MITTELSTAND aktuell Alles was Recht ist

DATENSCHUTZ: USA IST KEIN „SAFE HARBOR“ Die Übermittlung von Daten in die USA wird nicht leichter: Am 6. Oktober 2015 erklärte der EuGH (C-362/14) die „Safe Harbor“-Entscheidung der Kommission, wonach die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig. Welche Konsequenzen ergeben sich daraus für den Umgang mit Beschäftigtendaten?

Das Problem Die Übermittlung personenbezogener Daten in das EU/EWR-Ausland war schon bisher kompliziert: Liegt keine wirksame Einwilligung des Beschäftigten vor, ist neben einem Erlaubnistatbestand (etwa § 28 Abs. 1 S. 1 Nr. 2 oder § 32 BDSG) ein angemessenes Niveau für Datenschutz beim Empfänger erforderlich. Letzteres handhabte die Praxis bislang häufig wie folgt: Das datenimportierende US-Unternehmen verpflichtete sich gegenüber der zuständigen US-Behörde zur Einhaltung bestimmter Datenschutz-prinzipien („Safe Harbor“). Zwar traf das datenexportierende Unternehmen weiter gewisse Prüfpflichten. Umfangreiche Vereinbarungen zwischen den Parteien und Genehmigungen durch europäische Behörden zur Datenübermittlung waren indes entbehrlich. Hiermit ist es vorbei: Angesichts der Ungültigkeit von „Safe Harbor“ haben die national zuständigen Datenschutzbehörden nunmehr zu prüfen, ob die Übermittlung mangels angemessenen Datenschutzniveau in die USA auszusetzen ist.

Der Sachverhalt Der Österreicher Max Schrems wendete sich gegen die Übermittlung personenbezogenen Daten durch die irische FacebookTochter an in den USA befindliche Server: Spätestens seit den sog. Snowden-Enthüllungen stünde fest, dass in den USA kein ausreichender Schutz vor Überwachungstätigkeiten der dortigen Behörden stattfinde. Die irische Datenschutzbehörde wies die Beschwerde zurück. Der irische High Court legte die Rechtssache dem EuGH vor.

Die Entscheidung „Safe Harbor“ gelte nicht für US-Behörden, sondern allenfalls für US-Unternehmen. Die nationale Sicherheit, das öffentliche Interesse und US-Gesetze gingen Safe Harbor vor. Kollidiere personenbezogener Datenschutz mit einem der vorrangigen Interessen, dürften die US-Unternehmen „Safe Harbor“ nicht anwenden. Hierdurch seien Eingriffe in Grundrechte von Unionsbürgern

denkbar. Zudem gäbe es keine Regelungen über etwaige Begrenzungen für die Grundrechtseingriffe noch dagegen gerichtete Rechtsbehelfe. Daher sei die „Safe Harbor“-Entscheidung der Kommission ungültig.

Handlungsmöglichkeiten Der EuGH entschied nicht, dass die Datenübermittlung in die USA unzulässig ist. Jedoch entfällt aufgrund der Ungültigkeit der „Safe Harbor“-Regelung die Vermutung für die Zulässigkeit der Datenübermittlung in die USA. Dies begründet für Unternehmen erhebliche Unsicherheiten. Wollen Unternehmen nicht die mit der Prüfung der national zuständigen Datenschutzbehörden verbundenen Unsicherheiten hinnehmen, bestehen folgende Möglichkeiten:

Standardverträge und „Binding Corporate Rules“ EU- und US-Unternehmen vereinbarem einen der von der EUKommission zur Übermittlung von Daten in das EU/EWR-Ausland gebilligten Standardverträge. Neben technischen und organisatorischen Sicherheitsmaßnahmen vereinbaren die Parteien hierdurch Ansprüche zu Gunsten von der Datenübermittlung betroffener Personen. Die Standardverträge sind grundsätzlich im von der EU-Kommission vorgegeben Wortlaut zu übernehmen. Dies schränkt die Flexibilität erheblich ein. Im Konzern können überdies sog. „Binding Corporate Rules“ vereinbart werden. Diese setzen allerdings ein umfassendes Zertifizierungsverfahren unter Beteiligung der Datenschutzbehörde am Sitz der Konzernspitze sowie gegebenenfalls von Datenschutzbehörden in Drittländern voraus. In Deutschland haben bislang erst sieben Unternehmen (davon drei in Bayern) den Zertifizierungsprozess abgeschlossen. Aufgrund des aufwändigen Verfahrens dürften sich „Binding Corporate Rules“ nur für internationale Konzerne eignen. Letztlich ist fraglich, ob Standardverträge und „Binding Corporate Rules“ einem angemessen Niveau für Datenschutz genügen:

Auch diese dürften die US-Behörden kaum von einem Zugriff auf aus Europa übermittelte personenbezogene Daten abhalten.

der Widerrufsbefugnis des Beschäftigten unterliegt auch die Einwilligung Vorbehalten in der Praxis.

Einwilligung des Betroffenen

Einstweilen könnte aus Unternehmenssicht eine Mischstrategie aus Einwilligung und Standardverträgen oder „Binding Corporate Rules“ sinnvoll sein.

Dies rückt die Einwilligung der Beschäftigten zur Übermittlung ihrer Daten in die USA stärker in den Fokus. Auch diese unterliegt weit reichenden Vorgaben: Zur Wirksamkeit erforderlich ist neben der freiwillige Abgabe durch den Beschäftigten die hinreichende Klarheit bezüglich des „Ob“ einer Übermittlung und deren Reichweite. Aufgrund ihrer strengen Voraussetzungen und

Dr. Philipp Schäuble, München Rechtsanwalt im Bereich Arbeitsrecht bei Clifford Chance www.cliffordchance.com

Kontakt: Der BVMW vertritt im Rahmen der Mittelstandsallianz 270.000 kleine und mittlere Unternehmen mit ca. 9 Millionen Mitarbeitern. Über 300 Repräsentanten haben jährlich rund 700.000 direkte Unternehmerkontakte. Der BVMW organisiert mehr als 2.000 Veranstaltungen pro Jahr.

Bundesverband mittelständische Wirtschaft (BVMW) e. V. Kommission Recht Leipziger Platz 15, D-10117 Berlin Tel.: +49 (0)30 533206-0, Fax: +49 (0)30 533206-50 [email protected], www.bvmw.de