open search
close
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Print Friendly, PDF & Email

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen.

Der Wunsch nach einer reibungslosen Kommunikation im Home-Office während der Coronakrise hat viele Unternehmen zur Einführung von Chat- und Telefonsoftware wie MS Teams, Skype und Zoom bewegt. Was zunächst so einfach zu implementieren schien, offenbarte schnell, dass der Teufel im Detail steckt. Das Problem: Viele Cloudanbieter speichern Daten auch in Nicht-EU-Länder, sog. Drittstaaten, in denen die Übermittlung und Speicherung von Daten zunächst nur möglich ist, wenn ein dem europäischem Recht gleichwertiges Datenschutzniveau garantiert wird. Ähnliche Probleme ergeben sich auch im Rahmen von Angeboten für ausländische Projekte durch Weitergabe von Mitarbeiterprofilen. Was gilt also für den Arbeitgeber? Gibt es bereits verbindliche Vorgaben seitens der Aufsichtsbehörden oder der Europäischen Kommission?

Ein steiniger Weg

Hintergrund: Bereits im Juli letzten Jahres haben wir berichtet (Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt), dass der EuGH mit seinem Urteil vom 16. Juli 2021 (Rechtssache „Shrems II“) das sog. „Privacy Shield“, eine informelle Absprache auf dem Gebiet des Datenschutzes zum Datentransfer an entsprechend zertifizierte US-Unternehmen, gekippt hat. Damit rückte das Themenfeld rund um die Übermittlung von Daten in Drittstaaten erneut in den Fokus. Konkret bedeutet die Entscheidung, dass sämtliche Datenverarbeiter – also regelmäßig auch Unternehmen –, die ihre Übermittlung auf das Privacy Shield stützen, anderweitig für ein gleichwertiges Schutzniveau Sorge tragen müssen.

Eine Möglichkeit stellen hier sog. Standardvertragsklauseln dar, welche eine Garantie für ein hinreichendes Schutzniveau darstellen können. Diese müssen jedoch einer zusätzlichen Prüfung unterzogen werden, ob tatsächlich ein gleichwertiges Schutzniveau hergestellt wurde. Es wird insbesondere der Datenexporteur in der Pflicht gesehen, die Einzelfallprüfung vorzunehmen. Unternehmen wird dies häufig nicht gelingen. Insbesondere im Rahmen von Datentransfers über sog. Cloudanbieter können Unternehmen häufig nur versuchen, die Verantwortung in Richtung der Dienstleister zu verlagern.

Aber damit nicht genug: Koordinierte Prüfung internationaler Datentransfers durch die Aufsichtsbehörden angekündigt

Am 1. Juni 2021 haben die Aufsichtsbehörden verschiedener Bundesländer nunmehr entschieden, verunsicherten Unternehmen vor weitere Fragen zu stellen. Sie teilten mit, dass es zu  einer koordinierten, länderübergreifenden Prüfung internationaler Datentransfers kommt, um großflächig zu prüfen, ob ein gleichwertiges Schutzniveau nach den Anforderungen der „Shrems II“-Entscheidung auch tatsächlich eingehalten wird. Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Was droht genau?

Eine solche koordinierte Prüfung ist nicht neu. Bereits nachdem der EuGH das sog. „Safe Harbor“-Abkommen im Jahr 2015 für unwirksam erklärte, fassten die sich mehrere Datenschutzbehörden zusammen und führten unter der Federführung  des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte “Prüfaktion” durch (Compliance beim Datentransfer: Zur “Fragenbogenaktion” der Datenschutzbehörden). Kommt die Aufsichtsbehörde zu dem Ergebnis, dass einem unzulässigen Datentransfer gekommen ist, wird der Datentransfer wie auch im Falle dieser Prüfaktion zunächst ausgesetzt werden. Aber auch ein Verbot ist nicht auszuschließen. Unternehmen werden dabei nach dem Zufallsprinzip ausgewählt.

Was ist zu beachten?

Für Unternehmen empfiehlt sich die nachfolgende Vorgehensweise:

  • Sammlung sämtlicher zu Beantwortung der Fragebögen notwendigen Informationen, wie vertraglicher Vereinbarungen zu Dienstleistern etc., um diese im Fall einer Prüfung schnellstmöglich auszuhändigen;
  • Prüfung, ob die von Ihnen eingesetzten Standardvertragsklauseln den Anforderungen des Shrems II-Urteil entsprechen; Implementierung von vertraglichen Grundlagen;
  • Ist dies nicht der Fall: Änderung der Standardvertragsklauseln und etwaiger daran geknüpfter Vereinbarungen (wie Betriebsvereinbarungen);
  •  Einführung von Compliance-Maßnahmen zur Einhaltung, Analyse und Evaluierung wirksamer internationaler Datenübermittlungen sowie zur Risikobewertung;
  • Sichtung der ggf. regional angepassten Fragenkataloge der Aufsichtsbehörden.

Eine gute Orientierungshilfe für wirksame Standardvertragsklauseln stellen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln dar.

Weiterführende Links

Eine Liste der Fragenkataloge und Pressemitteilungen der jeweiligen Aufsichtsbehörde finden Sie hier: Übersicht Pressemitteilungen und Fragenkataloge Aufsichtsbehörden.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung Top-Management Vergütung

Top 6 des Jahres 2023 aus arbeitsrechtlicher Sicht

Das Jahr 2023 ist nun beinahe wieder vorbei. Zur Anheizung der weihnachtlichen Vorfreude lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an besonders beachtenswerten und für das Arbeitsrecht relevanten Urteilen – u.a. zu den Themen Equal Pay, Beweisverwertungsverbote, Geschäftsführerhaftung, Outsourcing und Strafrecht. Wie in jedem Jahr gab es auch in 2023 wieder einige Gerichtsentscheidungen, die in einem arbeitsrechtlichen Jahresrückblick nicht fehlen dürfen. Unsere diesjährigen…
Internationales Arbeitsrecht Neueste Beiträge

Belgium’s new whistleblowing law

The EU Whistleblowing Directive has been implemented in Belgium and SMEs have only until 17 December to act. Here we consider some of the key details of the new Belgian legislation. Background The EU Whistleblowing Directive had to be transposed into Belgian national law by 17 December 2021 at the latest. This deadline was not met by Belgium. The Directive was, however, transposed into Belgian…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert