79
09/16 personalmagazin
Bei Fragen wenden Sie sich bitte an
EU-Kommission und der Regierung der
Vereinigten Staaten aus dem Jahr 2000
nicht ausreicht, um das erforderliche
Datenschutzniveau der Europäischen
Union für in die Vereinigten Staaten von
Amerika transferierte personenbezo-
gene Daten zu sichern.
Im Herbst 2015 intensivierten EU-
Kommission und Vertreter der US-
Regierung die ohnehin schon seit rund
zwei Jahren laufenden Gespräche über
die Erarbeitung einer Safe-Harbor-
Nachfolgeregelung. Nun sollten die Be-
weggründe des EuGH zum Scheitern
von Safe Harbor in dem neuen Privacy
Shield berücksichtigt werden. Am 29.
Februar 2016 wurde ein erster Text ver-
öffentlicht. Nach weiteren fünf Monaten
der Nachverhandlung ist das Privacy
Shield nun im Vergleich zur im Februar
veröffentlichten Fassung nur unwesent-
lich verändert in Kraft getreten. Zum 1.
August konnten US-Unternehmen die
Zertifizierung beim „U.S. Department of
Commerce“ erwirken.
Was das neue Schutzschild für
Personaler bedeutet
Personalabteilungen mit Kontakten in
die Vereinigten Staaten werden sich seit
Oktober 2015 der veränderten Rechtsla-
ge bewusst gewesen sein. Der Transfer
von personenbezogenen Personaldaten
(wie sie zum Beispiel in Arbeitsver-
trägen oder auch in Arbeitnehmer-Na-
menslisten jeder Art enthalten sind) an
in den Vereinigten Staaten beheimatete
Muttergesellschaften,
Cloud-Service-
Anbieter oder anderweitige Dienstleis-
ter war nicht mehr über den Verweis auf
die Safe-Harbor-Zertifizierung möglich.
Bei einer kritischen Lektüre der Ent-
scheidung des EuGH waren auch Zweifel
an der Zulässigkeit von sonst ebenfalls
üblichen Methoden zur Absicherung
des Datenschutzniveaus wie „Binding
Corporate Rules“ oder Standardver-
tragsklauseln angebracht. Rechtssicher
möglich war am Ende ausschließlich die
Übermittlung anonymisierter Personal-
daten, die weder unter die Europäische
Datenschutzrichtlinie noch unter die na-
tionalen Datenschutzgesetze fallen.
In Folge des Beschlusses der EU-
Kommission vom 12. Juli 2016 gibt es
nun eine neue Grundlage, auf die sich
an einem Transfer von personenbezo-
genen Daten in die Vereinigten Staaten
von Amerika beteiligte Unternehmen
zur Feststellung des abgesicherten Da-
tenschutzniveaus berufen können: Das
EU-US-Privacy-Shield.
Welche Organisationen das neue
Privacy Shield nutzen können
Sich unter das Privacy Shield zu begeben,
ist zunächst für jede interessierte US-Or-
ganisation freiwillig. Jede US-Organisa-
tion – also beispielsweise Unternehmen
oder Non-Profit-Organisationen, solange
sie den Regularien der „Federal Trade
Organization“ (FTC) beziehungswei-
se des „Department of Transportation“
(DOT) unterliegen – können sich durch
eine eigene Verpflichtungserklärung
gegenüber dem US-Handelsministerium
(„Department of Commerce“) die Vorteile
des Privacy Shield sichern. Ausgeschlos-
sen sind damit aber im Wesentlichen Un-
ternehmen im Banken- und weitgehend
auch im Versicherungssektor.
Die einzugehenden Selbstverpflich-
tungen beziehen sich zunächst auf die
Einhaltung von sieben Grundprinzipien
des Datenschutzes (siehe Kasten). Diese
werden flankiert von sechzehn ergän-
zenden Prinzipien.
Welche Besonderheiten beim Transfer
von Arbeitnehmerdaten gelten
Zunächst sei an dieser Stelle heraus-
gestellt: Der Datentransfer von in der
EU gesammelten Arbeitnehmerdaten
an Muttergesellschaften, sonstige Kon-
zerngesellschaften oder außenstehen-
de Dienstleister, die jeweils Selbstver-
pflichtungserklärungen gemäß Privacy
Shield abgegeben haben, ist nun als
Datentransfer in ein sicheres Drittland,
das adäquaten Datenschutz gewährt, zu
sehen. Solange also ein Transfer per-
sonenbezogener Daten nach Maßgabe
der nationalen Datenschutzregularien
gerechtfertigt ist, gilt dies auch für ei-
nen Transfer in die USA. In Bezug auf
Arbeitnehmerdaten sieht das Privacy
Shield allerdings abweichend von sons-
tigen personenbezogenen Daten teilwei-
se Besonderheiten vor.
Zum einen stellt die Safe-Harbor-Nach-
folgeregelung ausdrücklich heraus, dass
die Übermittlung von Arbeitnehmerda-
ten im Zusammenhang mit der Umset-
zung arbeitsrechtlicher Verpflichtungen
keiner ausdrücklichen Zustimmung des
Arbeitnehmers bedarf. Dies ist als Lo-
ckerung des „Notice Principles“ (siehe
Kasten) zu verstehen. Arbeitsrechtliche
Verpflichtungen gegenüber Arbeit-
nehmern in der EU werden aber zumeist
auch genau dort im Heimatland erfüllt.
Die genannte Privilegierung unter dem
Privacy Shield wird sich daher auf inter-
nationale Sachverhalte beschränken. Zu
denken wäre hier beispielsweise an
•
Mitarbeiterbeteiligungsprogramme
bezogen auf die Konzernmutter oder
andere internationale Incentivierungs-
programme durch US-Konzernmütter,
•
konkrete von US-Konzerngesellschaften
mitzutragende oder zu entscheidende
sonstige Personalentscheidungen oder
•
Entsendungen aus Europa in die USA.
Zum anderen setzt eine Selbstverpflich-
tung unter dem Privacy Shield für per-
sonenbezogene
Arbeitnehmerdaten
aber auch voraus, dass im Fall einer an-
derweitigen Nutzung der transferierten
Daten oder auch im Fall eines geplanten
Transfers an Dritte (zum Beispiel an
Dienstleister oder auch „Cloud Servi-
ces“) die „Notice Principle“ und „Choice
Principle“ (siehe Kasten am Ende des
Beitrags) sehr wohl strikt einzuhalten
sind. Das bedeutet: Wenn personen-
bezogene Arbeitnehmerdaten gerade
Fachbeitrag
Überblick zum Transfer von
Personaldaten in Drittländer (HI8459373)
Die Arbeitshilfe finden Sie im Haufe
Personal Office (HPO). Internetzugriff:
ARBEITSHILFE
