ENTSCHEIDUNG

Der EuGH stellte fest, dass die Safe-Harbour-Entscheidung mit den Vorgaben der EU-Datenschutzrichtlinie (95/46/EG), die bei einer Übermittlung personenbezogener Daten in ein Nicht-EU-Land dort ein angemessenes Datenschutzniveau verlangt, unvereinbar und daher ungültig ist. Wesentlicher Grund dieser Entscheidung war der Umstand, dass nach Auffassung der Luxemburger Richter in den USA staatliche Erhebungen personenbezogener Daten ohne eine hinreichende Begrenzung möglich sind und die Betroffenen weder über solche Eingriffe informiert werden, noch über Rechtsbehelfe verfügen, die einen Zugang zu den betreffenden Daten oder deren Löschung oder Änderung ermöglichen.

Auch bisher war in den USA nach Auffassung der EU-Kommission kein dem europäischem Datenschutz vergleichbares Schutzniveau gewährleistet. Die nunmehr für ungültig erklärte Safe-Harbour-Entscheidung der Kommission ermöglichte bislang dennoch einen Datentransfer, soweit sich der Empfänger zur Einhaltung bestimmter Standards verpflichtete (und so einen „sicheren Hafen“ für Daten schaffte).

Jedoch sah der EuGH aufgrund der umfangreichen staatlichen Befugnisse zur Datenkontrolle in den Vereinigten Staaten ein entsprechendes Schutzniveau selbst bei entsprechender Verpflichtung des Empfängers als nicht gewährleistet an. Daher verstößt die Safe-Harbour-Entscheidung der Kommission gegen die geltende Datenschutzrichtlinie und ist somit unwirksam.

gray laptop computer on brown wooden table beside person sitting on chair
Foto von Parker Byrd

KONSEQUENZEN

Künftig ist eine Übermittlung personenbezogener Daten, insbesondere von Arbeitnehmerdaten durch den Arbeitgeber, in die USA auf Grundlage der Safe-Harbour-Entscheidung nicht mehr möglich.

Dies betrifft vor allem den Datentransfer im Rahmen von Konzernverhältnissen, aber zum Beispiel auch die Auslagerung von Daten im Rahmen von Cloud-Lösungen oder ein Hosting von Daten auf in den Vereinigten Staaten befindlichen Servern, bzw. eine Auftragsdatenverarbeitung durch amerikanische Dienstleister.

Jedoch sind nicht nur große Internetunternehmen oder internationale Konzerne hiervon betroffen, sondern alle Unternehmen, deren in der EU erhobenen personenbezogenen Daten in irgendeiner Weise in die USA transferiert werden. Zweifelhaft ist, ob der Einsatz anderer Instrumente, bspw. von sog. Standardvertragsklauseln oder Binding Corporate Rules (BCR), durch die sich der Empfänger zur Einhaltung eines bestimmten Datenschutzniveaus verpflichtet, künftig einen entsprechenden Datentransfer in die USA ermöglichen kann. Die EU-Kommission hat in einer Verlautbarung vom 6.11.2015 beide Instrumente als mögliche Grundlage eines künftigen Datentransfers genannt, jedoch mit der Einschränkung, dass diese im Licht der Schrems-Entscheidung zu überprüfen sind. Da der EuGH die extensiven – insbesondere anlasslosen – staatlichen Eingriffsmöglichkeiten „in den sicheren Hafen“ zur Begründung seiner Entscheidung herangezogen hat, ist aber davon auszugehen, dass diese Bedenken auch einer Verwendung von Standardvertragsklauseln oder BCR entgegenstehen. Gleiches gilt auch für Einzelfallgenehmigungen, zum Beispiel gem. § 4c Abs. 2 BDSG (bzw. entsprechender europarechtlicher Grundlagen).

Ferner kann eine Datenübermittlung in ein Nicht-EU-Land auch dann und ohne weitere Voraussetzungen erfolgen, wenn dies zur Erfüllung eines Vertrags erforderlich ist, oder mit Einwilligung des Betroffenen erfolgt. Beides trifft aber zumindest bei der Übermittlung von Arbeitnehmerdaten nicht zu.

Handelt es sich um einen in Deutschland (bzw. innerhalb der EU) ansässigen Arbeitgeber, dürfte eine Übermittlung von Arbeitnehmerdaten in die USA zum Zweck der Vertragserfüllung regelmäßig nicht erforderlich sein. Im Übrigen werden Einwilligungen des Beschäftigten aufgrund des für das Arbeitsverhältnis typischen Hierarchieverhältnisses üblicherweise für unwirksam erachtet. Mangels Rechtsgrundlage wird die Übermittlung von Arbeitnehmerdaten in die USA daher künftig wohl grundsätzlich nicht mehr zulässig sein.

Quelle: Arbeit und Arbeitsrecht · 4 / 16 | www.arbeit-und-arbeitsrecht.de

PRAXISTIPP

Einige Datenschutzbehörden haben bereits eine enge Auslegung der EuGH-Rechtsprechung  angekündigt. Daher ist mit einer konsequenten Verfolgung von Verstößen zu rechnen. Unternehmen sollten deshalb unverzüglich klären, ob und ggf. in welcher Weise ein Transfer von Mitarbeiterdaten in die Vereinigten Staaten, ggf. im Rahmen von Cloud-Lösungen oder durch Subdienstleister stattfindet.

Erfolgt ein solcher Datentransfer ohne erforderliche rechtliche Grundlage – wovon durch die EuGH-Entscheidung nunmehr auszugehen ist –, muss man unverzüglich eine Rückholung der Daten in die Wege leiten und für eine datenschutzrechtlich einwandfreie Speicherung sorgen. Da datenschutzrechtliche Verstöße, wie eine unzulässige Datenübermittlung in die USA, erhebliche Sanktionen (Bußgelder bis zu 300.000 Euro, Abmahnungen, Unterlassungs- und Schadensersatzansprüche) sowie erhebliche Reputationsschäden zur Folge haben können, ist eine konsequente Umsetzung des Urteils unabdingbar.


PROBLEMPUNKT

Dem Urteil lag ein Rechtsstreit zwischen dem irischen Datenschutzbeauftragten und Herrn Schrems, einem Nutzer des Internetdienstes Facebook, zugrunde. Die Anmeldung bei Facebook erfolgte über die für Europa zuständige Tochtergesellschaft von Facebook in Irland. Herr Schrems war mit der Übertragung seiner Nutzerdaten an die US-amerikanischen Server des Mutterkonzerns nicht einverstanden und wandte sich daher an den irischen Datenschutzbeauftragten. Dieser lehnte aufsichtsrechtliche Maßnahmen gegen Facebook mit der Begründung ab, die Safe-Harbour-Entscheidung der EU-Kommission (2000/520/EG), die eine datenschutzrechtliche Grundlage der Übermittlung von personenbezogenen Daten, zum Beispiel Arbeitnehmer- oder Kundendaten, in die USA bildete, erlaube eine solche Datenübermittlung. Facebook sei im Sinne dieser Entscheidung zertifiziert, wodurch ein angemessenes Datenschutzniveau sichergestellt sei.

Gegen diese Entscheidung ging Herr Schrems gerichtlich vor. Der irische High Court legte sodann dem EuGH die Frage vor, ob die Auffassung des irischen Datenschutzbeauftragten europarechtskonform sei.