Übertragung von Arbeitnehmerdaten nach der Safe Harbor-Entscheidung des EuGH – Handlungsbedarf nach den ersten Stellungnahmen durch Datenschutzbehörden

20 Oktober 2015

Dr Fabian Niemann, Gertrud Romeis, Dr. Catharina Klumpp, Lennart Schüßler

Europäischer Gerichtshof, Urteil vom 6. Oktober 2015 (Maximilian Schrems v. Data Protection Commissioner – Az. C-362/14)

Der EuGH hat das Safe Harbor-Abkommen der Europäischen Kommission mit den USA für ungültig erklärt. Nun liegen erste Stellungnahmen und Handlungsempfehlungen durch öffentliche Stellen vor. Was müssen Sie nun in Bezug auf internationalen Datentransfer und Arbeitnehmerdaten beachten und unternehmen? Was sind Ihre Handlungsalternativen? Muss gar jeder Transfer von Arbeitnehmerdaten in die USA sofort gestoppt werden?

Hintergrund
Personenbezogene Daten, also auch Arbeitnehmerdaten, können nur dann an Dritte übertragen werden, wenn diese Übertragung grundsätzlich gerechtfertigt ist und wenn der Dritte ein Datenschutzniveau einhält, das mit dem in der Europäischen Union vergleichbar ist. Die USA haben kein der EU vergleichbares Schutzniveau. Daher handelten die Europäische Kommission und das Handelsministerium der USA das „Safe Harbor“-Abkommen aus. Bisher galt aus Sicht der Europäischen Kommission: Erfüllen US-Unternehmen die im Abkommen festgelegten Standards, haben sie ein ausreichendes Datenschutzniveau und können EU-Unternehmen an diese US-Unternehmen personenbezogene Daten übermitteln.

Wichtig ist, dass das Safe Harbor-Abkommen nur eines von mehreren Möglichkeiten für den Transfer von Arbeitnehmer- und anderen personenbezogenen Daten in die USA war. Daneben bestehen weitere Möglichkeiten, insbesondere vertragliche Instrumente wie die sogenannten EU Standardvertragsklauseln (abzuschließen zwischen dem Daten exportierenden EU Unternehmen und dem Daten importierenden nicht-EU Unternehmen) oder unternehmensinternen sogenannten Binding Corporate Rules. Diese Möglichkeiten sind – anders als das Safe Harbor Abkommen – nicht auf die USA beschränkt, sondern gelten grundsätzlich für den Datentransfer in unsichere Drittländer.

Sachverhalt
In einem Verfahren des Österreichers Maximilian Schrems gegen den irischen Datenschutzbeauftragten legte der High Court of Ireland dem EuGH eine Vorabentscheidungsfrage vor. Gegenstand dieser Frage war verkürzt, ob der irische Datenschutzbeauftragte an die Entscheidung der EU-Kommission zu Safe Harbor gebunden ist und ob er – ohne Prüfung im Einzelfall – davon ausgehen muss, dass ein Safe Harbor-zertifiziertes Unternehmen ein nach EU-Standards ausreichend hohes Datenschutzniveau hat.

Entscheidung
Der EuGH verneinte die Frage. Er ging außerdem noch weiter und entschied, dass das Safe Harbor-Abkommen kein ausreichendes Datenschutzniveau der betroffenen Unternehmen sicherstellt und nichtig ist. Der EUGH hat nicht entschieden, dass Datentransfers in die USA (etwa auf Basis von Standardvertragsklauseln) grundsätzlich unzulässig sind.

Stellungnahmen von Datenschutzbehörden
Knapp zwei Wochen nach der Safe Harbor-Entscheidung des EuGH liegen die ersten Stellungnahmen und Handlungsempfehlungen durch öffentliche Stellen vor.

Die extremste Auffassung vertritt das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (Aufsichtsbehörde für Datenschutz in Schleswig-Holstein - ULD). Das ULD hat in einem kurzen Positionspapier ausgeführt, dass, mangels tauglicher Rechtsgrundlage die Übertragung arbeitnehmerbezogener Daten in die USA in der ganz überwiegenden Anzahl der Fälle rechtswidrig sei. Die  Übermittlung arbeitnehmerbezogener Daten sei deshalb vollständig auszusetzen. Gleichzeitig wies es darauf hin, dass ein Datentransfer ohne Rechtsgrundlage erhebliche verwaltungsrechtliche und ordnungswidrigkeitsrechtliche Konsequenzen habe. Damit schießt das ULD weit über das Urteil des EUGH hinaus, der nur über Safe Harbor geurteilt hat.

Die meisten anderen deutschen Datenschutzbehörden haben sich daher bisher auch differenzierterer geäußert und insbesondere gesagt, dass sie die genauen Auswirkungen des Urteils (insbesondere auch, ob es irgendwelche Auswirkungen über Safe Harbor hinaus hat) erst einmal national und innerhalb der EU mit den anderen Datenschutzbehörden diskutieren möchten.

Eine erste Stellungnahme der auf EU-Ebene agierenden Artikel 29-Datenschutzgruppe liegt mittlerweile vor. Dieses, die Europäische Kommission beratende Gremium hat die Politik aufgefordert, bis Ende Januar 2016 ein neues Abkommen mit den USA auszuhandeln. Jedenfalls bis dahin sind Datentransfers in die USA etwa auf Basis von Standardvertragsklauseln oder Binding Corporate Rules weiterhin möglich. Ob dies auch danach zulässig sein soll, hat die Artikel 29-Datenschutzgruppe in ihrer Stellungnahme offen gelassen. Sie hat sich allerdings die Option offengelassen, dass - sofern bis Ende Januar kein verbessertes Abkommen mit den USA gelänge - weitere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzes getroffen werden müssten. Ob dies nur Datentransfers betrifft, die auf Safe Harbor gestützt werden oder auch – über das Urteil des EuGH hinaus – Datentransfers in die USA im Allgemeinen, ist offen.

Konsequenzen für die Praxis und Handlungsalternativen
Das Urteil des EUGH erschüttert den Datentransfer in die USA in den Grundfesten. Das Teilen von Arbeitnehmer- und anderen Daten auf internationaler Ebene in Konzernen ist an der Tagesordnung und kann auch nicht abgeschafft werden, schon gar nicht über Nacht. Das erkennen auch die (meisten) Datenschutzbehörden an. Insofern besteht kein Grund zur Panik. Jedes Unternehmen muss aber jetzt die eigene Situation einschätzen und die Handlungsalternativen durchspielen.

Vorab ist zunächst festzuhalten dass die Rechtsauffassungen der Datenschutzbehörden nicht bindend sind und auch, dass weitere Stellungnahmen und Handlungsempfehlungen folgen werden. Die deutschen europäischen Datenschutzbehörden sind in ihrer Abstimmung über die Folgen des Urteils erst am Anfang. 
Für den Fall, dass Ihr Unternehmen personenbezogene Daten in die USA überträgt, prüfen Sie zunächst sorgfältig, auf welcher rechtlichen Grundlage der Transfer erfolgt. Wird die Datenübertragung auf Safe Harbor gestützt, müssen Sie in jedem Fall auf alternative Grundlagen für die Übertragung zurückgreifen. In Betracht kommen insbesondere Standardvertragsklauseln und Binding Corporate Rules. 

Dabei ist zu überlegen, ob dies sofort geschieht oder erst, nachdem der Meinungsbildungsprozess der Datenschutzbehörden abgeschlossen ist. Das hängt von mehreren Faktoren ab, insbesondere von der bisherigen rechtlichen Basis, der Sensitivität der Daten, der zuständigen Aufsichtsbehörde, den aktuellen Regelungen in Betriebsvereinbarungen sowie der Auffassung des Betriebsrats. Klären Sie in jedem Fall, ob Ihr Betriebsrat Mitbestimmungsrechte hat und binden Sie ihn und Ihren Datenschutzbeauftragten rechtzeitig mit ein.

In Kürze zu den wichtigsten Handlungsalternativen:
Die Übertragung arbeitnehmerbezogener Daten aufgrund der Einwilligung der Betroffenen ist in ihrer Umsetzung wenig praktikabel, da Generaleinwilligungen nach der ständigen Rechtsprechung des BAG unwirksam sind und Arbeitnehmer daher nicht nur umfassend über den US-amerikanische Datenschutzrecht aufgeklärt werden müssen, sondern eine Einwilligung auch immer nur bezogen auf einen konkreten Zweck der Datenvereinbarung erfolgen darf.

Die Verwendung von Standardvertragsklauseln (SCC) hat den Vorteil, dass sie in Deutschland (in anderen Ländern ist dies teilweise anders) die Datenübertragung ohne behördliche Genehmigung erlauben. Zumindest während der Karenzzeit bis Ende Januar 2016 wird die Verwendung von SCC auch ausdrücklich durch die Artikel-29-Datenschutzgruppe vorgeschlagen. Das ULD hält die Verwendung von SCC ausdrücklich für nicht mit den Vorgaben des EuGH vereinbar, bietet aber selbst keine andere Alternative an. Ein Nachteil bei Verwendung von SCC ist, dass diese unflexibel sind und stets ohne Änderungen zwischen den beim Datentransfer beteiligten Unternehmen vereinbart werden müssen. Sie erlauben also keine individuellen Anpassungen und müssen zudem regelmäßig bei neuen Applikationen und Datenübertragungen neu abgeschlossen werden.

Mehr Flexibilität und eine dauerhafte Compliance ermöglicht die Verwendung von Binding Corporate Rules (BCR). Allerdings müssen sie im Gegensatz zu SCC stets mit Datenschutzbehörden abgestimmt werden und erfordern ein Umstellen der internen Prozesse. 

Halten Sie sich informiert über http://twobirds.com.


Autor

Klumpp-Dr Catharina

Dr. Catharina Klumpp, LL.M.

Counsel
Deutschland

Rufen Sie mich an: +49 (0)211 2005 6000

Dr. Fabian Niemann

Partner
Deutschland

Rufen Sie mich an: +49 (0)69 74222 6000

Gertrud Romeis

Associate
Deutschland

Rufen Sie mich an: +49 (0)40 46063 6000
Schuessler_Lennart_DUS

Lennart Schüßler

Counsel
Deutschland

Rufen Sie mich an: +49 (0)69 74222 6000