16
Jul
2020

„Schrems II“ und die Auswirkungen auf den Beschäftigtendatenschutz

Jede Übermittlung von personenbezogenen Daten in Länder außerhalb der EU/ des EWR bedarf einer besonderen rechtlichen Absicherung. Bei der Übermittlung von personenbezogenen Daten in die USA konnten sich Unternehmen dazu bislang auf eine Zertifizierung nach dem „EU/US Privacy Shield“ des Datenempfängers stützen. Der Europäische Gerichtshof hat durch Urteil vom 16. Juli 2020 (C-311/18, „Schrems II“) diesen Mechanismus für unwirksam erklärt. Dies kann auch Auswirkungen auf die Übermittlung von Beschäftigtendaten haben.

Lagern Unternehmen Aufgaben an externe Dienstleister in Drittstaaten aus, kann der Dienstleister zur Wahrnehmung der Aufgaben auf die Übermittlung von personenbezogenen Beschäftigtendaten angewiesen sein. Auch in Konzernstrukturen kann die Übermittlung von personenbezogenen Beschäftigtendaten in Drittstaaten notwendig sein, wenn eine Konzerngesellschaft Dienstleistungen für eine andere erbringt.

Seit Sommer 2016 konnten sich Datenempfänger in den USA für das so genannte „EU/US Privacy Shield“ zertifizieren lassen und auf diese Weise den Anforderungen der EU-Datenschutzbestimmungen an den Drittlandtransfer der personenbezogenen Daten genügen.

Der Europäische Gerichtshof hat nunmehr entschieden, dass das EU/US Privacy Shield kein angemessenes Schutzniveau bietet. Das bedeutet, dass jede Übermittlung von personenbezogenen Beschäftigtendaten in die USA nunmehr unzulässig ist, sofern sie ausschließlich auf dem Privacy Shield basiert.

Wenn Unternehmen vermeiden wollen, in unzulässiger Art und Weise personenbezogene Beschäftigtendaten an Konzerngesellschaften oder externe Dienstleister in die USA zu übermitteln, sollten sie zügig überprüfen, mit welchem Instrument dieser Datentransfer derzeit datenschutzrechtlich abgesichert wird. Sollte dies ausschließlich das „EU/US Privacy Shield“ sein, bedarf es nunmehr zwingend der Wahl einer anderen Garantie im Sinne von Art. 44 ff. Datenschutzgrundverordnung (DSGVO). Auch wenn die Datenschutzbehörden sicherlich eine gewisse Übergangsphase gewähren dürften, sind spätestens im Anschluss nicht unerhebliche Bußgelder zu befürchten, sofern der Drittlandtransfer nicht datenschutzrechtlich abgesichert ist.

Ebenso werden sowohl die Datenschutzbeauftragten als auch die Betriebsräte diese Entwicklungen genau beobachten. Nach § 80 Abs. 1 Nr. 1 BetrVG besteht eine Überwachungspflicht der Betriebsräte hinsichtlich der Einhaltung der Vorschriften der DSGVO und des Bundesdatenschutzgesetzes. Auch wenn sich aus der Überwachungspflicht kein Anspruch auf Einhaltung einer Rechtsvorschrift ergibt, ist vor dem Hintergrund etwaiger Bußgelder auf die Umsetzung des Urteils des Europäischen Gerichtshofs zu achten. Abhängig von der bisherigen (betrieblichen) Praxis kann es daher notwendig sein, Betriebsvereinbarungen oder Intra Group Agreements zur unternehmensweiten Datenverarbeitung und -übermittlung anzupassen.

Dabei ist zu beachten, dass der Betriebsrat seinerseits aus datenschutzrechtlicher Sicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO sein kann, auch wenn dies das Bundesarbeitsgericht bislang offen gelassen hat (BAG, Beschluss vom 9. April 2019 – 1 ABR 51/17; dafür: LAG Sachsen-Anhalt, Beschluss vom 18. Dezember 2018 – 4 TaBV 19/17; LAG Hessen, Beschluss vom 10. Dezember 2018 – 16 TaBV 130/18).

Die grundlegenden Hintergründe und weitere Handlungsempfehlungen zu der Entscheidung des Europäischen Gerichtshofs erläutern unsere Datenschutz-Experten in diesem Blogbeitrag.