Das neue EuGH-Urteil und seine Auswirkungen auf den Beschäftigtendatenschutz
Auswirkungen auf den Beschäftigtendatenschutz
Für Unternehmen nicht zu vernachlässigen sind auch die Auswirkungen des Schrems-II-Urteils auf den Beschäftigtendatenschutz.
Die Übermittlung personenbezogener Beschäftigtendaten im Zuge konzerninterner Datenflüsse ist in der Praxis keine Seltenheit. Gerade im HR-Bereich werden Dienstleistungsprozesse oftmals konsolidiert bzw. zentralisiert und in diesem Zusammenhang Beschäftigtendaten an eine zentrale Stelle übermittelt. Auch im Bereich der IT-Infrastruktur, beispielsweise durch die Nutzung eines Intranets oder im Falle einer Auslagerung von Aufgaben an externe Dienstleister ist es regelmäßig erforderlich, personenbezogener Beschäftigtendaten zu übermitteln.
Dabei ist zu beachten, dass für jeden Datentransfer von personenbezogenen Beschäftigtendaten an Konzerngesellschaften oder externe Dienstleister in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes geeignete Garantien bestehen müssen. Es ist zu prüfen, ob bei der datenempfangenden Stelle ein angemessenes Datenschutzniveau besteht.
Eine solche Garantie stellte bis zum Schrems-II-Urteil das „Privacy Shield“ dar, auf dessen Basis personenbezogene Beschäftigtendaten in die USA übermitteln werden konnten und den Anforderungen der EU-Datenschutzbestimmungen an den Drittlandtransfer genüge getan war. Da das „ Privacy Shield“ nach der Entscheidung des EuGH den europäischen Datenschutzanforderungen nicht mehr genügt, ist jede Übermittlung von personenbezogenen Beschäftigtendaten in die USA auf der Basis des „Privacy Shields“ nunmehr unzulässig.
Unternehmen in der Pflicht
Unternehmen sind nunmehr in der Pflicht, zeitnah für ein angemessenes Datenschutzniveau zu sorgen. Um zu vermeiden, dass personenbezogene Beschäftigtendaten an Dritte in unzulässiger Art und Weise in die USA übermitteln werden, sollte überprüft werden, wie dieser Datentransfer derzeit datenschutzrechtlich abgesichert wird. Sollte dies ausschließlich das „Privacy Shield“ sein, besteht hier Handlungsbedarf. Aber auch die Heranziehung der sog. EU-Standardvertragsklauseln als geeignete Garantie für Datenübermittlungen in die USA und sonstige Drittländer ist nach dem Schrems-II-Urteil nicht unproblematisch, da der Einsatz der Klauseln nach Ansicht der EuGH-Richter nicht zwangsläufig zur Zulässigkeit einer Datenübermittlung führt. Vielmehr muss das exportierende Unternehmen im Einzelfall prüfen, ob das Recht der Drittlandes ein angemessenes Datenschutzniveau bietet und mit dem Empfänger im Drittland zu den Standardvertragsklauseln gegebenenfalls zusätzliche Garantien vereinbaren.
Bei rechtlichen Fragen rund um diese Themen stehen wir Ihnen gerne zur Verfügung. KSB INTAX ist der Ansprechpartner für den Mittelstand in Norddeutschland. Wir unterstützen Sie gerne.