Mitarbeiterdatenschutz bei Datenübermittlungen in Drittl ... / 7 Handlungsempfehlungen für Arbeitgeber

7.1 Prüfung bestehender Übermittlungen

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittlung herangezogen werden und durch welche Sicherheitsmaßnahmen die personenbezogenen Daten während und nach der Übermittlung geschützt sind. Gerade sensible Daten der Arbeitnehmer (z. B. Gesundheitsdaten) müssen während des gesamten Verarbeitungsvorgangs einschließlich des Drittstaatentransfers besonders geschützt werden. Sofern die Neuen Standardvertragsklauseln für eine Legitimation der Datenübermittlung genutzt werden sollen, müssen alle derzeit bestehenden Vereinbarungen (intern und mit Dritten) geprüft und aktualisiert werden. So muss sichergestellt werden, dass diese Verträge unter Bezugnahme auf die Neuen Standardvertragsklauseln geeignete Maßnahmen zum Datenschutz bei Drittstaatentransfers erhalten. Hierfür können die Neuen Standardvertragsklauseln entweder entsprechend eingearbeitet werden oder als Annex beigefügt werden. Hierbei ist von großer Wichtigkeit, dass die Klauseln nicht nur auf dem Papier bestehen, sondern auch in der Praxis eingehalten werden. Etwaige bestehende Anhänge, die zusätzliche Schutzmaßnahmen definieren, sollten unter Berücksichtigung der EDSA-Empfehlungen auf den neuesten Stand gebracht werden.

7.2 Zeitliche Umsetzung

Die Neuen Standardvertragsklauseln konnten seit dem 27.6.2021 für den Schutz von Übermittlungen verwendet werden. Die bestehenden Standardvertragsklauseln behielten bis zum 27.9.2021 ihre Gültigkeit, sodass Verantwortliche in diesem Zeitraum bei neuen Vereinbarungen zwischen den verschiedenen Klauselwerken wählen konnten. Bis zum 27.12.2022 mussten Verantwortliche alle bestehenden Verträge an die Neuen Standardvertragsklauseln anpassen. Vor diesem Hintergrund sollten Arbeitgeber sicherstellen, dass nunmehr ausschließlich die Neuen Standardvertragsklauseln genutzt werden – in bestehenden wie in neuen Verträgen.

7.3 Prüfung des Schutzniveaus im Drittland

Verantwortliche müssen angesichts des Schrems II-Urteils anschließend prüfen, ob die gewählte Übermittlungsmethode ein wirksames Mittel darstellt, um ein "der Sache nach gleichwertiges" Schutzniveau für die personenbezogenen Daten im Bestimmungsland zu gewährleisten. So können die implementierten Klauseln und damit ein angemessenes Datenschutzniveau insbesondere dann unterminiert werden, wenn durch Rechtsvorschriften oder Gepflogenheiten des Drittlandes die Wirksamkeit der entsprechenden Schutzmechanismen der Übermittlungsmethode gehemmt wird. Wenn derartige Gesetzgebung im Bestimmungsland festgestellt wird, sollten Arbeitgeber nach Empfehlung der EDSA untersuchen, ob die Gesetzgebung im konkreten Einzelfall der Übermittlung voraussichtlich Auswirkungen auf das Datenschutzniveau der übermittelten Daten haben wird. So kann das Risiko eines Zugriffs ausländischer Behörden auf übermittelte Daten von Branche zu Branche variieren. Beschäftigt der Arbeitgeber z. B. Mitarbeiter im Bereich der Forschung in der Atomenergie, werden personenbezogene Daten dieser Mitarbeiter im Iran einem besonders hohen Risiko unterliegen. Falls kein angemessenes Schutzniveau besteht, müssen Verantwortliche geeignete Maßnahmen implementieren, um diese Lücken zu schließen. Die EDSA-Empfehlungen enthalten im Anhang 2 eine nicht abschließende Liste von Beispielen, welche ergänzenden Maßnahmen ergriffen werden können. Sollte selbst bei Heranziehung dieser ergänzenden Schutzmaßnahmen kein der DSGVO entsprechendes Schutzniveau sichergestellt werden können, sind Verantwortliche möglicherweise dazu verpflichtet, die Übermittlung nicht weiter durchzuführen oder diese zeitweise auszusetzen.

Praxis-Tipp

Schutzniveau regelmäßig überprüfen

Das Schutzniveau der übermittelten Daten sollte regelmäßig überprüft und die oben beschriebenen Schritte je nach Erforderlichkeit regelmäßig wiederholt werden.

7.4 Prüfungsschema für internationale Datentransfers

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.^[1]

Hierbei wird zunächst gefragt, ob für das entsprechende Drittland ein Angemessenheitsbeschluss besteht. Ist das der Fall, können die Mitarbeiterdaten ohne weitere Prüfung übermittelt werden. Liegt kein Angemessenheitsbeschluss vor, dürfen die personenbezogenen Daten im Ausnahmefall ohne zusätzliche Maßnahmen übermittelt werden, wenn geeignete Garantien wie die Standardvertragsklauseln im Hinblick auf Rechtsvorschriften und Praktiken im Drittland wirksam sind. In der Regel müssen jedoch zusätzliche Maßnahmen implementiert werden. Nur wenn durch diese zusätzlichen Maßnahmen ein dem unionsrechtlichen Standard gleichwertiges Schutzniveau erreicht werden kann o...