66
RECHT
_DIGITALISIERUNG
personalmagazin 12/15
G
rundsätzlich, so hatte die Kommission der Europäi-
schen Union (EU) einst festgestellt, liege für aus der
EU übermittelte personenbezogene Daten in den USA
ein ausreichendes Schutzniveau vor. Doch diese so-
genannte „Safe-Harbor-Entscheidung“ hat der Europäische Ge-
richtshof nun am 6. Oktober 2015 für ungültig erklärt und so
dem bisher nahezu ungehinderten Transfer personenbezogener
Daten von EU-Bürgern in die USA eine Schranke vorgelegt.
Für die Personalarbeit wird dieses Urteil massive Folgen
haben: Denn nicht nur Personaldaten im engen Sinne, also
Namen, Geburtsdaten, Gehälter sowie sonstige geschützte per-
sönliche Verhältnisse, dürfen – gleich zu welchem Zweck –
nicht mehr uneingeschränkt in die USA übertragen oder dort
gespeichert, genutzt oder verarbeitet werden. Auch weitere
Daten mit zentraler Bedeutung für die Personal- und Unterneh-
mensplanung, wie Daten zur Bewertung der Leistungsqualität
oder Produktivität sind nun nicht mehr frei in die USA über-
tragbar. Hierzu zählen beispielsweise Kundenbewertungen
von Mitarbeitern in Call Centern oder die personenbezogene
elektronische Erfassung von Produktionszahlen.
Betroffen sind nicht nur international tätige Unternehmen,
rechtswidrig können auch Datentransfers etwa auf Cloud-Ser-
vern sein, soweit sie in den USA stehen – und das ist häufig der
Fall. Die Nutzung bestimmter Software, etwa Microsoft 365,
kann ebenso von der Entscheidung gefährdet sein, da die Soft-
ware über eine Cloud zugänglich ist. Infrage gestellt werden
auch Formen digitaler Arbeit, etwa mit Smartphones, Tablets
Von
Manteo Eisenlohr
oder anderen mobile Devices – auch diese Geräte speichern
Daten in einer Cloud mit möglichem Standort USA.
Drei Lösungswege bieten sich an: Zum einen kann von je-
dem einzelnen Mitarbeiter eine entsprechende Einwilligung
eingeholt werden, dies dürfte indes meist an praktischen
Schwierigkeiten scheitern. Zum Zweiten bietet sich an, die
datenverarbeitenden Dienstleister zur Einhaltung des europä-
ischen Datenschutzniveaus durch „Standardklauseln“ zu ver-
pflichten. Zum Dritten können international tätige Konzerne
„Binding Corporate Rules“ (BCRs) erlassen, eine Selbstver-
pflichtung zur Einhaltung europäischer Datenschutzstandards.
Dennoch ist Vorsicht geboten: Ob individuelle Zustimmungen,
Standardklauseln beziehungsweise BCRs den datenschutz-
rechtlichen Vorgaben entsprechen, ist im Einzelfall zu prüfen.
Die nationalen Datenschutzbehörden geben der Politik und den
Unternehmen bis zum 31. Januar 2016 Zeit, Lösungen für die
Safe-Harbor-Problematik zu finden. Danach wollen sie alle not-
wendigen Schritte ergreifen. Das schließt auch die Überprüfung
von Standardklauseln oder BCRs im Einzelfall ein.
Insgesamt stellt das EuGH-Urteil eine Herausforderung an
die Diskussion um das „Arbeiten 4.0“ dar, denn sie begrenzt
die Entwicklung zur Digitalisierung der Arbeitswelt und
schafft rechtliche Unsicherheiten.
KOLUMNE.
Mit der Absage an die Safe-Harbor-Entscheidung ist der Transfer von
Mitarbeiterdaten in die USA erschwert. Das stellt HR vor neue Herausforderungen.
Grenzen in der digitalen Welt
DR. MANTEO EISENLOHR,
Rechtsanwalt und Part-
ner bei Greenberg Traurig Germany, LLP, kommentiert
an dieser Stelle monatlich aktuelle Entwicklungen in
der digitalen Arbeitswelt.
© JULIA TIM - FOTOLIA
