open search
close
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen.

Der Wunsch nach einer reibungslosen Kommunikation im Home-Office während der Coronakrise hat viele Unternehmen zur Einführung von Chat- und Telefonsoftware wie MS Teams, Skype und Zoom bewegt. Was zunächst so einfach zu implementieren schien, offenbarte schnell, dass der Teufel im Detail steckt. Das Problem: Viele Cloudanbieter speichern Daten auch in Nicht-EU-Länder, sog. Drittstaaten, in denen die Übermittlung und Speicherung von Daten zunächst nur möglich ist, wenn ein dem europäischem Recht gleichwertiges Datenschutzniveau garantiert wird. Ähnliche Probleme ergeben sich auch im Rahmen von Angeboten für ausländische Projekte durch Weitergabe von Mitarbeiterprofilen. Was gilt also für den Arbeitgeber? Gibt es bereits verbindliche Vorgaben seitens der Aufsichtsbehörden oder der Europäischen Kommission?

Ein steiniger Weg

Hintergrund: Bereits im Juli letzten Jahres haben wir berichtet (Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt), dass der EuGH mit seinem Urteil vom 16. Juli 2021 (Rechtssache „Shrems II“) das sog. „Privacy Shield“, eine informelle Absprache auf dem Gebiet des Datenschutzes zum Datentransfer an entsprechend zertifizierte US-Unternehmen, gekippt hat. Damit rückte das Themenfeld rund um die Übermittlung von Daten in Drittstaaten erneut in den Fokus. Konkret bedeutet die Entscheidung, dass sämtliche Datenverarbeiter – also regelmäßig auch Unternehmen –, die ihre Übermittlung auf das Privacy Shield stützen, anderweitig für ein gleichwertiges Schutzniveau Sorge tragen müssen.

Eine Möglichkeit stellen hier sog. Standardvertragsklauseln dar, welche eine Garantie für ein hinreichendes Schutzniveau darstellen können. Diese müssen jedoch einer zusätzlichen Prüfung unterzogen werden, ob tatsächlich ein gleichwertiges Schutzniveau hergestellt wurde. Es wird insbesondere der Datenexporteur in der Pflicht gesehen, die Einzelfallprüfung vorzunehmen. Unternehmen wird dies häufig nicht gelingen. Insbesondere im Rahmen von Datentransfers über sog. Cloudanbieter können Unternehmen häufig nur versuchen, die Verantwortung in Richtung der Dienstleister zu verlagern.

Aber damit nicht genug: Koordinierte Prüfung internationaler Datentransfers durch die Aufsichtsbehörden angekündigt

Am 1. Juni 2021 haben die Aufsichtsbehörden verschiedener Bundesländer nunmehr entschieden, verunsicherten Unternehmen vor weitere Fragen zu stellen. Sie teilten mit, dass es zu  einer koordinierten, länderübergreifenden Prüfung internationaler Datentransfers kommt, um großflächig zu prüfen, ob ein gleichwertiges Schutzniveau nach den Anforderungen der „Shrems II“-Entscheidung auch tatsächlich eingehalten wird. Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Was droht genau?

Eine solche koordinierte Prüfung ist nicht neu. Bereits nachdem der EuGH das sog. „Safe Harbor“-Abkommen im Jahr 2015 für unwirksam erklärte, fassten die sich mehrere Datenschutzbehörden zusammen und führten unter der Federführung  des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte “Prüfaktion” durch (Compliance beim Datentransfer: Zur “Fragenbogenaktion” der Datenschutzbehörden). Kommt die Aufsichtsbehörde zu dem Ergebnis, dass einem unzulässigen Datentransfer gekommen ist, wird der Datentransfer wie auch im Falle dieser Prüfaktion zunächst ausgesetzt werden. Aber auch ein Verbot ist nicht auszuschließen. Unternehmen werden dabei nach dem Zufallsprinzip ausgewählt.

Was ist zu beachten?

Für Unternehmen empfiehlt sich die nachfolgende Vorgehensweise:

  • Sammlung sämtlicher zu Beantwortung der Fragebögen notwendigen Informationen, wie vertraglicher Vereinbarungen zu Dienstleistern etc., um diese im Fall einer Prüfung schnellstmöglich auszuhändigen;
  • Prüfung, ob die von Ihnen eingesetzten Standardvertragsklauseln den Anforderungen des Shrems II-Urteil entsprechen; Implementierung von vertraglichen Grundlagen;
  • Ist dies nicht der Fall: Änderung der Standardvertragsklauseln und etwaiger daran geknüpfter Vereinbarungen (wie Betriebsvereinbarungen);
  •  Einführung von Compliance-Maßnahmen zur Einhaltung, Analyse und Evaluierung wirksamer internationaler Datenübermittlungen sowie zur Risikobewertung;
  • Sichtung der ggf. regional angepassten Fragenkataloge der Aufsichtsbehörden.

Eine gute Orientierungshilfe für wirksame Standardvertragsklauseln stellen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln dar.

Weiterführende Links

Eine Liste der Fragenkataloge und Pressemitteilungen der jeweiligen Aufsichtsbehörde finden Sie hier: Übersicht Pressemitteilungen und Fragenkataloge Aufsichtsbehörden.

405 beiträge

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Personalentwicklungs-Tools: Kommt der gläserne Mitarbeiter? (Video)

Unser Partner Dr. Burkard Göpfert spricht über den Einfluss von modernen Personalentwicklungs-Instrumenten, die in immer mehr Unternehmen eingesetzt werden. Denn sie bringen auch arbeitsrechtliche Fragen mit sich: Zum Beispiel, wie sie eingesetzt werden können, ohne die Rechte von Mitarbeitern und Mitarbeiter-Vertretungen zu verletzen.
Datenschutz Internationales Arbeitsrecht Luxemburg Neueste Beiträge

Tracking service vehicles in Luxembourg: data privacy pointers for employers

The Luxembourg data protection authority, the CNPD, recently fined an employer for failing to comply with the GDPR in its use of geolocation devices when tracking service vehicles. The decision highlights some key learning points for employers. On 8 April 2021, the Luxembourg National Commission for Data Protection (CNPD) imposed a fine of EUR 2,800 on an employer whose use of geolocation devices violated the…
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Einmal Ihr Passwort, bitte!“ – Welche Zugriffsrechte hat der Arbeitgeber auf das E-Mail-Postfach seiner Mitarbeiter?

Kommunikation durch E-Mails ist heutzutage eine Selbstverständlichkeit, die weder aus dem privaten noch aus dem dienstlichen Alltag wegzudenken ist. Dieser Beitrag beschäftigt sich mit dem Zusammentreffen von privater und dienstlicher Nutzung eines E-Mail-Postfaches und gibt Arbeitgebern, insbesondere vor dem Hintergrund der datenschutzrechtlichen Relevanz der Thematik, einen Überblick über ihre Zugriffsrechte – sowohl während des Arbeitsverhältnisses als auch danach. Arbeitgeber können aus verschiedenen Gründen Interesse an…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.