www.pwc.de Aktuelle Informationen aus dem Arbeitsrecht Human Resource Newsflash Ausgabe 4, November 2015 Die Safe Harbor Entscheidung des EuGH – Auswirkungen für den Personalbereich Der Europäische Gerichtshof hat in seinem Urteil vom 6. Oktober 2015 entschieden, dass das Safe Harbor Abkommen zwischen der EU Kommission und den USA ungültig ist. Dem Abkommen wurde abgesprochen, ein mit dem Datenschutzniveau in der EU vergleichbares, angemessenes Datenschutzniveau sicherzustellen. Die Entscheidung betrifft den HR-Bereich von Unternehmen vor allem insofern, als dass Beschäftigtendaten nun nicht mehr auf Basis des Safe Harbor Regime an US-Konzerngesellschaften und an Service Provider in die USA übersandt werden dürfen. Das Safe Harbor-Abkommen ist von der EU Kommission und dem US Handelsministerium ausgehandelt worden, weil die EU-Datenschutzrichtlinie von 1995 vorschreibt, dass personenbezogene Daten nur an Empfänger außerhalb der EU übermittelt werden dürfen, wenn bei diesen ein angemessenes Datenschutzniveau sichergestellt ist. Die US-Regierung wollte es US-Unternehmen ermöglichen, ein solches Datenschutzniveau durch eine Selbstregulierung zu erreichen. Sie verabschiedete Datenschutzgrundsätze, denen sich US-Unternehmen freiwillig unterwerfen konnten. Die EU-Kommission hat im Jahr 2000 festgestellt, dass diese Grundsätze ein angemessenes Datenschutzniveau schaffen. 1 Bis heute haben sich etwa 4.480 US-amerikanische Unternehmen 2 den Regelungen von Safe Harbor unterworfen. Durch die Entscheidung des EuGH müssen nun alle EUUnternehmen, die personenbezogene Daten auf Basis von Safe Harbor an eines dieser 4.480 US-amerikanischen Unternehmen übermitteln, die Rechtsgrundlage für die Übermittlung neu überprüfen. Der EuGH hat seine Entscheidung unter anderem darauf gestützt, dass aufgrund der Zugriffsrechte von US-Geheimdiensten kein angemessenes Schutzniveau bestehe und den Vertragsparteien des Abkommens die Kompetenz zur Verabschiedung der Safe Harbor Vereinbarung gefehlt habe. Das Urteil des EuGH rüttelt an den Grundfesten des außereuropäischen Datentransfers. Denn ab sofort können US-amerikanische Unternehmen nicht mehr auf Basis von Safe Harbor belegen, dass die ihnen übermittelten personenbezogenen Daten durch ein ausreichendes Datenschutzniveau geschützt sind. Ein Datentransfer aus der EU an USUnternehmen basierend auf Safe Harbor ist ab sofort unzulässig. Entscheidung (2000/520/EG ) der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA. Im Folgenden RL 95/46). 2 Stand Oktober 2015, https://safeharbor.export.gov/list.aspx . 1 Human Resource Newsflash 4, November 2015 2 Unternehmen, die in ihren Betriebsvereinbarungen und sonstigen Regelungen den Transfer von Beschäftigtendaten zu US-amerikanischen Unternehmen lediglich auf die Safe Harbor Regelung gestützt haben, sind von der Entscheidung besonders betroffen. Dies gilt sowohl für den Datenaustausch im Konzern, sprich zu US-amerikanischen Tochter- und Mutterunternehmen, wie auch den Datenaustausch mit in den USA ansässigen Dritten. Auch Traineeprogramme, Secondments und Arbeitnehmerüberlassungen in die USA sind hinsichtlich der datenschutzrechtlichen Rechtfertigung der Übertragung der Mitarbeiterdaten zu hinterfragen. Ebenfalls überprüft werden sollten Personalwirtschaftssysteme oder cloudbasierte HRTools, die durch US-amerikanische Unternehmen betrieben oder zur Verfügung gestellt werden. Verwendet beispielsweise ein deutsches Tochterunternehmen eines USamerikanischen Konzerns das zentrale Personalmanagementsystem der US-Mutter und basiert die Übertragung der Mitarbeiterdaten allein auf der Safe Harbor Regelung, so ist nach der Entscheidung des EuGH dieser Datenaustausch nunmehr unzulässig. Angesichts der EuGH-Entscheidung gilt es nun, die Übermittlungen in die USA neu zu bewerten und gegebenenfalls Alternativen zu finden. Etwaige Betriebsvereinbarungen und HR-Managementsysteme sind hinsichtlich ihrer Rechtfertigung für den Datenaustausch mit US-amerikanischen Unternehmen zu überprüfen und die betroffenen Mitarbeiter gegebenenfalls aufgrund von § 4 Abs. 3 BDSG (Bundesdatenschutzgesetz) über Änderungen zu unterrichten. Kurzfristig stellen beispielsweise die von der EU-Kommission verabschiedeten sog. EU Standardvertragsklauseln eine Möglichkeit dar, die Datenübertragung in die USA rechtlich zu stützen. Diese müssen zwischen der EU-Gesellschaft und der empfangenden US-Gesellschaft abgeschlossen werden. Allerdings ist zu berücksichtigen, dass die Argumente des Europäischen Gerichtshofs gegen die Safe Harbor-Entscheidung auch gegen die EU Standardvertragsklauseln eingewandt werden könnten. Dementsprechend ist auch die Übermittlung in die USA auf Basis der EU Standardvertragsklauseln nicht zwingend dauerhaft eine belastbare Rechtsgrundlage. Gegebenenfalls sind stattdessen von der Datenschutzaufsicht genehmigte, individualisierte Vertragskonstrukte oder gar Einwilligungen vorzugswürdig. In jedem Fall empfiehlt es sich, den Drittlandtransfer von personenbezogenen Daten einer Complianceprüfung und Risikobewertung zu unterziehen und dabei auch andere, langfristige Lösungen vor dem Hintergrund der nun anstehenden Aktivitäten von EUKommission und Datenschutzaufsicht zu bedenken. Im Konzernverbund sollte beispielweise die anstehende EUDatenschutzgrundverordnung zum Anlass genommen werden, die Geschäftsprozesse gegebenenfalls auch global an das neue Recht anzupassen (Privacy Transformation). Durch konzerninterne verbindliche Datenschutzregelungen (Binding Corporate Rules) für den HR Bereich, die von den Datenschutzaufsichtsbehörden genehmigt werden können, kann beispielsweise eine im Hinblick auf den EuGH belastbarere Rechtsgrundlage zumindest für den konzerninternen Datentransfer geschaffen werden. Von Jan-Peter Ohrtmann, Tel.: +49 211 981-2572, [email protected] 3 Human Resource Newsflash 4, November 2015 Ihre Ansprechpartner Dr. Jan-Peter Ohrtmann Tel.: +49 211 981-2572 [email protected] Julia Rosemann Tel.: +49 69 9585-3260 [email protected] Bestellung und Abbestellung Wenn Sie den PDF-Newsletter Human Resource Newsflash bestellen möchten, senden Sie bitte eine leere E-Mail mit der Betreffzeile „Bestellung“ an: [email protected]. Wenn Sie den PDF-Newsletter Human Resource Newsflash abbestellen möchten, senden Sie bitte eine leere E-Mail mit der Betreffzeile „Abbestellung“ an: [email protected]. Die Beiträge sind als Hinweise für unsere Mandanten bestimmt. Für die Lösung einschlägiger Probleme greifen Sie bitte auf die angegebenen Quellen oder die Unterstützung unserer Büros zurück. Teile dieser Veröffentlichung/Information dürfen nur nach vorheriger schriftlicher Zustimmung durch den Herausgeber nachgedruckt und vervielfältigt werden. Meinungsbeiträge geben die Auffassung der einzelnen Autoren wieder. © November 2015 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige Gesellschaft. www.pwc.de