Personaldaten in der Cloud – was ist beim Abschluss der EU-Standardvertragsklauseln mit Cloud-Anbietern außerhalb Europas zu beachten?

smiling woman standing beside smiling man pointing MacBook
Foto von Mimi Thian

1. Anwendbares Recht

Unabhängig davon, in welchem Staat sich der Cloud-Anbieter befindet, sind die Normen des Bundesdatenschutzgesetzes (BDSG) für die Verarbeitung von personenbezogenen Personal-und/oder Bewerberdaten durch ein in Deutschland ansässiges Unternehmen anzuwenden. Die Anwendbarkeit des BDSG gilt unabhängig davon, ob die Server des Cloud-Anbieters im Ausland stehen oder nicht. Entscheidend ist hier allein, dass das deutsche Unternehmen als sogenannte „verantwortliche Stelle“  die Daten verarbeitet.

3. Empfehlungen

Abschließend bleibt festzuhalten, dass durch den Abschluss von EU-Standardvertragsklauseln ein angemessenes Datenschutzniveau hergestellt werden kann und auch cloud-basierte Lösungen außerhalb der EU hierdurch genutzt werden können. Nichtsdestotrotz sei darauf hingewiesen, dass derzeit sowohl das mit den USA bestehende Safe Harbor Abkommen als auch die EU Standardvertragsklauseln nach der NSA-Affäre stark in der Kritik stehen und es Bestrebungen seitens der EU Kommission gibt, beide Verfahren einzustellen bzw. abzuändern. Auch tendieren einige deutsche Datenschutzbehörden dazu, Verträge unter dem Safe Harbor Abkommen als nicht mehr wirksam zu betrachten. Im Hinblick darauf ist zumindest derzeit der Abschluss der EU Standardvertragsklauseln vorzugswürdig. In jedem Fall sollten unbedingt die aktuellen Entwicklungen im Auge behalten werden.

——————————————————————————

Fotocredit: © Tony Hegewald | www.pixelio.de

2. Zulässigkeit der Verarbeitung von
Mitarbeiter- und/oder Bewerberdaten
außerhalb der
EU

Nach dem deutschen BDSG ist zunächst einmal lediglich die Verarbeitung von personenbezogenen Daten innerhalb der EU bzw. des europäischen Wirtschaftsraumes zulässig und durch das Gesetz legitimiert. Sofern personenbezogene Daten außerhalb der EU bzw. der EWR verarbeitet werden sollen, bestehen im Grunde zwei Möglichkeiten dies datenschutzkonform zu gestalten:

Erste Möglichkeit

Einwilligung der betroffenen Mitarbeiter und /
oder Bewerber in die Datenübermittlung

Zweite Möglichkeit

Gewährleistung eines angemessenen
Datenschutzniveaus des Cloud-Anbieters

Ein angemessenes Datenschutzniveau kann unterschiedlich erreicht werden. Zunächst einmal gibt sogenannte „sichere Drittländer“ bei denen per se bzw. nach Feststellung der EU Kommission ein angemessenes Datenschutzniveau gewährleistet ist und keine weiteren Maßnahmen für die Übermittlung von personenbezogenen Daten in diesen Ländern zu treffen ist. Beispielsweise zählen hierunter die Schweiz, Argentinien, Australien, Kanada, Israel und Neuseeland. Insgesamt zählen zur Zeit 14 Länder weltweit zu den sicheren Drittstaaten. Eine Liste der Länder kann hier abgerufen werden.

EU Standardvertragsklauseln zur Auftragsdatenverarbeitung

Sofern eine Datenübermittlung an einen Cloud-Anbieter in einem Staat erfolgen soll, der nicht in der Liste der sicheren Drittstaaten enthalten ist, besteht eine weitere Möglichkeit die sog. EU Standardvertragsklauseln zur Auftragsdatenverarbeitung abzuschließen.

Die EU Standardvertragsklauseln sind ein festgeschriebenes Klauselwerk der EU Kommission, die beim Abschluss dieses Vertrages ein angemessenes Datenschutzniveau laut der Kommission gewährleisten und dann keine weiteren Maßnahmen mehr erforderlich machen. Diese Klauseln sollen auf vertraglicher Ebene sicherstellen, dass der ausländische Auftragsdatenverarbeiter zu einem Verhalten verpflichtet wird, das im Ergebnis das europäische Datenschutzniveau gewährleitet ist.

Wichtig ist hierbei jedoch, den richtigen Vertrag zu wählen. Es gibt grundsätzlich zwei Varianten der Standardvertragsklauseln, einmal wird der Datentransfer zwischen zwei verantwortlichen Stellen geregelt und in der anderen Version der Datenaustausch im Rahmen einer Auftragsdatenverarbeitung, was Cloud-Lösungen bei einem Drittdienstleister in der Regel darstellen.

Daher sollten die EU-Standardvertragsklauseln (Auftragsdatenverarbeiter) in der Fassung von 2010 genutzt werden. Bei deren Verwendung ist unbedingt sicherzustellen, dass die Standardvertragsklauseln keinesfalls geändert werden. Sofern die Standardvertragsklauseln geändert werden, bedeutet dies die Unwirksamkeit des Vertrages und das dadurch herzustellende angemessene Datenschutzniveau wird nicht mehr erreicht. Allerdings ist es möglich und im Rahmen der Verarbeitung von Mitarbeiterdaten auch notwendig, dass diese Standardvertragsklauseln ergänzt werden.

Was ist bei Personaldaten zu beachten?

Das oben erwähnte Klauselwerk ist am besten geeignet für die Nutzung von cloudbasierten Personalmanagementlösungen. Das Klauselwerk sieht ausdrücklich die Möglichkeit vor, die Standardvertragsklauseln durch einen Vertrag zu ergänzen, der die kommerziellen Fragen regelt – darüber hinaus können im Anhang B die zu transferieren Daten beschrieben, angepasst und ergänzt werden. Dies stellt einen großen Vorteil dar, sofern es zu Änderungen des Datentransfers  oder der Verarbeitung kommt.

Darüber hinaus ist dies auch gerade im Hinblick auf die Ansicht der deutschen Datenschutzbehörden wichtig, denn aus deren Sicht ist der Standardvertrag nicht für die Übermittlung von Arbeitnehmer- bzw. Bewerberdaten geeignet. Der Grund hierfür ist, dass nach dem deutschen Recht Arbeitnehmern und Bewerbern umfangreiche Ansprüche aus Auskunft, Löschung, Berichtigung und Schadenersatz gegenüber der datenverarbeitenden Stelle zustehen. Nach den Standardvertragsklauseln besteht aber die Möglichkeit, dass der Auftraggeber die Erfüllung dieser Ansprüche auf den Auftragnehmer überträgt und dies würde in Widerspruch zum deutschen Recht stehen. 

Daher ist dringend zu empfehlen, die oben genannte Standardvertragsklauseln zu wählen und eine ergänzende Vereinbarung zu treffen, wie das Verfahren bei Auskunftsansprüchen abläuft, so dass die deutschen Vorgaben des BDSG eingehalten werden.

Im Rahmen der konzernweiten Datenübertragung an Konzernunternehmen außerhalb der EU/EWR gibt es noch eine weitere Möglichkeit der sog. Corporate Binding Rules. Auch über eine solche rechtlich verbindliche Implementierung von Unternehmensregelungen kann ein angemessenes Datenschutzniveau sichergestellt werden. Dies ist allerdings ein recht zeitaufwendiges Verfahren, dass nur großen internationalen Konzernen oder bei einer weltweit stark verzweigten Unternehmensstruktur zu empfehlen ist.

USA

Neben der Möglichkeit des Abschlusses der EU Standardvertragsklauseln gibt es noch das Safe-Harbor Abkommen mit den USA, welches ebenfalls ein angemessenes Datenschutzniveau sicherstellen kann. Hierbei können sich US-Unternehmen selbst den Safe Harbor Prinzipien unterwerfen. Dies ist aber auch gleichzeitig häufiger Kritikpunkt, da keine Überprüfung der Unternehmen erfolgt sondern nur eine reine Selbstverpflichtung besteht.

Melde dich jetzt zum HRM Newsletter an