Management Übermittlung personenbezogener Daten in die USA ist derzeit verboten Was bedeutet das Aus von Safe Harbor für Personalverantwortliche und HR-Lösungen? „Safe Harbor ist tot“: Am 6.10.2015 hat der Europäische Gerichtshof (EuGH) mit seinem Urteil zum sog. Safe-Harbor-Abkommen für einen Aufschrei gesorgt (Aktenzeichen C-362/14). Alle Übermittlungen personenbezogener Daten in die USA auf der Grundlage dieses Abkommens sind nach dem Urteil mit sofortiger Wirkung datenschutzrechtswidrig. Völlig offen bleibt jedoch, wie Übermittlungen in die USA sonst zu rechtfertigen sind. Für Personalabteilungen hat das Urteil weitreichende Auswirkungen, denn ein Bezug zu den USA besteht schnell. Was hat HR mit den USA zu tun? Zunächst gibt es die Möglichkeit, dass in einem Konzern das Personalmanagement zentral in den USA verortet ist und dort alle Beschäftigtendaten zusammenfließen. Ebenso ist denkbar, dass aus den USA auf Beschäftigtendaten europäischer Gesellschaften zugegriffen wird, etwa um Leistungsbewertungen und Personalmaßnahmen konzernweit abzustimmen. Datenschutzrechtlich sind dies Übermittlungen personenbezogener Daten, gleich ob aktiv durch Versenden oder passiv durch Lesezugriff. Häufig ist es so, dass HR-Lösungen von Personalverantwortlichen in europäischen Gesellschaften eingesetzt werden, bei denen die Datenhaltung durch einen Dienstleister in den USA stattfindet. Das kann ein Tool zur Durchführung von Reisekosten- und Spesenabrechnungen oder ein Cloud-Service zum Taskmanagement sein, ebenso aber eine Onboarding-Anwendung oder ein komplexes System zur Steuerung von Projekten. Was ist das Problem? Innerhalb von EU und EWR geht man davon aus, dass alle Länder ein einheitliches und angemessenes Datenschutzniveau haben. Denn hier liegt überall den nationalen Gesetzen zum Datenschutz die Europäische Datenschutzrichtlinie 95/46/EG zu Grunde, so etwa dem Bundesdatenschutzgesetz (BDSG) in Deutschland. Liegt datenschutzrechtlich ein Erlaubnistatbestand für die Übermittlung personenbezogener Daten vor, ist innerhalb von EU und EWR die Übermittlung uneingeschränkt zulässig. Ein solcher Erlaubnistatbestand kann z.B. das betriebliche Interesse an der Vereinfachung von Prozessen oder der Zentralisierung von Funktionen im Konzern sein. Werden Daten in Länder außerhalb von EU oder EWR übermittelt, spricht man von sogenannten Drittstaaten-Transfers. Dabei wird davon ausgegangen, dass in Drittstaaten so lange kein angemessenes Datenschutzniveau herrscht, wie dies nicht ausdrücklich festgestellt worden ist. Deshalb dürfen personenbezogene Daten in Drittstaaten nur übermittelt werden, wenn dort ein angemessenes Datenschutzniveau herrscht. Ein solches angemessenes Datenschutzniveau kann sich aus den Datenschutzgesetzen im Drittstaat ergeben. Dann kann die EU-Kommission einen Drittstaat für datenschutzrechtlich sicher erklären, so wie dies z.B. mit der Schweiz und Kanada geschehen ist. Eine andere Möglichkeit ist es, mit dem Empfänger der Daten im Drittland einen Vertrag unter Einbeziehung der unveränderten Standardvertragsklauseln abzuschließen, die zu diesem Zweck von der EU-Kommission vorgegeben werden. Schließlich können konzernintern sog. Binding Corporate Rules (BCR) in Abstimmung mit den Datenschutz-Aufsichtsbehörden aufgestellt werden, die als „Konzerngesetz“ für ein angemessenes Datenschutzniveau auch in den Konzerngesellschaften in Drittländern sorgen. Sonderfall USA: Safe Harbor Für die USA hat die EU-Kommission als zusätzliche Lösung das Safe-Harbor-Abkommen abgeschlossen. Hiernach waren Übermittlungen personenbezogener Daten auch an solche Empfänger in den USA zulässig, die sich freiwillig den durch Safe Harbor festgelegten Standards unterworfen haben. Die dafür notwendige Selbstzertifizierung deckte europäische Selbstverständlichkeiten im Datenschutz ab, z.B. die Verpflich- 56 HR Performance 6/2015 Management tung zum technischen und organisatorischen Schutz der Daten vor Missbrauch. Datentransfers in die USA waren dadurch deutlich vereinfacht: Hatte sich ein Unternehmen in den USA Safe Harbor unterworfen, ohne dass eine Prüfung durch unabhängige Dritte erfolgte, konnten Daten aus EU und EWR an diese Empfänger in den USA genauso wie innerhalb von EU und EWR übermittelt werden. Selbst nachdem 2009 ein hoher Missbrauch bei Safe Harbor festgestellt wurde, konnte mit wenigen, in der Praxis kaum relevanten Einschränkungen durch ergänzende Vorgaben der Datenschutz-Aufsichtsbehörden der Datenverkehr mit den USA aufrechterhalten werden. Warum das Urteil des EuGH? Der EuGH hat mit dem Urteil vom 6.10.2015 das Safe-HarborAbkommen für ungültig erklärt. Die Begründung ist nachvollziehbar: die EU-Kommission habe nie geprüft, ob in den USA tatsächlich Maßnahmen zum Datenschutz getroffen worden sind, die den europäischen Vorgaben vergleichbar sind. Außerdem gebe es in den USA keinen wirksamen Gerichtsschutz gegenüber Datenverarbeitern. Zudem hätten in den USA staatliche Interessen stets Vorrang vor dem Datenschutz, was den Datenschutz insgesamt aushöhle. Was bedeutet das Urteil? Seit dem 6.10.2015 sind alle Datentransfers in die USA auf Grundlage von Safe Harbor mit sofortiger Wirkung datenschutzrechtswidrig. Werden die Datentransfers gleichwohl fortgesetzt, drohen Maßnahmen der Datenschutz-Aufsichtsbehörden, z.B. Untersagungsverfügungen oder Strafzahlungen auch in Millionenhöhe zu Lasten der Unternehmen. Dabei kommt es nicht darauf an, wie viele Daten in die USA übermittelt werden. Jede Übermittlung ist jetzt verboten. Welche Alternativen zu Safe Harbor gibt es? Eine Entscheidung der EU-Kommission, wonach in den USA insgesamt ein angemessenes Datenschutzniveau besteht, wird es in absehbarer Zeit nicht geben. Es obliegt deshalb den Unternehmen in EU und EWR, eine Erlaubnis für Datentransfers in die USA herbeizuführen. Zudem könnten von allen Betroffenen Einwilligungen eingeholt werden. Gegenüber Beschäftigten ist das jedoch problematisch. Oft wird davon ausgegangen, dass Beschäftigte gegenüber ihrem Arbeitgeber wegen ihrer Abhängigkeit niemals freiwillig eine Einwilligung erteilen, was aber Voraussetzung für deren Wirksamkeit ist. Zudem ist eine Einwilligung frei widerruflich und der Einwilligende muss aufgeklärt werden, dass seine Daten in einen Staat ohne angemessenes Datenschutzniveau übermittelt werden sollen. Wie sicher sind die Alternativen zu Safe Harbor? Was nach dem Urteil des EuGH zulässig ist, ist derzeit völlig offen. Das Unabhängige Landeszentrum für Datenschutz (ULD) als Aufsichtsbehörde in Schleswig-Holstein hat bereits angekündigt, keine der obigen Alternativen wegen der grundsätzlichen Datenschutz-Probleme in den USA für zulässig zu halten, und Prüfungen angekündigt. Ganz anders die Stellungnahme der sogenannten Art.-29-Gruppe als Zusammenschluss der europäischen Aufsichtsbehörden im Datenschutz: Dort hält man Standardverträge und BCR jedenfalls bis Ende Januar 2016 für geeignete Mittel zur Rechtfertigung von Datentransfers in die USA. Bis dahin erwartet man eine neue Lösung durch die EU-Kommission. Was muss von HR getan werden? Es ist zu prüfen, ob Übermittlungen von Beschäftigtendaten in die USA erfolgen, gleich ob aktiv oder passiv. Das ist sowohl für konzerninterne Übermittlungen aus auch für externe HRLösungen festzustellen. Gibt es Übermittlungen von Beschäftigtendaten in die USA, ist zu klären, auf welcher Grundlage diese stattfinden. Wird zur Rechtfertigung auf Safe Harbor abgestellt, ist die Übermittlung sofort auf eine andere Grundlage zu stützen oder einzustellen. Gibt es einen Datenschutzbeauftragten im Unternehmen, ist dieser in die Prüfung einzubeziehen. Das gilt ebenso für einen im Unternehmen vorhandenen Betriebsrat, Personalrat oder eine andere Mitarbeitervertretung. Dabei kommen insbesondere folgende Möglichkeiten in Betracht: Mit dem Empfänger der Daten in den USA können die Standardverträge der EU-Kommission abgeschlossen werden. Einige große Softwareanbieter haben am Tag der Urteilsverkündung ihren Kunden entsprechende Verträge zukommen lassen. Geht es um konzerninterne Übermittlungen, kommen BCR in Betracht. Deren Erstellung ist jedoch sehr ressourcenaufwendig. Anschließend bedürfen die BCR der Freigabe durch die Aufsichtsbehörden in allen beteiligten Ländern in EU und EWR, was oftmals mehrere Monate, wenn nicht gar Jahre benötigt. Autor: SASCHA KREMER, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter, Gründungspartner LOGIN Partners Rechtsanwälte; Lehrbeauftragter Hochschulen Düsseldorf und Bonn-Rhein-Sieg HR Performance 6/2015 57
© Copyright 2024 ExpyDoc
