"Dauerhafter Unruheherd in Personalabteilungen"

Haufe Online-Redaktion: Künftig soll das sogenannte "EU-US Privacy Shield" den transatlantischen Datenschutz sicherstellen. Welche Bedingungen enthält die Vereinbarung eines Schutzschilds?

Dr. Manteo Eisenlohr: In den veröffentlichten Texten geht es vor allem um die mit der US-amerikanischen Regierung vereinbarten Rahmenprinzipien von Datenschutzstandards. Diese lassen sich im Wesentlichen in zwei Themenkomplexe zusammenfassen: Zum einen werden die sieben sogenannte grundlegenden Prinzipien des Datenschutzes bestimmt, nämlich den Informationsanspruch des Betroffenen, sein Bestimmungsrecht über den Umfang der Datenerfassung, also welche Daten transferiert werden dürfen (opt-in) und welche nicht (opt-out). Weitere Prinzipien sind die Verantwortlichkeit für den Datentransfer, die Sicherheit des Datentransfers, das Prinzip der Verhältnismäßigkeit, den Zugang zu den erfassten Daten sowie Formen und Umfang des Rechtschutzes. Daneben bestehen 16 ergänzende Prinzipien, sogenannte "supplemental principals", die die sieben grundlegenden Prinzipien für bestimmte Anwendungsbereiche konkretisieren. Unternehmen, die sich diesen Prinzipien unterwerfen, gelten für EU-Behörden als sicher im Sinne des Datenschutzes. Sie unterliegen dem Schutzschild.

Haufe Online-Redaktion: Gilt das Schutzschild bereits?

Eisenlohr: Nein. Die vereinbarten und beschriebenen Rahmenprinzipien von Datenschutzstandards müssen nunmehr durch den Prozess der Inkraftsetzung durch die Kommission gehen. Dessen Abschluss wird für den frühen Sommer 2016 erwartet.

Haufe Online-Redaktion: Was sind die wichtigsten Aspekte für Personaler?

Eisenlohr: Unter Kapitel neun der ergänzenden Prinzipien werden Regelungen zum Datentransfer aus der EU in die USA von personalrechtlich und HR-relevanten personenbezogenen Daten konkretisiert. Ausdrücklich wird erwähnt, dass für den Transfer von Personaldaten von Arbeitnehmern in die USA die Prinzipien Informationsanspruch und Bestimmungsrecht gelten. Ausnahmen bestehen nur zugunsten besonderer HR-Entscheidungen wie zum Beispiel Beförderungen oder Einstellungen, bei denen ein Arbeitgeber zur Vermeidung der Beeinflussung grundsätzlich nicht verpflichtet ist, den betroffenen Arbeitnehmer über die Tatsache oder den Grund der Heranziehung seiner Personaldaten zu informieren. Im Hinblick auf die Möglichkeiten des Rechtschutzes wird klargestellt, dass das Europäische Datenschutz- und Arbeitsrecht anwendbar bleiben. Jedoch sind die amerikanischen Organisationen, die personenbezogene Daten speichern und nutzen, zur Kooperation mit den europäischen Datenschutzbehörden verpflichtet.

Haufe Online-Redaktion: Was bedeuten die Regeln für Personaler konkret? Welche Haken haben die geplanten Regelungen?

Eisenlohr: Zum einen steigen die Anforderungen an Informationspflichten der Arbeitgeber. Der Arbeitgeber hat vollständig über den Umfang transferierter Daten zu informieren. Und er wird auch sicherstellen müssen, dass der US-amerikanische Empfänger der Daten seinen Informationspflichten nachkommt. Ferner dürfte das Bestimmungsrecht der betroffenen Arbeitnehmer darüber, welche Daten transferiert werden und welche nicht, zu einem Mehraufwand führen, um den individuellen Umfang des Datentransfers zu verwalten. Vor allem aber dürften die weitere Rechtsunsicherheit und mögliche weitere Verfahren vor dem EuGH das Thema zum dauerhaften Unruheherd in der Personalabteilung werden lassen.

Haufe Online-Redaktion: Sie sprechen den EuGH an: Entsprechen die neuen Regelungen nicht den Vorgaben des EuGH?

Eisenlohr: Dies steht noch nicht fest. Kritische Stimmen haben sich bereits gemeldet, die insbesondere die Unvereinbarkeit der Prinzipien mit den europäischen Grundrechten monieren. Diese Stimmen erwarten, dass sich der EuGH auch mit dem Schutzschild wird auseinandersetzen müssen.

Dr. Manteo Eisenlohr ist Rechtsanwalt und Partner bei K&L Gates in Berlin.

Weitere News zu diesem Thema:

- Datenschutz: Aus "Safe Harbor" wird "Privacy Shield"