| Datenschutz

"Privacy Shield": Wie das neue Datenschutzschild funktioniert

Geschützte Daten: Den Datentransfer von der EU in die USA soll nun das "Privacy Shield" als Nachfolger des "Safe-Harbor"-Abkommens sichern.
Bild: MEV-Verlag, Germany

Die EU-Kommission hat das sogenannte Privacy Shield gebilligt. Damit tritt nun eine neue Datenschutz-Grundlage in Kraft, deren Regelungen für Unternehmen einen rechtssicheren Datentransfer zwischen der Europäischen Union und den USA sicherstellen sollen.

Am 12. Juli 2016 hat die EU-Kommission grünes Licht für das EU-US-Privacy-Shield gegeben. Sie hat durch Beschluss erkannt, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen.

Nachfolger des Safe-Harbor-Abkommens

Eine entsprechende neue Vereinbarung war nötig geworden, weil der Europäische Gerichtshof (EuGH) im Oktober die zuvor geltende Safe-Harbor-Vereinbarung gekippt hatte. In den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, befanden die Luxemburger Richter.

Nach dieser Entscheidung bestand nun monatelang große Rechtsunsicherheit darüber, ob überhaupt und – wenn ja – wie personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten von Amerika übermittelt werden dürfen. Mit dem "Privacy Shield" ist nun endlich eine Nachfolgeregelung in Kraft getreten.

Selbstverpflichtung der US-Unternehmen

Die Vorgaben des "Privacy Shield" erklärt Nicolas Roggel, Partner bei der Kanzlei K & L Gates in Berlin, in Ausgabe 09/2016 des Personalmagazins im Beitrag "EU hat Schutzschild aktiviert" (hier können Sie die Ausgabe als App downloaden). Die neue Vereinbarung beinhalte eine Selbstverpflichtung der US-Organisationen, sieben Grund- und 16 ergänzende Prinzipien des Datenschutzes einzuhalten. Rechtsanwalt Roggel erläutert die sieben Grundprinzipien im Einzelnen, nämlich:

  • Notice Principle: weitreichende Informationspflichten gegenüber den betroffenen Individuen, unter anderem in Bezug auf die Selbstverpflichtung unter dem EU-US-Privacy-Shield im Allgemeinen und auch auf den Verwendungszweck der transferierten personenbezogenen Daten im Konkreten
  • Choice Principle: das Gewähren von Wahlrechten ("opt out") bei einer möglichen anderweiten Nutzung der personenbezogenen Daten oder aber bei einer Weiterleitung der relevanten Daten an Dritte
  • Accountability for Onward Transfer Principle: fortlaufende Verantwortung für die personenbezogenen Daten einschließlich für den Fall der Weiterleitung der personenbezogenen Daten an Dritte
  • Security Principle: die Verpflichtung zur Gewährleistung eines erforderlichen und angemessenen Datensicherheitsstandards
  • Data Integrity and Purpose Limitation Principle: die Pflicht zur Sicherung und Einhaltung der Datenintegrität und zur Einhaltung der Zwecklimitierung
  • Access Principle: die Verpflichtung, den Zugriff auf die persönlichen Daten durch den Betroffenen zu gewährleisten
  • Recourse, Enforcement and Liability Principle: die Gewährung von Regressmöglichkeiten im Sinne eines effektiven und zeitnahen Rechtsschutzes inklusive im Zweifel erforderlicher Durchsetzungsmaßnahmen.

Besonderheiten beim Transfer von Arbeitnehmerdaten

Abweichend von sonstigen personenbezogenen Daten sieht die Safe-Harbor-Nachfolgeregelung für den Transfer von Arbeitnehmerdaten teilweise Besonderheiten vor. Als Beispiel nennt Roggel im Personalmagazin-Beitrag die Übermittlung von Arbeitnehmerdaten, die im Zusammenhang mit der Umsetzung arbeitsrechtlicher Verpflichtungen laut "Privacy Shield" keiner ausdrücklichen Zustimmung des Arbeitnehmers bedürfe.

Dies sei eine Lockerung des "Notice Principles", erklärt Anwalt Roggel. Da arbeitsrechtliche Verpflichtungen gegenüber Arbeitnehmern in der EU zumeist im Heimatland erfüllt würden, werde sich die Privilegierung auf internationale Sachverhalte beschränken. In Betracht kommen nach Ansicht des Experten:

  • Mitarbeiterbeteiligungsprogramme bezogen auf die Konzernmutter oder andere internationale Incentivierungsprogramme durch US-Konzernmütter
  • konkrete von US-Konzerngesellschaften mitzutragende oder zu entscheidende sonstige Personalentscheidungen
  • Entsendungen aus Europa in die USA.

Ausnahme: Anderweitige Nutzung oder Transfer an Dritte

Anderes gelte im Fall einer anderweitigen Nutzung der transferierten Daten oder auch im Fall eines geplanten Transfers an Dritte (zum Beispiel an Dienstleister oder auch "Cloud Services"). "Wenn personenbezogene Arbeitnehmerdaten gerade nicht nur zur konkreten Erfüllung der arbeitsrechtlichen Arbeitgeberpflichten erhoben, in die USA transferiert und genutzt werden, sind die betroffenen Arbeitnehmer zu unterrichten und es ist letztlich deren Zustimmung zu erbitten", schreibt Roggel. "Dabei ist ihnen der Verwendungszweck über die Erhebung, den Transfer und die Nutzung der personenbezogenen Arbeitnehmerdaten anzugeben."

Von großer praktischer Bedeutung werde es daher sein, dass sich US-Organisationen, die Arbeitnehmerdaten erhalten, verbindlich mit den europäischen Datenschutzbehörden abstimmen. "Sie müssen sich damit quasi den Datenschutzbehörden, beziehungsweise deren 'Ratschlägen' unterwerfen", schreibt der Rechtsanwalt.

Privacy Shield: nur eine Zwischenlösung?

Ob das Privacy-Shield-Abkommen auf Dauer vor dem EuGH Bestand haben wird, wird von Datenschutzexperten bezweifelt. Rechtsanwalt Roggel bezeichnet es jedoch als "Schritt in die richtige Richtung". Der vom EuGH verursachte Zeitdruck habe aber eine nachhaltige Lösung verhindert. Die jetzige Zwischenlösung dürfte seiner Ansicht nach jedoch die Basis für Weiterentwicklungen sein.

Ob ein regelmäßiger Transfer von personenbezogenen Arbeitnehmerdaten in die Vereinigten Staaten erforderlich ist, also, ob regelmäßige Übermittlungen an Konzerngesellschaften oder Dienstleister jenseits des Atlantiks vorzunehmen sind, sollte in jeder Personalabteilung eruiert werden. Dann sollte kritisch abgewogen werden, ob das Privacy Shield die rechtssichere Alternative ist – wenn auch nur als Zwischenlösung, so die Empfehlung des Experten.

Wesentliche Kritikpunkte des EuGH an dem Safe-Harbor-Abkommen, wie Bedenken an einem rechtsstaatlich unzureichenden Aufsichts- und Handlungsmechanismus, würden auch in der Nachfolgeregelung nicht ausreichend berücksichtigt.


Hinweis: Den kompletten Beitrag "EU hat Schutzschild aktiviert" zum Thema "Datenschutz" von Rechtsanwalt Nicolas Roggel lesen Sie in Ausgabe 09/2016 des Personalmagazins.

Hier können Sie die Ausgabe als App herunterladen.

 

Mehr News zu den Themen "Datenschutz", "Safe Harbor" und "Privacy Shield" lesen Sie hier:

EuGH kippt Safe-Harbor-Abkommen zwischen der EU und den USA

"Dauerhafter Unruheherd in Personalabteilungen"

Aus "Safe Harbor" wird "Privacy Shield"

Schlagworte zum Thema:  Datenschutz, Arbeitnehmer, EU-Recht

Aktuell

Meistgelesen