09.10.2015 | EuGH-Urteil zu Safe Harbor

Die Konsequenzen für die Personalarbeit

Prof. Dr. Marlene Schmidt zur EuGH-Entscheidung: "Die Unternehmen sollten sehr schnell reagieren."
Bild: Apitzsch Schmidt Klebe Rechtsanwälte

Das Urteil des EuGH zum Datenschutzabkommen hat weitreichende Konsequenzen - auch für HR. Wie die Rechtslage nun zu bewerten ist und welche Lösungswege für einen rechtssicheren Umgang mit Mitarbeiterdaten infrage kommen, erläutert Professor Marlene Schmidt im Interview.

Haufe Online Redaktion: Im Rechtsstreit zum Abkommen "Safe Harbor" vor dem Europäischen Gerichtshof (EuGH) ging es um Rechtsfragen im Zusammenhang mit einem Facebook-Account. Inwiefern hat diese Entscheidung auch Auswirkungen auf die Nutzung weiterer Internetanwendungen?

Prof. Dr. Marlene Schmidt: Die Entscheidung des EuGH bezieht sich auf alle unter die europäische Datenschutzrichtlinie fallenden Tätigkeiten. Nach dieser Richtlinie ist ein Datentransfer in solche Drittstaaten verboten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Der Geltungsbereich der Datenschutzrichtlinie ist sehr weit gefasst: Von wenigen Ausnahmen abgesehen, ist jede Verarbeitung personenbezogener Daten betroffen. Im deutschen Recht ist die Übermittlung personenbezogener Daten ins nicht-europäische Ausland im Bundesdatenschutzgesetz (BDSG) geregelt. Dort heißt es: "Die Übermittlung unterbleibt ... wenn bei Stellen (an die die Daten übermittelt werden) ein angemessenes Datenschutzniveau nicht gewährleistet ist." Um gleichwohl einen Datentransfer von Staaten der EU in die USA zu ermöglichen, wurde am 26. Juli 2000 zwischen der EU-Kommission und dem US-Handelsministerium das Abkommen "Safe Harbor" geschlossen (Entscheidung 2000/520/EG). Dieses Abkommen sollte ein angemessenes Schutzniveau für den Transfer von personenbezogenen Daten gewährleisten.

Haufe Online Redaktion: Was sind die wesentlichen Inhalte der Entscheidung des Europäischen Gerichtshofs?

Schmidt:  Der EuGH hatte zum einen zu klären, ob die Entscheidung 2000/520/EG es den nationalen Datenschutzbehörden verwehrt, selbst zu prüfen, ob bei der Übermittlung personenbezogener Daten aus der EU in einen Drittstaat ein angemessenes Schutzniveau gegeben ist. Diese Frage hat der EuGH unter Rückgriff auf die Charta der Grundrechte der europäischen Union klar verneint.

Zum anderen hatte der EuGH sich mit der Gültigkeit der Kommissionsentscheidung 2000/520/EG zu befassen. Dazu war erstmals der Begriff "angemessenes Schutzniveau" zu konkretisieren. Der Gerichtshof stellte hierzu fest, dass die Gewährleistung eines angemessenen Schutzniveaus bedeute, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Datenschutzniveau gewährleisten müsse, das dem in der Union garantierten Niveau der Sache nach gleichwertig sei.

Sodann stellte der EuGH fest, dass die Entscheidung 2000/520/EG diese Voraussetzungen schon deswegen nicht erfülle, weil die Kommission das Vorliegen eines "angemessenen Schutzniveaus" weder vor noch nach Erlass der Entscheidung und schon gar nicht streng geprüft hatte. Obwohl der Gerichtshof vor diesem Hintergrund nach eigener Feststellung von einer inhaltlichen Prüfung der "Safe Harbor"-Grundsätze absehen konnte, ließ er es sich nicht nehmen, seine gravierenden Zweifel an der materiellen Angemessenheit des Datenschutzniveaus in den USA sehr deutlich zum Ausdruck zu bringen.

Bemerkenswert ist auch, dass keine Übergangsfristen eingeräumt wurden. In Anbetracht der Urteilsbegründung, die zentral auf die unterlassene Prüfung durch die Kommission abstellt, wird man sagen müssen, dass die Entscheidung 2000/520/EG zu keinem Zeitpunkt – also auch in der Vergangenheit nicht - gültig war.

Haufe Online Redaktion: Einige Unternehmen, besonders Tochtergesellschaften amerikanischer Konzerne, haben ihre Mitarbeiterdaten in den USA  zentral gespeichert. Müssen nun zumindest die Daten der in Deutschland beschäftigten Arbeitnehmer in Deutschland gespeichert werden?

Schmidt:  Die Speicherung von Mitarbeiterdaten in Deutschland wäre eine Lösung des Problems – möglicherweise sogar die am schnellsten umsetzbare. Das Verbot der Übermittlung personenbezogener Daten in Drittstaaten mit unzureichenden Datenschutzstandards gilt allerdings nicht nur für Mitarbeiterdaten im engeren Sinne, sondern beispielsweise auch für E-Mails, personenbezogene Protokollierungen und Log-Dateien. Werden die Daten, die bei der Nutzung eines konzernweiten IT-Systems, zum Beispiel zur Planung und Durchführung von Projekten, erhoben und verarbeitet sowie in den USA gespeichert, ist dies derzeit rechtswidrig – es sei denn, die Daten wurden und werden auf der Grundlage von Standardvertragsklauseln oder "Binding Corporate Rules" übertragen. Da beides voraussetzt, dass das amerikanische Unternehmen europäische Datenschutzstandards für sich als verbindlich akzeptiert, dürften nur wenige amerikanische Unternehmen diesen Weg gegangen sein, solange die "Safe Harbor"-Entscheidung der Kommission galt.

Die übrigen Ausnahmetatbestände des Bundesdatenschutzgesetzes (BDSG) greifen eher nicht. Zwar gilt eine Ausnahme dann, wenn der Betroffene seine Einwilligung zum Datentransfer erteilt hat. Eine Einwilligung ist allerdings nur wirksam, wenn sie freiwillig, also frei von sozialem Zwang, erteilt wurde; dies wird man im bestehenden Arbeitsverhältnis regelmäßig nicht annehmen können. Hinzu kommt, dass eine pauschale Einwilligung nicht genügt, sondern sie im Hinblick auf eine konkrete Datenübermittlung erteilt werden müsste. Eine andere Ausnahme setzt voraus, dass die Übermittlung der Daten für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle – also des Arbeitsvertrags – erforderlich ist. Auch das ist nur in Ausnahmefällen denkbar – beispielsweise wenn ein Mitarbeiter mit deutschem Arbeitsvertrag vorübergehend in den USA arbeitet.

Haufe Online Redaktion: Wie schnell müssen Personaler jetzt reagieren? Gibt es eine Umsetzungsfrist, um die Daten in den USA zu löschen oder zurückzuholen?

Schmidt: Die Unternehmen sollten sehr schnell reagieren. Der EuGH hat keine Umsetzungsfrist eingeräumt – möglicherweise, weil erstens das Schutzniveau in den USA ganz erheblich niedriger ist als das europäische Schutzniveau und zweitens die Defizite von "Safe Harbor" schon lange bekannt waren und diskutiert wurden.

Haufe Online Redaktion: Wie kann ein rechtssicherer Umgang mit den Daten sichergestellt werden?

Schmidt: Auf den ersten Blick bietet sich der Rückgriff auf Standardvertragsklauseln und sogenannte "Binding Corporate Rules" an. Beide werden im BDSG als Voraussetzungen genehmigungspflichtiger Ausnahmen vom Verbot der Übermittlung personenbezogener Daten an Stellen, bei denen ein angemessenes Datenschutzniveau nicht gewährleistet ist, genannt.

Bei den Standardvertragsklauseln, handelt es sich um ausformulierte Vertragsbedingungen, die von der EU-Kommission 2010 veröffentlicht wurden. Die Standardvertragsklauseln gelten als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte. Standardvertragsklauseln müssen allerdings für jede Übermittlung separat unterzeichnet werden, was für die Datenübermittlung innerhalb eines internationalen Konzerns kaum praktikabel sein dürfte.

Für internationale Konzerne bietet sich eher die Festlegung von "Binding Corporate Rules" (BCR) an. Hierbei handelt es sich um konzerninterne Regeln, in denen der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Auf diese Weise stellen "Binding Corporate Rules" sicher, dass alle Übermittlungen innerhalb einer Unternehmensgruppe denselben Datenschutz genießen. BCR müssen von den nationalen Datenschutzbehörden geprüft und genehmigt werden. Sie gelten nur für Datenübermittlungen innerhalb der Gruppe.

Haufe Online Redaktion: Welchen Anforderungen müssen "Binding Corporate Rules" genügen?

Schmidt: Zwar müssen die BCR nach dem Wortlaut der Datenschutzrichtlinie kein angemessenes Schutzniveau gewährleisten, sondern ausdrücklich nur "ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte". Hieraus lässt sich jedoch nicht etwa ableiten, dass BCR niedrigeren Anforderungen genügen müssen als diejenigen, die der EuGH in seiner Entscheidung vom 06. Oktober 2015 entwickelt hat. Denn auch insoweit gilt die Charta der Grundrechte der Europäischen Union. Ausreichend können daher nur solche Garantien sein, die den Grundrechtsbestimmungen im Sinne der Auslegung des EuGH gerecht werden.

Ob und wenn ja, inwiefern diesen Mindestanforderungen in "Binding Corporate Rules" überhaupt Rechnung getragen werden kann, bedarf sorgfältiger Prüfung. Immerhin verweist der Gerichtshof in seiner Entscheidung auch darauf, dass die Kommission 2013 selbst festgestellt hatte, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die mit den Zielen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war, und dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Ich gehe jedenfalls davon aus, dass die nationalen Datenschutzbehörden, die die BCR genehmigen müssen, künftig ebenfalls im Sinne der EuGH-Entscheidung strenge Maßstäbe anlegen werden müssen. Ob ein aus europäischer Sicht "ausreichendes Datenschutzniveau" im Sinne der neuen EuGH-Entscheidung bei unveränderter Rechtslage in den USA durch BCR überhaupt hergestellt werden kann, vermag ich heute nicht zu beurteilen. Dies dürfte aber in den nächsten Wochen von den europäischen und deutschen Datenschutzbehörden intensiv geprüft und kommuniziert werden. Denn "Binding Corporate Rules" wären für die meisten betroffenen Konzerne ein gangbarer Weg, der allerdings etwas Vorlauf und Vorarbeiten benötigt.

Haufe Online Redaktion: Welchen Gefahren sind Unternehmen ausgesetzt, die mitarbeiterbezogene Daten weiterhin in den USA ablegen? Haben die Mitarbeiter Unterlassungs- oder Schadensersatzansprüche?

Schmidt: Den Mitarbeitern können Unterlassungsansprüche aus analoger Anwendung von § 1004 BGB zustehen. Denn ihr Allgemeines Persönlichkeitsrecht wird, dazu gibt die Entscheidung des EuGH sehr deutliche Hinweise, durch den derzeitigen Zustand beeinträchtigt. Bei der Prüfung von Ersatzansprüchen (auch immaterieller Art) wird im Rahmen des Verschuldens (Vorsatz oder Fahrlässigkeit) jedenfalls für die Vergangenheit zu berücksichtigen sein, dass die Unternehmen sich trotz des bekanntermaßen niedrigen Datenschutzniveaus und der öffentlich bekannten Zugriffsmöglichkeiten der US-Dienste legitimer Weise auf die Gültigkeit der Entscheidung der EU-Kommission 2000/520/EG verlassen durften.

Weiter drohen Bußgelder nach § 43 Abs. 2 Nr. 1 BDSG, der das unbefugte Verarbeiten (hier: Übermitteln) von personenbezogenen Daten, die nicht allgemein zugänglich sind, mit einem Bußgeld bis zu 300.000 Euro belegt. Auch § 43 Abs. 2 BDSG setzt jedoch Verschulden voraus. Zudem gilt das Opportunitätsprinzip; das heißt, es obliegt der zuständigen Behörde zu entscheiden, ob sie ein Bußgeld verhängt oder nicht. Auch dabei wird zu berücksichtigen sein, dass die Entscheidung der Kommission 2000/520/EG bis zur Aufhebung durch den EuGH am 6. Oktober 2015 gültig war.

Zudem sind Datenschutzthemen Compliance-relevant, und zwar in Deutschland wie in den USA.

Haufe Online Redaktion: Wie kann nun die Kommunikation zwischen den HR-Abteilungen global arbeitender Unternehmen geführt werden?

Schmidt: Hier wird man für eine Übergangszeit mit einem rechtswidrigen Zustand leben müssen.

Haufe Online Redaktion: Auch viele Outsourcing-Anbieter haben die Mitarbeiterdaten ihrer Kunden über Cloud-Lösungen in den USA abgelegt. Sind Unternehmen, die ihre Daten an Externe abgegeben haben, auch für diese Datenübermittlungen in die USA verantwortlich?

Schmidt: Das sind sie nicht, wenn es sich nicht um Auftragsverarbeitung, sondern um eine sogenannte Funktionsübertragung handelt. Denn dann sind die Outsourcing-Anbieter selbst die "verantwortliche Stelle“" im Sinne des Datenschutzrechts. Nur im Fall der Auftragsdatenverarbeitung liegt die Verantwortung für die Einhaltung der Bestimmungen des BDSG allein beim Auftraggeber, also dem in Deutschland ansässigen Arbeitgeber. Dieser hat sich zudem regelmäßig über die Einhaltung der beim Outsourcing-Anbieter getroffenen technischen und organisatorischen Maßnahmen zu informieren. Für die Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung kommt es darauf an, ob der Auftragnehmer über einen eigenen Entscheidungsspielraum beim "Wie" der Datenverarbeitung verfügt. Dies dürfte beim Outsourcing von Lohn- und Gehaltsabrechnung oder der Reisekostenabrechung überwiegend der Fall sein.


Das Interview führte Carola Dalhoff, Redaktion Personal.


Prof. Dr. Marlene Schmidt ist Partnerin der Sozietät Apitzsch Schmidt Klebe Rechtsanwälte und Professorin (apl.) am Fachbereich Rechtswissenschaft der Goethe-Universität Frankfurt am Main.

Schlagworte zum Thema:  Datenschutz

Aktuell