open search
close
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Print Friendly, PDF & Email

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen.

Der Wunsch nach einer reibungslosen Kommunikation im Home-Office während der Coronakrise hat viele Unternehmen zur Einführung von Chat- und Telefonsoftware wie MS Teams, Skype und Zoom bewegt. Was zunächst so einfach zu implementieren schien, offenbarte schnell, dass der Teufel im Detail steckt. Das Problem: Viele Cloudanbieter speichern Daten auch in Nicht-EU-Länder, sog. Drittstaaten, in denen die Übermittlung und Speicherung von Daten zunächst nur möglich ist, wenn ein dem europäischem Recht gleichwertiges Datenschutzniveau garantiert wird. Ähnliche Probleme ergeben sich auch im Rahmen von Angeboten für ausländische Projekte durch Weitergabe von Mitarbeiterprofilen. Was gilt also für den Arbeitgeber? Gibt es bereits verbindliche Vorgaben seitens der Aufsichtsbehörden oder der Europäischen Kommission?

Ein steiniger Weg

Hintergrund: Bereits im Juli letzten Jahres haben wir berichtet (Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt), dass der EuGH mit seinem Urteil vom 16. Juli 2021 (Rechtssache „Shrems II“) das sog. „Privacy Shield“, eine informelle Absprache auf dem Gebiet des Datenschutzes zum Datentransfer an entsprechend zertifizierte US-Unternehmen, gekippt hat. Damit rückte das Themenfeld rund um die Übermittlung von Daten in Drittstaaten erneut in den Fokus. Konkret bedeutet die Entscheidung, dass sämtliche Datenverarbeiter – also regelmäßig auch Unternehmen –, die ihre Übermittlung auf das Privacy Shield stützen, anderweitig für ein gleichwertiges Schutzniveau Sorge tragen müssen.

Eine Möglichkeit stellen hier sog. Standardvertragsklauseln dar, welche eine Garantie für ein hinreichendes Schutzniveau darstellen können. Diese müssen jedoch einer zusätzlichen Prüfung unterzogen werden, ob tatsächlich ein gleichwertiges Schutzniveau hergestellt wurde. Es wird insbesondere der Datenexporteur in der Pflicht gesehen, die Einzelfallprüfung vorzunehmen. Unternehmen wird dies häufig nicht gelingen. Insbesondere im Rahmen von Datentransfers über sog. Cloudanbieter können Unternehmen häufig nur versuchen, die Verantwortung in Richtung der Dienstleister zu verlagern.

Aber damit nicht genug: Koordinierte Prüfung internationaler Datentransfers durch die Aufsichtsbehörden angekündigt

Am 1. Juni 2021 haben die Aufsichtsbehörden verschiedener Bundesländer nunmehr entschieden, verunsicherten Unternehmen vor weitere Fragen zu stellen. Sie teilten mit, dass es zu  einer koordinierten, länderübergreifenden Prüfung internationaler Datentransfers kommt, um großflächig zu prüfen, ob ein gleichwertiges Schutzniveau nach den Anforderungen der „Shrems II“-Entscheidung auch tatsächlich eingehalten wird. Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Was droht genau?

Eine solche koordinierte Prüfung ist nicht neu. Bereits nachdem der EuGH das sog. „Safe Harbor“-Abkommen im Jahr 2015 für unwirksam erklärte, fassten die sich mehrere Datenschutzbehörden zusammen und führten unter der Federführung  des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte “Prüfaktion” durch (Compliance beim Datentransfer: Zur “Fragenbogenaktion” der Datenschutzbehörden). Kommt die Aufsichtsbehörde zu dem Ergebnis, dass einem unzulässigen Datentransfer gekommen ist, wird der Datentransfer wie auch im Falle dieser Prüfaktion zunächst ausgesetzt werden. Aber auch ein Verbot ist nicht auszuschließen. Unternehmen werden dabei nach dem Zufallsprinzip ausgewählt.

Was ist zu beachten?

Für Unternehmen empfiehlt sich die nachfolgende Vorgehensweise:

  • Sammlung sämtlicher zu Beantwortung der Fragebögen notwendigen Informationen, wie vertraglicher Vereinbarungen zu Dienstleistern etc., um diese im Fall einer Prüfung schnellstmöglich auszuhändigen;
  • Prüfung, ob die von Ihnen eingesetzten Standardvertragsklauseln den Anforderungen des Shrems II-Urteil entsprechen; Implementierung von vertraglichen Grundlagen;
  • Ist dies nicht der Fall: Änderung der Standardvertragsklauseln und etwaiger daran geknüpfter Vereinbarungen (wie Betriebsvereinbarungen);
  •  Einführung von Compliance-Maßnahmen zur Einhaltung, Analyse und Evaluierung wirksamer internationaler Datenübermittlungen sowie zur Risikobewertung;
  • Sichtung der ggf. regional angepassten Fragenkataloge der Aufsichtsbehörden.

Eine gute Orientierungshilfe für wirksame Standardvertragsklauseln stellen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln dar.

Weiterführende Links

Eine Liste der Fragenkataloge und Pressemitteilungen der jeweiligen Aufsichtsbehörde finden Sie hier: Übersicht Pressemitteilungen und Fragenkataloge Aufsichtsbehörden.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Internationales Arbeitsrecht Neueste Beiträge Urlaub

Perks for employees’ parents: unwrapping the new rules on holiday vouchers

Back in 2019, the government of Slovakia introduced what it called the ‘recreation allowance’ to boost domestic tourism. It requires certain employers to contribute financially to domestic trips taken by eligible employees. From 1 January 2025, the allowance will be extended to the parents of those employees. This is an innovative and, in many ways, welcome move, but it raises some questions about how employers…
Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Prozessrecht

Datenschutz ist kein Tatenschutz: Beweisverwertungsverbote vor dem Revival?

Nicht selten enthalten Betriebsvereinbarungen Beweisverwertungsverbote für den Fall, dass der Arbeitgeber personenbezogene Daten unter Verstoß gegen Vorschriften des Datenschutzes oder einer Betriebsvereinbarung verarbeitet. Solche Beweisverwertungsverbote sind jedoch nach der Rechtsprechung des BAG nicht zulässig. Dies liegt auf der Linie der verwertungsfreundlichen Rechtsprechung mit dem Grundsatz „Datenschutz ist kein Tatenschutz“. Diese Rechtsprechung gerät indes zunehmend in Bedrängnis, was ein Revival der Beweisverwertungsverbote bewirken könnte. Derzeit können…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert