Spätestens mit dem Fall des EU-US-Privacy Shield (EuGH, Urteil v. 16.07.2020 – C-311/18) ist die Datenübermittlung in Drittländer außerhalb von EU und EWR wieder in den Fokus gerückt. Dies hat auch Bedeutung für das digitale Personalmanagement durch den immer stärkeren Trend, dieses als SaaS in der Cloud durchzuführen.
Das Problem: Selbst bei Anbietern mit Niederlassung in Deutschland oder in EU/EWR landen die Beschäftigtendaten trotzdem durch Subunternehmen in der Leistungskette häufig in einem Drittland. Einen Überblick über die datenschutzrechtlichen Herausforderungen, die dabei auftreten und was ein Arbeitgeber beachten sollte, gibt der Beitrag von Sascha Kremer in der HR Performance 05/2020. Die wichtigsten Aspekte haben wir hier für Sie zusammengetragen.
Rechtliche Grundlagen zur Datenübermittlung
Den Idealfall für Arbeitgeber stellt ein Angemessenheitsbeschluss der EU-Kommission dar. Damit wird festgestellt, dass ein Drittland ein angemessenes Datenschutzniveau vergleichbar zu den EU-Standards aufweist, die Datenübermittlung also nach den gleichen Vorgaben erfolgen kann wie innerhalb der EU selbst.
Existiert ein solcher Beschluss nicht, so kann der Arbeitgeber als Verantwortlicher für die Beschäftigtendaten mit dem Dienstleister im Drittland sog. Standarddatenschutzklauseln (früher auch Standardvertragsklauseln, SCC) abschließen, die von der EU bereitgestellt werden und für das gebotene Datenschutzniveau sorgen. Alternativ können Binding Corporate Rules (BCR, abgestimmte Verhaltensregeln) den gleichen Effekt erzielen, die vorher jedoch eine allgemeine Genehmigung der Aufsichtsbehörden benötigen.
Schließlich kann auch die Einwilligung des Betroffenen eingeholt werden oder die Drittlandübermittlung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich sein. Achtung: Eine Einwilligung muss sich explizit auf das vorgesehene Drittland und die Übermittlung ohne angemessenes Datenschutzniveau beziehen – eine allgemeine Einwilligung reicht nicht.
Problem: USA
Die USA sind Sitz einiger der führenden IT-Dienstleister, einen Angemessenheitsbeschluss durch die EU-Kommission gibt es für die USA jedoch nicht. Um dennoch eine Datenübermittlung zu gewährleisten, wurde ein Sonderweg über den Safe Harbor und, nach dem EuGH-Urteil vom 06.10.2015 (C-362/14) über die Unwirksamkeit dieser Lösung, über den EU-US-Privacy Shield gegangen.
Die als ‚Schrems II-Urteil‘ bekannt gewordene Entscheidung des EuGH (siehe oben) hat nun auch diesem Weg einen Riegel vorgeschoben. Eine Berufung auf den Privacy Shield ist seitdem nicht mehr möglich.
Was tun als Arbeitgeber?
- Prüfen, ob Beschäftigtendaten in Drittländern verarbeitet werden – durch Auftragnehmer oder Subunternehmer
- Prüfen, auf welche Rechtsgrundlage die Übermittlung gestützt wird – und ggf. Anpassung auf eine der oben genannten zulässigen Verarbeitungsgrundlagen (Achtung: der Arbeitgeber ist laut EuGH dazu verpflichtet, sich von der Einhaltung der Standarddatenschutzklauseln/ der BCR zu vergewissern)
- Dokumentieren der Ergebnisse – inklusive möglicher Alternativen & Umsetzungsaufwand
- Abwarten & Hoffen – dass die EU eine rechtmäßige Grundlage für die Drittlandübermittlung schafft
Den gesamten Beitrag können Sie sich (kostenpflichtig) im eMagazin der HR Performance ansehen.
| Bei Fragen wenden Sie sich gerne direkt an den Autoren Sascha Kremer oder schauen Sie auf der Teamseite, wer noch bei uns arbeitet. |  |