Herzlich willkommen!

Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…

Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!

Ihr PWWL-Redaktionsteam

Christine Wahlig (Rechtsanwältin – Redaktionelle Leitung Blog) & Alice Tanke (Marketing Managerin)

Spotlights

Update Arbeitnehmerdatenschutz: Neue EU-Standarddatenschutzklauseln für internationalen Datentransfer

MW_PWWL_AltColor_72

Arbeitgeber aufgepasst!

Wer für die Übermittlung von Arbeitnehmerdaten in Drittländer auf die alten Standarddatenschutzklauseln zurückgreift, sollte bald aktiv werden. Im Juni 2021 hat die Kommission neue Standarddatenschutzklauseln veröffentlicht und Arbeitgebern, die noch die alten Standarddatenschutzklauseln verwenden, eine Übergangsfrist zur Anpassung der Standarddatenschutzklauseln von 18 Monaten gewährt. Die Frist endet im Laufe des nächsten Jahres.

Rechtfertigungsbedarf bei Verarbeitung von Mitarbeiterdaten

Personenbezogene Daten von Mitarbeitern dürfen nur verarbeitet werden, sofern ein datenschutzrechtlicher Rechtfertigungstatbestand existiert. In Arbeitsverhältnissen dient als Rechtfertigungstatbestand vornehmlich § 26 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes („BDSG“), nach dem personenbezogene Daten von Beschäftigten dann verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte oder Pflichten erforderlich ist. Eine Datenverarbeitung von Mitarbeiterdaten kann zudem auf Grundlage einer Einwilligung oder unter den weiteren Voraussetzungen des Art. 6 DSGVO erfolgen.

Zusätzliche Anforderungen bei Übermittlungen von Mitarbeiterdaten an Drittländer 

Weitere Voraussetzungen müssen vorliegen, sofern personenbezogene Daten von Mitarbeitern in ein Drittland übermittelt werden sollen. Für eine solche Datenübermittlung genügt beispielsweise schon, dass Server eines Auftragsverarbeiters in einem Drittland zur Datenverarbeitung genutzt werden. 

Als Drittland werden sämtliche Länder außerhalb der Europäischen Union („EU“) bezeichnet. Die DSGVO sieht vor, dass jedwede Übermittlung personenbezogener Daten in ein Drittland nur dann zulässig ist, wenn die Verantwortlichen und potenzielle Auftragsverarbeiter die in der DSGVO niedergelegten Bedingungen einhalten. Insbesondere für Drittländer, die über kein eigenes angemessenes Datenschutzniveau verfügen, muss der verantwortliche Arbeitgeber oder sein Auftragsverarbeiter geeignete Garantien vorsehen, damit den betroffenen Mitarbeitern durch die Datenübermittlung in das Drittland im Verhältnis zum Datenschutzniveau der DSGVO möglichst keine Nachteile entstehen.

Für zahlreiche Drittländer hat die EU sogenannte Angemessenheitsbeschlüsse getroffen. Dies gilt unter anderem für die Schweiz und Großbritannien, Kanada, Israel, Japan und auch Neuseeland. In diese Länder dürfen personenbezogene Daten von Mitarbeitern damit ohne weitere Genehmigung übermittelt werden, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden. Solche Angemessenheitsbeschlüsse fehlen jedoch für wichtige Partnerländer wie die USA, China oder Australien. Gerade die großen Tech-Unternehmen aus den USA werden häufig von Arbeitgebern als Auftragsverarbeiter eingesetzt. Für Übermittlungen in diese Staaten bedarf es daher zusätzlicher geeigneter Garantien im Sinne der DSGVO.

Drohende Geldbußen und Schadensersatzforderungen

Werden personenbezogene Daten ohne entsprechende Garantien in ein Drittland übermittelt, drohen Geldbußen von bis zu EUR 20.000.000 oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Zudem können betroffene Mitarbeiter zusätzliche Schmerzensgeld- und Schadensersatzansprühe erheben.

Ausweg über Verwendung sog. Standarddatenschutzklauseln

Ein Mittel der Wahl zur Schaffung geeigneter Garantien besteht in der Vereinbarung sog. Standarddatenschutzklauseln, die von der europäischen Kommission in einem gesonderten Verfahren erlassen werden. Der Vorteil dieser Standarddatenschutzklauseln besteht vor allem darin, dass bei Verwendung der Klauseln die Notwendigkeit entfällt, für die Übermittlung eine Genehmigung der Aufsichtsbehörde beantragen zu müssen.

Alte, unzureichende Standarddatenschutzklauseln

Bis zuletzt existieren die folgenden durch die Europäische Kommission erlassenen Standardvertragsklauseln:

  • Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gem. Entscheidung der Kommission 2001/497/EG v. 15.6.2001, ABl. 1995 181, 19 (sog. Set I)
  • Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern gem. Beschluss der Kommission 2010/87/EU v. 5.2.2010, ABl. 2010 L 39, 5. 

Allerdings war seit dem Urteil des Europäischen Gerichtshofs („EuGH“) in der Sache Schrems II (EuGH (Große Kammer), Urteil vom 16. Juli 2020 – C-311/18 (Facebook Ireland u. Schrems)) klar, dass diese Standarddatenschutzklauseln keine „einfache Lösung“ mehr darstellten, da sie nach Auffassung des EuGH keinen ausreichenden Schutz vor Datenzugriffen durch Behörden eines Drittlandes mehr boten. 

Neue Standarddatenschutzklauseln

Unter anderem aufgrund vorgenannter Schwächen hat die Kommission Anfang Juni 2021 daher neue Standarddatenschutzklauseln für Übermittlungen personenbezogener Daten in Drittländer entwickelt und veröffentlicht, die nunmehr im Einklang mit der DSGVO und den in der Entscheidung „Schrems II“ formulierten Anforderungen stehen sollen. Arbeitgeber, die personenbezogene Daten ihrer Mitarbeiter ins EU-Ausland übermitteln, sollen damit eine bessere rechtliche Handhabe und wirksamere Datenschutzmaßnahmen ermöglicht werden. Auszuwählen ist künftig zwischen vier Modulen:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Besonders wichtig ist die Ausfüllung der Anhänge. Dort erfolgt die eigentliche Arbeit. In den Anhängen müssen Informationen über die Datenverarbeitung konkretisiert (Anhang I), technische und organisatorische Maßnahmen für jede Datenübermittlung/Kategorie von Datenübermittlung angegeben (Anhang II – Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten) sowie eine Liste der Unterauftragsverarbeiter (Anhang III) ausgefüllt werden.

Fazit und Handlungsbedarf

Für Arbeitgeber, die bislang überhaupt keine Garantien vorhalten oder noch die alten Standarddatenschutzklauseln verwenden, besteht nunmehr Handlungsbedarf, wollen sie nicht Gefahr laufen, Opfer der erheblichen Bußen und Sanktionen zu werden. 

Die ursprünglichen Standarddatenschutzklauseln (aus Entscheidung 2001/497/EG und Beschluss 2010/87/EU) wurden am 27. September 2021 aufgehoben (Artikel 4 Abs. 2 und 3 des Durchführungsbeschluss über Standardvertragsklauseln). Arbeitgebern, die noch die alten Standarddatenschutzklauseln verwenden, wurde von der Kommission eine Übergangsfrist zur Anpassung der Standarddatenschutzklauseln von 18 Monaten gewährt (Artikel 4 Abs. 4 des Durchführungsbeschluss über Standardvertragsklauseln). Die Frist endet am 27. September 2022.

Arbeitgeber sollten daher überlegen, bald aktiv zu werden. Wir unterstützen Sie gerne…

guest
0 Comments
Inline Feedbacks
View all comments