(Un)Safe Harbor auch für Arbeitnehmerdaten

Erstellt von Uwe Lingner | |  Arbeitsrecht

Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden, dass das zwischen der EU-Kommission und den USA geschlossene sog. Safe Harbor Abkommen (gänzlich) ungültig ist. An sich war der EuGH (nur) angerufen worden, um darüber zu entscheiden, ob – vereinfacht ausgedrückt – die irischen Datenschutzbehörden die Prüfung datenschutzkonformer Übermittlung von personenbezogenen Daten in die USA mit Hinweis auf Safe Harbor ablehnen durften. Grund war die Klage eines österreichischen Staatsbürgers, der es für rechtswidrig hielt, dass seine personenbezogenen Daten von der in Irland ansässigen europäischen Zentrale eines bekannten sozialen Netzwerks an deren Mutterkonzern in den USA übermittelt wurden. Er wehrte sich dagegen, dass die irische Datenschutzbehörde dies mit genanntem Hinweis nicht überprüfen wollte. Doch was ist überhaupt Gegenstand von Safe Harbor und inwieweit betrifft dessen Ungültigkeit arbeitsrechtliche Bereiche?

Nach EU-Recht dürfen personenbezogene Daten (in Deutschland also solche im Sinne des Bundesdatenschutzgesetzes) nicht an Drittländer außerhalb der EU übermittelt werden, es sei denn, dass sie dort „angemessen“ geschützt sind. Mit Safe Harbor hat die EU-Kommission im Juni 2000 in Zusammenarbeit mit den USA entschieden, dass die USA ein „sicherer Hafen“ für personenbezogene Daten von EU-Bürgern sind und daher grundsätzlich nicht als Drittland im vorgenannten Sinne gelten (Daher auch die Bezeichnung als „Abkommen“). Aus diesem Grund durften US-Unternehmen ihre mit der Speicherung und Verarbeitung von personenbezogenen Daten im Zusammenhang stehenden Dienste von den USA aus EU-Kunden anbieten, ohne dass diese EU-Kunden mit der Übermittlung der Daten in die USA gegen geltendes nationales und EU-Datenschutzrecht verstießen.

Laut EuGH seien die Informationen in den USA aber eben nicht ausreichend vor dem Zugriff von (US-) Behörden und Geheimdiensten geschützt. Dies verletze die Rechte der Europäer. Die EU-Kommission habe keine Kompetenz (gehabt), die Befugnisse der nationalen Datenschutzbehörden derart zu beschränken, dass sie (aufgrund von Safe Harbor) nicht mehr prüfen durften/mussten, ob die personenbezogenen Daten ihrer Bürger entsprechend geschützt seien.

Das Urteil kann auch im Bereich des Arbeitsrechts drastische Auswirkungen entfalten, bedeutet es doch, dass Unternehmen auch die personenbezogenen Daten von Beschäftigten nicht mehr datenschutzrechtlich zulässig (nur) aufgrund von Safe Harbor z. B. an ihre in den USA ansässigen Schwester- oder Muttergesellschaften zur Speicherung oder Verarbeitung übermitteln dürfen. Das schließt schon rein IT-basierte Vorgänge wie z. B. Backups von elektronischen Arbeitnehmerakten ein. Gleiches gilt auch im Hinblick auf die Übermittlung an externe Dienstleister, die Beschäftigtendaten in den USA speichern und/oder verarbeiten. Deshalb müssen Unternehmen nun umgehend ihre Datenverarbeitungsprozesse auch im HR-Bereich überprüfen und Alternativen zu Safe Harbor suchen. Geschieht dies nicht, drohen Bußgelder. Noch schlimmer könnten sich damit verbundene Gerichtsverfahren und/oder gar Rufschäden auswirken.

Bis zu einer „in den Sternen stehenden“ Neufassung von Safe Harbor hilft (theoretisch) die Einholung von Einwilligungen der Betroffenen oder eine Genehmigung der Behörde im Einzelfall. Praxisgerecht dürften diese Wege in den meisten Fällen jedoch nicht sein.

Bei multinationalen Konzernen ist im Fall des grenzüberschreitenden konzerninternen Transfers von personenbezogenen Daten auch die Einrichtung so genannter Binding Corporate Rules (BCRs) möglich. Diese verbindlichen Unternehmensrichtlinien regeln den Datenschutz und die Weitergabe personenbezogener Daten zwischen verbundenen Unternehmen. Aber auch BCRs müssen vor ihrer Einführung mit den Datenschutzbehörden abgestimmt und von ihnen genehmigt werden.

Für die Übermittlung personenbezogener Daten an Unternehmen außerhalb der eigenen Konzernstruktur (z. B. an externe Dienstleister) kommen so genannte EU-Standardvertragsklauseln in Frage. Dabei schließen Übermittler und Empfänger einen Vertrag auf Grundlage der von der EU-Kommission beschlossenen Standardvertragsklauseln. Das ist zwar schnell implementierbar, im Vergleich zu den BCRs aber unflexibel.

Mein Praxistipp
Untersuchen Sie den Umgang und die Übermittlung von personenbezogenen Daten – insbesondere auch von personenbezogenen Arbeitnehmerdaten – in Ihrem Unternehmen. Sofern eine Übermittlung in ein Nicht-EU-Land stattfindet, prüfen Sie die vertragliche Grundlage. Für Übermittlungen in die USA ist Safe Harbor ab sofort nicht mehr ausreichend.

Zurück