1. Zusammenfassung

Der Europäische Gerichtshof (Urteil vom 6.10.2015 – Rechtssache C-362/14) hat die Entscheidung der EU-Kommission zum sogenannten »Safe Harbor«-Abkommen, wonach dieses Abkommen ein für die Übermittlung personenbezogener Daten in die USA hinreichendes Datenschutzniveau bietet, für ungültig erklärt. Damit kann das »Safe Harbor«-Abkommen nicht mehr als datenschutzrechtliche Grundlage für Datentransfers in die USA herangezogenen werden. Dies hat erhebliche Auswirkungen auf den gesamten Datentransfer personenbezogener Daten – also auch von Arbeitnehmerdaten – in die USA.

2. Hintergrund

Hintergrund des Urteils ist die EU-Datenschutzrichtlinie 95/46/EG, wonach die Übermittlung (vorbehaltlich der Zulässigkeit im Übrigen) personenbezogener Daten in ein Drittland nur möglich ist, wenn das betreffende Land ein angemessenes Datenschutzniveau für diese Daten gewährleistet. Die EU-Kommission kann feststellen, dass ein Drittland aufgrund seiner internationalen Verpflichtungen oder innerstaatlichen Rechtsvorschriften ein solch angemessenes Schutzniveau gewährleistet. Im Fall der USA hat die EU-Kommission zur Überbrückung der Systemunterschiede im Datenschutzrecht zwischen EU und USA das sogenannte »Safe Harbor«-Abkommen anerkannt, bei dessen Einhaltung das Datenschutzniveau für die Übermittlung personenbezogener Daten als hinreichend anzusehen ist. Diesem Rechtsrahmen konnten sich US-amerikanische Unternehmen im Wege der Selbstverpflichtung unterwerfen, wovon mehr als 4.000 US-Unternehmen Gebrauch gemacht und sodann »Safe Harbor« als Grundlage für Datenübermittlungen verwendet haben.

3. Das Urteil des EuGH

Die EuGH Richter haben das »Safe Harbor«-Abkommen für ungültig erklärt. Begründet wurde dies mit der Kritik an einer Vielzahl von Punkten des Abkommens, insbesondere damit das pauschal »den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen« Vorrang vor den Grundsätzen des »sicheren Hafens« eingeräumt wird. Zudem gäbe es in den USA weder eine staatliche Stelle, die dazu dient, etwaige Eingriffe in die Grundrechte der Personen, deren Daten übermittelt werden, zu begrenzen, noch enthält das Abkommen Feststellungen zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe.

4. Die Auswirkungen des Urteils und Handlungsoptionen

Für die Übermittlung personenbezogener Daten in die USA kann »Safe Harbor« nun nicht mehr als Beleg für ein dort angemessenes Datenschutzniveau genutzt werden. Hierauf gestützte Datentransfers sind unzulässig. Insofern ist es wichtig die Alternativen zu »Safe Harbor« zu kennen, um einen zulässigen Datentransfer in die USA zu gewährleisten. Hierfür kommen die Verwendung von (EU)-Standardvertragsklauseln und verbindliche konzernweite Unternehmensregelungen (Binding Corporate Rules) in Betracht.

EU-Standardvertragsklauseln sind Vertragsvorgaben der EU-Kommission zum Datenschutz, die von den beteiligten, datenverarbeitenden Unternehmen in ihren Vertrag für die Datenverarbeitung unverändert übernommen werden müssen. Für die EU-Standardvertragsklauseln hat die Kommission festgestellt, dass deren Verwendung ein ausreichendes Schutzniveau bietet. Bei Verwendung dieser Klauseln bedarf es für den Datentransfer keiner Genehmigung der Aufsichtsbehörde. Problematisch ist allerdings, dass diese Klauseln nicht besonders flexibel sind und unverändert verwendet werden müssen. Sobald von diesen Standardvertragsklauseln abgewichen wird, wird der Datenverarbeitungsvertrag wieder genehmigungsbedürftig. Zudem verbleiben auch bei deren ordnungsgemäßer Verwendung Befugnisse bei den nationalen Aufsichtsbehörden, um im Einzelfall prüfen und eingreifen zu können.

§ 4c Abs. 2 BDSG lässt auch die Verwendung anderer Vertragsklauseln zu, als die der EU. Die beabsichtigte Übermittlung unterliegt dann allerdings vollumfänglich der Prüfung und Genehmigung durch die Aufsichtsbehörde. Nachteil aller Vertragsklauseln ist, dass sie für bilaterale Beziehungen erdacht wurden. Sobald komplexe Mehrpersonenverhältnisse datenschutzrechtlich abgesichert werden sollen, steigt die Zahl der erforderlichen Vertragsschlüsse enorm an und macht ein ggf. schwer zu handhabendes Vertragsmanagement erforderlich. Dies gilt insbesondere für weltweit agierende Unternehmensgruppen, weshalb in diesen Fällen verbindliche konzernweite Unternehmensregelungen eine praktischere Lösung bieten dürften.

Diese sogenannten »Binding Corporate Rules« oder »Codes of Conduct« sind verbindlich implementierte Leitungsgrundsätze, die einheitlich für alle Geschäftsleitungen im Konzern gelten. Diese Regelungen können aber nur für die konzerninterne Datenverarbeitung verwendet werden, nicht aber für den Datentransfer an nicht konzernangehörige Dritte und müssen intern verbindlich implementiert werden (z.B. über vertragliche Vereinbarungen der Konzernunternehmen oder bindende Weisungen). Betriebsvereinbarungen kommen hierfür i.d.R. nicht in Betracht, solange sie nicht in die entsprechenden Unternehmensregelungen aufgenommen wurden und damit sowohl für die übermittelnde als auch die verarbeitende Stelle verbindlich sind. Um ein angemessenes Datenschutzniveau sicherzustellen, müssen die Unternehmensregeln die Kernelemente der EU-Datenschutzrichtlinie abbilden.

5. Hinweise für die Übermittlung und Verarbeitung von Arbeitnehmerdaten

Zu beachten ist, dass das »Safe Harbor«-Urteil des EuGH nur die Frage des hinreichenden Datenschutzniveaus im Rahmen der Übermittlung in die USA betraf. Dieses kann bei der Übermittlung von Arbeitnehmerdaten nunmehr nur noch über Standardvertragsklausen, genehmigungsbedürftigen Individualvertrag oder Binding Corporate Rules abgebildet werden.

Zusätzlich bedarf es aber immer auch einer Rechtfertigung der Datenverarbeitung dem Grunde nach. Für Arbeitnehmerdaten kommt als Grundlage hierfür § 32 BDSG in Betracht, deren Voraussetzungen stets sorgfältig zu prüfen sind. Grundsätzlich können auch Betriebsvereinbarungen nach § 4 Abs. 1 BDSG die Datenerhebung, -nutzung und -verarbeitung rechtfertigen. Dies aber nur dann, wenn sie auch den Empfänger der Daten binden, was wiederum nur durch eine vertragliche Regelung erreicht werden kann. Gehen mit den Arbeitnehmerdaten besondere Identifikationsmerkmale wie Religionszugehörigkeit etc. einher, können diese zudem besonders sensible Daten darstellen, die ein schutzwürdiges Interesse des Betroffenen begründen können, die Übermittlung ins Ausland zu unterbinden. Von einer Rechtfertigung bei der Übermittlung von Arbeitnehmerdaten wird bei multinationalen Konzernen ausgegangen, wenn bei Abschluss des Arbeitsvertrages eine Konzerntätigkeit erkennbar und die Datenverarbeitung als solche für die Begründung, Durchführung oder Beendigung des betreffenden Beschäftigungsverhältnisses »erforderlich« ist. Hiernach können z.B. auch internationale Konzerndatenbanken, welche die Fähigkeiten und Berufserfahrungen der Arbeitnehmer aufführen (sog. Skill-Datenbanken) zulässig sein, wenn sie der internen Arbeitsplanung dienen und die Arbeitnehmer der Aufnahme widersprechen können. Dies gilt ebenso für die Datenübermittlung im Rahmen international verlangter Compliance- und Riskmanagementstrukturen. Diese bedürfen aber sorgfältiger Vorbereitung und Umsetzung.

Erwarten Sie nur das Beste von uns.

Wir informieren Sie regelmäßig über alles Wichtige aus der Welt des Arbeitsrechts und Neuigkeiten rund um vangard. Melden Sie sich jetzt für unseren Newsletter an!

Newsletter abonnieren