Interne Datenschutzbeauftragte unterfallen bis zum Ablauf eines Jahres nach Beendigung der Bestellung dem besonderem Kündigungsschutz (§ 4 f Abs. 3 Satz 5,6 BDSG), das Arbeitsverhältnis kann nur durch eine wirksame fristlose Kündigung aus wichtigem Grund gemäß § 626 BGB beendet werden.
Die Akte Bestellung und Abberufung sind von Abschluss und Beendigung des Arbeitsverhältnisses zu trennen und grundsätzlich unabhängig.
Das Bundesarbeitsgericht hat nun mit Urteil vom 23.03.2011 - 10 AZR 562/09 - entschieden, so die Berliner Fachanwältin für Arbeitsrecht Dr. Alexandra Henkel, MM. Mitglied im VdAA - Verband deutscher ArbeitsrechtsAnwälte e. V. mit Sitz in Stuttgart, dass auch die Bestellung zum Datenschutzbeauftragten in entsprechender Anwendung von § 626 BGB nur aus wichtigem Grund widerrufen werden kann und dass weder die Mitgliedschaft im Betriebsrat, noch die unternehmerische Entscheidung, zukünftig die Aufgaben eines Beauftragten für den Datenschutz extern zu vergeben, also outzusourcen, als wichtiger Grund hierfür genügen.
Der Fall
Eine Mitarbeiterin wurde im Jahr 1992 zur Datenschutzbeauftragten des Unternehmens und dessen Tochtergesellschaft berufen, zwei Jahre später wurde die Mitarbeiterin auch Mitglied im Betriebsrat. Wieder 14 Jahre später beschlossen beide Unternehmen, die Aufgaben des Datenschutzbeauftragten künftig konzernweit einheitlich durch einen externen Dritten wahrnehmen zu lassen, und widerriefen deshalb die Bestellung.
Auf Klage der Mitarbeiterin stellte das BAG fest, so Dr. Henkel, dass weder die Argumentation, dass das Amt eines Betriebsrates mit dem Amt eines Datenschutzbeauftragten und dessen Zuverlässigkeit nicht vereinbar sind, einen wichtigen Grund für den Widerruf darstelle noch die unternehmerische Entscheidung des Outsourcings. Der Arbeitgeber sei lediglich bei der erstmaligen Bestellung frei, ob er einen internen oder externen Datenschutzbeauftragten bestellt.
Ein einmal bestellter Datenschutzbeauftragter kann also nur dann abberufen werden, wenn Gründe für eine fristlose Kündigung vorliegen, wie z. B. schwere Verstöße, Straftaten o. ä. Mit Urteil vom 29.09.2010, 10 AZR 588/09, hatte das Bundesarbeitsgericht entschieden, dass das Amt des Datenschutzbeauftragten im Fall einer Fusion zweier Krankenkassen mit Erlöschen ihrer Rechtsfähigkeit auch endet - eine praktikable Lösung für die Praxis ist eine Fusion natürlich nicht in der Regel, inwieweit z.B. Betriebs(teil-)stilllegungen als wichtiger Grund ausreichen können, ist nach der BAG-Entscheidung offen.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?