Das Ende des EU-US Privacy Shield – Was Betriebsräte jetzt beachten müssen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 16. Juli 2020, Az. C‑311/18, dem EU-US Privacy Shield die Rechtsgrundlage entzogen.

Kontext
Die DSGVO stellt – wie auch schon die entsprechenden Vorgängerregelungen – besondere Anforderungen an den Datentransfer von personenbezogenen Daten in sog. Drittstaaten. Als Drittsaaten werden dabei solche Länder bezeichnet, die weder Mitglied der EU noch des EWR sind. Sollen von Stellen „innerhalb Europas“ personenbezogene Daten in solche Drittstaaten transferiert werden, bedarf es nicht nur einer Rechtsgrundlage für den Datentransfer selbst (Erste Prüfungsstufe), sondern die Stelle im Drittstaat muss auch über ein sog. angemessenes Datenschutzniveau (Zweite Prüfungsstufe) verfügen. Wann ein solches angemessenes Datenschutzniveau vorliegt, ist in den Art. 45 ff. DSGVO geregelt.

Amerikanischer Sonderweg
Noch vor dem Verbindlichwerden der DSGVO hatte sich jedoch die EU mit den USA nach dem Wegfall der Safe Harbor Principles auf eine eigene Vereinbarung zu Sicherstellung eines angemessenen Datenschutzniveaus bei datenverarbeitenden Stellen in Amerika, dem sog. EU-US Privacy Shield, verständigt. Mit Durchführungsbeschluss vom 12.07.2016 hat die EU-Kommission diesem Institut ein „angemessenes Datenschutzniveau“ zugebilligt.

Die EuGH-Entscheidung
Der EuGH hatte nun die Frage zu klären, ob der EU-US Privacy Shield tatsächlich ausreicht, um den Anforderungen der DSGVO an ein angemessenes Schutzniveau zu genügen. Dies hat der EuGH im Ergebnis verneint. Dabei geht der EuGH derzeit davon aus, dass die in den USA existierenden Vorschriften zur nachrichtendienstlichen Überwachung von Europäern, namentlich „die in der Section 702 des FISA und die E.O. 12333 i. V. m. der PPD-28, nicht dem im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“ (EuGH, a.a.O.)

Standardvertragsklauseln können grundsätzlich weiterhin verwendet werden
Im Zusammenhang mit der Verwendung von Standardvertragsklauseln (das Gericht spricht in der deutschsprachigen Fassung des Urteils von „Standarddatenschutzklauseln“) hat das Gericht ferner ausgeführt, dass die Kommission nicht verpflichtet ist, „vor seinem Erlass die Angemessenheit des Schutzniveaus zu beurteilen, das in den Drittländern geboten wird, in die personenbezogene Daten auf der Grundlage solcher Klauseln übermittelt werden könnten (EuGH, a.a.O.).“

Verantwortung liegt auch beim Datenexporteuer
Der EuGH führt aber weiter aus, dass es in einem solchen Fall auch Aufgabe des in der Union ansässigen Verantwortlichen ist, „als Ausgleich für den im Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorzusehen.“ (EuGH, a.a.O.) Dabei müssen nach Ansicht des EuGH „diese Garantien sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden.“ (EuGH, a.a.O.) Diese Garantien müssen laut EuGH dabei insbesondere auch Regelungen zu Ansprüchen der von der Datenverarbeitung betroffenen Personen und ihrer Durchsetzbarkeit erhalten (EuGH, a.a.O.).

Entscheidung gilt auch für Subunternehmer
Dabei dürfte es nicht ausreichend sein, dass der Arbeitgeber mit seinem Dienstleister erster Ebene solche Garantien, wenn nötig, vereinbart hat. Vielmehr ist sicherzustellen, dass auch bei den in Drittländern befindlichen Unterauftragnehmern ein „angemessenes Datenschutzniveau“ herrscht und ggf. auch auf diesen Ebenen entsprechende Garantien bestehen und eingehalten werden.

Was ein Betriebsrat jetzt tun sollte
Es ist also in jedem Einzelfall und vor dem jeweiligen Transfer zu prüfen, ob für eine Weitergabe von Arbeitnehmerdaten in Drittländer zusätzliche Garantien zur Sicherstellung eines „angemessenen Datenschutzniveaus“ nötig sind.

Dazu ist der zuständige Betriebsrat schon nach § 80 Abs. 1 Nr. 1 BetrVG verpflichtet. Auch dürfte ein auf eine Betriebsvereinbarung gestützter Auslandsdatentransfer nur dann wirksam vereinbart sein, wenn zuvor mit den involvierten Dienstleistern entsprechende Garantien ausgehandelt wurden. Ein Gremium, welches sich nicht selber in der Lage sieht verbindlich zu prüfen, ob zusätzliche Garantien erforderlich sind und wenn ja, ob sie wirksam mit allen notwendigen Dienstleistern vereinbart wurden, sollte sich zunächst an den betrieblichen Datenschutzbeauftragten und, wenn im Unternehmen vorhanden, an den Informationssicherheitsbeauftragten wenden. Ist dort keine aussagekräftige Auskunft zu bekommen, sollte sich das Betriebsratsgremium an einen Sachverständigen i. S. d. § 80 Abs. 3 BetrVG wenden.

Neue Rechtsprechung gilt nicht nur für Datentransfer in die USA
Dies gilt aber nicht nur für neu initiierte Datentransfers in Drittstaaten, sondern auch für solche Auslandskontakte, die schon bestehen. Ferner ist die Rechtsprechung des EuGH auch nicht nur auf Sachverhalte mit Bezug zu den USA relevant. Vielmehr setzt das Urteil neue Maßstäbe für alle Datentransfers von personenbezogenen Daten in Drittsaaten, für die derzeit kein Angemessenheitsbeschluss i. S. d. DSGVO vorliegt. Also z. B. auch für Datentransfers nach Russland, Indien und China.

Bestehende Betriebsvereinbarungen sind zu prüfen
Auch ist es nicht möglich, sich auf bereits existierende Betriebsvereinbarungen zu berufen. Auch diese Regelungen sind daraufhin zu untersuchen, ob sie die vom EuGH jetzt geforderten Garantien bereits enthalten. Ist dies nicht der Fall, müssen Betriebsräte mit Ihren Arbeitgebern gemeinsam überlegen, mit welchen Maßnahmen sie zukünftig die Anforderungen der neuen EuGH-Rechtsprechung erfüllen wollen.

Keine Übergangsfrist
Dabei ist zu beachten, dass den Betriebsparteien dafür, anders als bei der Umsetzung der DSGVO, keine Übergangsfrist zur Verfügung steht.

Untersagung droht
Werden die Betriebsparteien hier nicht zügig tätig, droht Ungemach. So hat der EuGH ausdrücklich klargestellt, dass bei nicht ausreichend sichergestelltem Schutz bei der Verarbeitung der Daten im Drittland die zuständige Aufsichtsbehörde verpflichtet sein kann, den entsprechenden Datentransfer auszusetzen oder sogar ganz zu verbieten (EuGH, a.a.O.).

__________________________________________________________________________

Über den Autor
Robert Malte Ruhland ist Rechtsanwalt in Dortmund langjähriger Berater in allen Fragen des Datenschutzes in der modernen Arbeitswelt.

Urheber- und Zitatrechte
Dieser Artikel ist urheberrechtlich geschützt. Die Rechte liegen beim Autor. Für Zitate gelten die Regelungen des Urheberrechtes.

Zitiervorschlag
Ruhland, Robert Malte, Das Ende des EU-US Privacy Shield – Was Betriebsräte jetzt beachten müssen, in: https://www.anwalt.de/rechtstipps/index.php

Tags
Datenschutz, Betriebsrat, Mitbestimmung, Betriebsverfassung, Betriebsvereinbarung, Datentransfer, Drittstaaten, DSGVO, BDSG, Privacy Shield, Arbeitnehmerdatenschutz, Beschäftigtendatenschutz, Überwachungspflicht, Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Schrems, Standardvertragsklauseln