open search
close
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Print Friendly, PDF & Email

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen.

Der Wunsch nach einer reibungslosen Kommunikation im Home-Office während der Coronakrise hat viele Unternehmen zur Einführung von Chat- und Telefonsoftware wie MS Teams, Skype und Zoom bewegt. Was zunächst so einfach zu implementieren schien, offenbarte schnell, dass der Teufel im Detail steckt. Das Problem: Viele Cloudanbieter speichern Daten auch in Nicht-EU-Länder, sog. Drittstaaten, in denen die Übermittlung und Speicherung von Daten zunächst nur möglich ist, wenn ein dem europäischem Recht gleichwertiges Datenschutzniveau garantiert wird. Ähnliche Probleme ergeben sich auch im Rahmen von Angeboten für ausländische Projekte durch Weitergabe von Mitarbeiterprofilen. Was gilt also für den Arbeitgeber? Gibt es bereits verbindliche Vorgaben seitens der Aufsichtsbehörden oder der Europäischen Kommission?

Ein steiniger Weg

Hintergrund: Bereits im Juli letzten Jahres haben wir berichtet (Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt), dass der EuGH mit seinem Urteil vom 16. Juli 2021 (Rechtssache „Shrems II“) das sog. „Privacy Shield“, eine informelle Absprache auf dem Gebiet des Datenschutzes zum Datentransfer an entsprechend zertifizierte US-Unternehmen, gekippt hat. Damit rückte das Themenfeld rund um die Übermittlung von Daten in Drittstaaten erneut in den Fokus. Konkret bedeutet die Entscheidung, dass sämtliche Datenverarbeiter – also regelmäßig auch Unternehmen –, die ihre Übermittlung auf das Privacy Shield stützen, anderweitig für ein gleichwertiges Schutzniveau Sorge tragen müssen.

Eine Möglichkeit stellen hier sog. Standardvertragsklauseln dar, welche eine Garantie für ein hinreichendes Schutzniveau darstellen können. Diese müssen jedoch einer zusätzlichen Prüfung unterzogen werden, ob tatsächlich ein gleichwertiges Schutzniveau hergestellt wurde. Es wird insbesondere der Datenexporteur in der Pflicht gesehen, die Einzelfallprüfung vorzunehmen. Unternehmen wird dies häufig nicht gelingen. Insbesondere im Rahmen von Datentransfers über sog. Cloudanbieter können Unternehmen häufig nur versuchen, die Verantwortung in Richtung der Dienstleister zu verlagern.

Aber damit nicht genug: Koordinierte Prüfung internationaler Datentransfers durch die Aufsichtsbehörden angekündigt

Am 1. Juni 2021 haben die Aufsichtsbehörden verschiedener Bundesländer nunmehr entschieden, verunsicherten Unternehmen vor weitere Fragen zu stellen. Sie teilten mit, dass es zu  einer koordinierten, länderübergreifenden Prüfung internationaler Datentransfers kommt, um großflächig zu prüfen, ob ein gleichwertiges Schutzniveau nach den Anforderungen der „Shrems II“-Entscheidung auch tatsächlich eingehalten wird. Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Was droht genau?

Eine solche koordinierte Prüfung ist nicht neu. Bereits nachdem der EuGH das sog. „Safe Harbor“-Abkommen im Jahr 2015 für unwirksam erklärte, fassten die sich mehrere Datenschutzbehörden zusammen und führten unter der Federführung  des Bayrischen Landesamtes für Datenschutzaufsicht eine so genannte “Prüfaktion” durch (Compliance beim Datentransfer: Zur “Fragenbogenaktion” der Datenschutzbehörden). Kommt die Aufsichtsbehörde zu dem Ergebnis, dass einem unzulässigen Datentransfer gekommen ist, wird der Datentransfer wie auch im Falle dieser Prüfaktion zunächst ausgesetzt werden. Aber auch ein Verbot ist nicht auszuschließen. Unternehmen werden dabei nach dem Zufallsprinzip ausgewählt.

Was ist zu beachten?

Für Unternehmen empfiehlt sich die nachfolgende Vorgehensweise:

  • Sammlung sämtlicher zu Beantwortung der Fragebögen notwendigen Informationen, wie vertraglicher Vereinbarungen zu Dienstleistern etc., um diese im Fall einer Prüfung schnellstmöglich auszuhändigen;
  • Prüfung, ob die von Ihnen eingesetzten Standardvertragsklauseln den Anforderungen des Shrems II-Urteil entsprechen; Implementierung von vertraglichen Grundlagen;
  • Ist dies nicht der Fall: Änderung der Standardvertragsklauseln und etwaiger daran geknüpfter Vereinbarungen (wie Betriebsvereinbarungen);
  •  Einführung von Compliance-Maßnahmen zur Einhaltung, Analyse und Evaluierung wirksamer internationaler Datenübermittlungen sowie zur Risikobewertung;
  • Sichtung der ggf. regional angepassten Fragenkataloge der Aufsichtsbehörden.

Eine gute Orientierungshilfe für wirksame Standardvertragsklauseln stellen die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln dar.

Weiterführende Links

Eine Liste der Fragenkataloge und Pressemitteilungen der jeweiligen Aufsichtsbehörde finden Sie hier: Übersicht Pressemitteilungen und Fragenkataloge Aufsichtsbehörden.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme – Teil 1: Workday

Bei der Einführung komplexer IT-Systeme mit umfangreichen Beständen an personenbezogenen Daten ist die Wahrung der betrieblichen Mitbestimmung ein wichtiger Zeit- und Kostenfaktor. Dies gilt regelmäßig auch dann, wenn bereits eine IT-Rahmen-Betriebsvereinbarung vorhanden ist. Die Nutzungszwecke und der Umfang der Verhaltens- und Leistungskontrolle müssen hier von den Betriebsparteien regelmäßig konkret (ggf. in Abweichung von der Rahmenvereinbarung) justiert werden. Wir stellen in einer neuen Reihe von Beiträgen…
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge Video

Politisches Hin und Her um den Beschäftigtendatenschutz

Seit Oktober letzten Jahres hat es diverse Stellungnahmen für und gegen spezielle Regelungen für den Beschäftigtendatenschutz gegeben, die über die jetzige, sehr knapp gefasste Norm des § 26 BDSG hinausgehen sollen. Für solche Regelungen stimmen u.a. die Koalitionsvereinbarung der Regierungsparteien, ein vom BMAS eingesetzter Beirat und der DGB. Gegen weitere Regelungen stimmen die vom BMI durchgeführte Evaluierung des BDSG sowie jüngst ein Antrag des Freistaat…
Betriebsrat Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Show me what you got? Betriebsrat und Art. 30 DSGVO

Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick. Die Pflicht zur Führung eines Verarbeitungsverzeichnisses Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert