Zusammenfassung
Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wird zudem auf die Neuen Standardvertragsklauseln der Europäischen Kommission sowie die Empfehlungen des Europäischen Datenschutz-Ausschusses ("EDSA").
Neue Standardvertragsklauseln und Europäische Datenschutz-Grundverordnung ("DSGVO").
1 Fälle der Übermittlung von Arbeitnehmerdaten in Drittländer
Seit dem 25.5.2018 gilt für die Verarbeitung von personenbezogenen Daten und somit auch für die Verarbeitung von Mitarbeiterdaten die Europäische Datenschutz-Grundverordnung ("DSGVO"). Die DSGVO wird durch die Vorschriften des Bundesdatenschutzgesetzes vom 30.6.2017 ("BDSG") ergänzt. Die DSGVO und das BDSG 2018 lösen damit die Vorschriften des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14.1.2003 vollständig ab. Im Rahmen des Arbeitsverhältnisses erlangen die Regelungen der DSGVO und des BDSG regelmäßig hohe Bedeutung. Gerade angesichts von Mitarbeiterklagen nach erfolgter Kündigung oder der Kontrollbefugnisse des Betriebsrates stehen Arbeitgeber unter erheblichem Druck, die gesetzlichen Bestimmungen einzuhalten. Verstärkt wird dieser Druck durch die teils empfindlichen Geldstrafen, die Aufsichtsbehörden verhängen können. Praxisrelevantes Thema für Arbeitgeber ist der Datenschutz bei Übermittlungen personenbezogener Daten in Länder außerhalb der Europäischen Union ("EU") oder des EWR (sog. "Drittstaaten" oder "Drittländer"). So werden nicht selten im Rahmen von Abrechnungs- und Verwaltungsprozessen oder bei der Nutzung bestimmter Softwarelösungen (Stichwort "Software as a Service") regelmäßig personenbezogene Daten von Beschäftigten in Drittstaaten übermittelt. Denkbar ist z. B., dass sich der Arbeitgeber eines Systems bedient, um Reisekosten von Mitarbeitern automatisiert prüfen und erstatten zu lassen. Werden die hier eingegebenen Daten durch den Dienstleister in einem Drittland gespeichert, so liegt bereits eine Drittstaatenübermittlung vor, die nur unter bestimmten Voraussetzungen zulässig ist.
2 Zulässigkeitsvoraussetzungen
Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn
- ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drittland bestätigt;
- geeignete Garantien gemäß Art. 46 DSGVO ergriffen werden, wie z. B. die Verwendung von Standarddatenschutzklauseln, oder
- eine der in Art. 49 DSGVO genannten Ausnahmen einschlägig ist, wie z. B. die Notwendigkeit der Übermittlung zur Vertragserfüllung oder eine Einwilligung der betroffenen Person.
3 Angemessenheitsbeschlüsse gem. Art. 45 DSGVO
Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt). Die Angemessenheitsbeschlüsse in ihrem genauen Wortlaut inklusive etwaiger Einschränkungen sind auf der Website der Europäischen Kommission einsehbar.
3.1 Vereinigtes Königreich
Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Datenschutzmaßnahmen implementiert werden müssen. Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind, ist davon unabhängig erforderlich und vorzunehmen. Der Angemessenheitsbeschluss ist zunächst beschränkt auf vier Jahre.
3.2 Vereinigte Staaten von Amerika
Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH hat diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt.
Am 10.7.2023 trat nach Bestätigung durch die EU-Mitgliedstaaten im Rahmen des Komitologierverfahrens der Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framwork ("DPF") in Kraft. Demgemäß können Arbeitgeber in Deutschland personenbezogene Daten in die USA übermitteln, ohne dass zusätzliche Übermittlungsinstrumente erforderlich wären oder zusätzliche Maßnahmen ergriffen werden müssen, wenn der entsprechende Empfäng...