehmen oder der Behörde nicht genehm sind. Eine solche Benachteiligung des Klägers wegen der von ihm ausgeübten Tätigkeit als Datenschutzbeauftragter sei im Streitfall aber nicht feststellbar und wird vom Kläger im Ergebnis auch nicht behauptet. Vielmehr macht der Beklagte geltend, dass nach der Anwendbarkeit der DSGVO der behauptete Interessenkonflikt zwischen der beruflichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter neu beurteilt worden sei.

Die Zuverlässigkeit eines Datenschutzbeauftragten könne infrage gestellt werden, wenn die Gefahr von Interessenkonflikten bestehe. So könne ein Eingriff in die Interessensphären die vom Gesetz geforderte Zuverlässigkeit beeinträchtigen. Nach Ansicht des Gerichts ist unter Berücksichtigung von Art. 38 Abs. 6 DSGVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann und der Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, die Abbestellung jedenfalls nachzuvollziehen. Die Tatsache, dass der Kläger möglicherweise seit mehr als 15 Jahren denselben Interessenkonflikt zwischen seiner dienstlichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter hat, verpflichte den Beklagten hingegen nicht, den Interessenkonflikt aufrechtzuerhalten. Der Kläger sei auch nicht wegen der Ausübung seiner Tätigkeit als Datenschutzbeauftragter in der Vergangenheit oder wegen einzelner Handlungen im Zusammenhang mit dieser von seiner Funktion abbestellt worden, sondern weil die Beklagte einen Interessenkonflikt in der von ihm auszuübenden Tätigkeit des Anwendungsberaters bei der Datenverarbeitung für öffentliche Stellen, die personenbezogene Daten verarbeiten, sehe.

Schlussendlich kenne weder das Sächsische Datenschutzgesetz noch die DSGVO einen besonderen Abbestellungs- oder Abberufungsschutz. Es muss lediglich sichergestellt sein, dass der Kläger nicht wegen der von ihm ausgeübten Tätigkeit benachteiligt und insbesondere nicht deswegen abberufen oder abbestellt wird, so das Gericht.

Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal “alle verfügbaren Informationen” festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.