open search
close
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Print Friendly, PDF & Email

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen.

Der Wunsch nach einer reibungslosen Kommunikation im Home-Office während der Coronakrise hat viele Unternehmen zur Einführung von Chat- und Telefonsoftware wie MS Teams, Skype und Zoom bewegt. Was zunächst so einfach zu implementieren schien, offenbarte schnell, dass der Teufel im Detail steckt. Das Problem: Viele Cloudanbieter speichern Daten auch in Nicht-EU-Länder, sog. Drittstaaten, in denen die Übermittlung und Speicherung von Daten zunächst nur möglich ist, wenn ein dem europäischem Recht gleichwertiges Datenschutzniveau garantiert wird. Ähnliche Probleme ergeben sich auch im Rahmen von Angeboten für ausländische Projekte durch Weitergabe von Mitarbeiterprofilen. Was gilt also für den Arbeitgeber? Gibt es bereits verbindliche Vorgaben seitens der Aufsichtsbehörden oder der Europäischen Kommission?

Ein steiniger Weg

Hintergrund: Bereits im Juli letzten Jahres haben wir berichtet (Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt), dass der EuGH mit seinem Urteil vom 16. Juli 2021 (Rechtssache „Shrems II“) das sog. „Privacy Shield“, eine informelle Absprache auf dem Gebiet des Datenschutzes zum Datentransfer an entsprechend zertifizierte US-Unternehmen, gekippt hat. Damit rückte das Themenfeld rund um die Übermittlung von Daten in Drittstaaten erneut in den Fokus. Konkret bedeutet die Entscheidung, dass sämtliche Datenverarbeiter – also regelmäßig auch Unternehmen –, die ihre Übermittlung auf das Privacy Shield stützen, anderweitig für ein gleichwertiges Schutzniveau Sorge tragen müssen.

Eine Möglichkeit stellen hier sog. Standardvertragsklauseln dar, welche eine Garantie für ein hinreichendes Schutzniveau darstellen können. Diese müssen jedoch einer zusätzlichen Prüfung unterzogen werden, ob tatsächlich ein gleichwertiges Schutzniveau hergestellt wurde. Es wird insbesondere der Datenexporteur in der Pflicht gesehen, die Einzelfallprüfung vorzunehmen. Unternehmen wird dies häufig nicht gelingen. Insbesondere im Rahmen von Datentransfers über sog. Cloudanbieter können Unternehmen häufig nur versuchen, die Verantwortung in Richtung der Dienstleister zu verlagern.

Aber damit nicht genug: Koordinierte Prüfung internationaler Datentransfers durch die Aufsichtsbehörden angekündigt

Am 1. Juni 2021 haben die Aufsichtsbehörden verschiedener Bundesländer nunmehr entschieden, verunsicherten Unternehmen vor weitere Fragen zu stellen. Sie teilten mit, dass es zu  einer koordinierten, länderübergreifenden Prüfung internationaler Datentransfers kommt, um großflächig zu prüfen, ob ein gleichwertiges Schutzniveau nach den Anforderungen der „Shrems II“-Entscheidung auch tatsächlich eingehalten wird. Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Was droht genau?

Eine solche koordinierte Prüfung ist nicht neu. Bereits nachdem der EuGH das sog. „Safe Harbor“-Abkommen im Jahr 2015 für unwirksam erklärte, fassten die sich mehrere Datenschutzbehörden zusammen und führten unter der Federführung  des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte “Prüfaktion” durch (Compliance beim Datentransfer: Zur “Fragenbogenaktion” der Datenschutzbehörden). Kommt die Aufsichtsbehörde zu dem Ergebnis, dass einem unzulässigen Datentransfer gekommen ist, wird der Datentransfer wie auch im Falle dieser Prüfaktion zunächst ausgesetzt werden. Aber auch ein Verbot ist nicht auszuschließen. Unternehmen werden dabei nach dem Zufallsprinzip ausgewählt.

Was ist zu beachten?

Für Unternehmen empfiehlt sich die nachfolgende Vorgehensweise:

  • Sammlung sämtlicher zu Beantwortung der Fragebögen notwendigen Informationen, wie vertraglicher Vereinbarungen zu Dienstleistern etc., um diese im Fall einer Prüfung schnellstmöglich auszuhändigen;
  • Prüfung, ob die von Ihnen eingesetzten Standardvertragsklauseln den Anforderungen des Shrems II-Urteil entsprechen; Implementierung von vertraglichen Grundlagen;
  • Ist dies nicht der Fall: Änderung der Standardvertragsklauseln und etwaiger daran geknüpfter Vereinbarungen (wie Betriebsvereinbarungen);
  •  Einführung von Compliance-Maßnahmen zur Einhaltung, Analyse und Evaluierung wirksamer internationaler Datenübermittlungen sowie zur Risikobewertung;
  • Sichtung der ggf. regional angepassten Fragenkataloge der Aufsichtsbehörden.

Eine gute Orientierungshilfe für wirksame Standardvertragsklauseln stellen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln dar.

Weiterführende Links

Eine Liste der Fragenkataloge und Pressemitteilungen der jeweiligen Aufsichtsbehörde finden Sie hier: Übersicht Pressemitteilungen und Fragenkataloge Aufsichtsbehörden.

Verwandte Beiträge
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten. Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt…
Datenschutz Neueste Beiträge

Führt Datenschutz zu Tatenschutz?

Kann die Einhaltung von datenschutzrechtlichen Bestimmungen durch den Arbeitgeber interne Ermittlungen im Unternehmen beeinflussen? Der Dieselskandal oder der Wirbel bei der Bild um Julian Reichelt zeigen die Bedeutung von internen Untersuchungen, sog. Internal Investigation. Sie sind ein wichtiges Instrument, um in Unternehmen dem Verdacht arbeitsvertraglicher Pflichtverstöße nachzugehen und Missstände aufzudecken. Sollen Aufklärungs- und Ermittlungsmaßnahmen effektiv und erfolgsversprechend sein, führt typischerweise kein Weg an einer datenintensiven…
Arbeitsrecht in der Pandemie Datenschutz Individualarbeitsrecht Neueste Beiträge

Bring Your Own Device – Chancen und Risiken der dienstlichen Nutzung privater Endgeräte

Viele Arbeitgeber bieten ihren Arbeitnehmern an, ihre privaten mobilen Endgeräte (wie z.B. Smartphones, Tablet-PC’s, Laptops etc.) auch für betriebliche Zwecke zu nutzen. Hinter diesem Trend verbirgt sich die Bezeichnung „Bring Your Own Device“ (BYOD). Gesteigerte Relevanz entfaltet die Thematik rund um BYOD auch vor dem Hintergrund der aktuellen pandemischen Lage in Deutschland und der jüngsten Anordnung der Bundesregierung, wonach Arbeitgeber ihren Arbeitnehmern (sofern möglich) Homeoffice…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.