Abberufung eines Datenschutzbeauftragten wegen einer Datenschutzverletzung

Die Unabhängigkeit des Datenschutzbeauftragten wird auch durch den besonderen Abberufungsschutz aus Art. 38 Abs. 3 S. 2 DS-GVO sowie § 6 Abs. 3 S. 3 BDSG abgesichert. Danach ist eine Abberufung des Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben nicht zulässig. Ein Grund für eine Abberufung kann hingegen gegeben sein, wenn der Leitung der öffentlichen oder nichtöffentlichen Stelle die weitere Amtsausübung durch den Datenschutzbeauftragten unter Berücksichtigung aller Umstände des Einzelfalles nicht zugemutet werden kann.

§ 38 Abs. 2 BDSG sieht vor, dass der DSB nur abberufen werden kann, wenn er seine Pflichten nicht (ausreichend) erfüllt, also etwa wegen fehlendem / unzureichendem Fachwissen, unzureichender beruflicher Qualifikation oder fehlerhafter Amtsführung.

Es kann aber natürlich Gründe geben, die nicht im Zusammenhang mit der Erfüllung der Pflichten als DSB stehen, die gemäß üblichem Vertrags-, Arbeits- oder Strafrecht zu einer Abberufung führen können (beispielsweise wegen Diebstahls, physischer, psychischer oder sexueller Belästigung oder eines vergleichbaren groben Fehlverhaltens).

In seinem Tätigkeitsbericht für das Berichtsjahr 2022 geht der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) u.a. inzident auf die Frage ein, ob ein (offensichtlich) datenschutzrelevantes Fehlverhalten als ein Grund für die Abberufung eines DSB betrachtet werden kann bzw. ob die Aufsichtsbehörde gestützt auf ein solches Fehlverhalten, die Abberufung eines Datenschutzbeauftragten verlangen kann.

Hintergrund der Ausführungen zum Thema ist die Eingabe eines Petenten, dass der betroffene Datenschutzbeauftragte des Unternehmens in einer internen WhatsApp-Gruppe des Unternehmens, welche inzwischen gelöscht worden war, ein Foto eingestellt hatte, welches den Geschädigten nach einem tätlichen Angriff stark blutend und mit ausgeschlagenem Zahn zeigte. Das Bild sei ohne Kenntnis des Geschädigten, welcher früher einmal selbst Mitarbeiter des Unternehmens gewesen sei, angefertigt und erst an ihn übermittelt worden, nachdem es in der WhatsAppGruppe veröffentlicht worden war.

Der TLfDI vertritt in seinem Tätigkeitsbericht zwar die Auffassung, dass dem Datenschutzbeauftragten aufgrund dieses Verhaltens durchaus ein Mangel an Zuverlässigkeit unterstellt werden könne, da er offensichtlich bewusst datenschutzrechtliche Bedenken hinsichtlich der Verwendung von WhatsApp im betrieblichen Kontext sowie Bedenken in Bezug auf die unrechtmäßige Veröffentlichung des Fotos ignoriert habe, jedoch könne der TLfDI darauf nicht sein Verlangen zur Abberufung des Datenschutzbeauftragter stützen.

Gemäß § 40 Abs. 6 Satz 2 Bundesdatenschutzgesetz könne die Abberufung ausschließlich in den Fällen verlangt werden, in denen dem Datenschutzbeauftragten die erforderliche Fachkunde fehlt oder im Falle des Art. 38 Abs. 6 DS-GVO ein schwerwiegender Interessenkonflikt vorliegt.

Im vorliegenden Fall hatte der Geschäftsführer des Unternehmens gegenüber dem TLfDI jedoch nachgewiesen, dass der Datenschutzbeauftragte im datenschutzrechtlichen Kontext an zahlreichen Fortbildungsmaßnahmen und Qualifizierungen mit Erfolg teilgenommen hatte. Gleichwohl wurde hinsichtlich der Veröffentlichung des Fotos in der WhatsApp-Gruppe ein Bußgeldverfahren gegen den Datenschutzbeauftragten eingeleitet.

(Foto: dp@pic – stock.adobe.com)