80
RECHT
_DATENSCHUTZ
personalmagazin 09/16
nicht nur zur konkreten Erfüllung der
arbeitsrechtlichen Arbeitgeberpflichten
erhoben, in die USA transferiert und ge-
nutzt werden, sind die betroffenen Ar-
beitnehmer zu unterrichten und es ist
letztlich deren Zustimmung zu erbitten.
Dabei ist ihnen der Verwendungszweck
über die Erhebung, den Transfer und
die Nutzung der personenbezogenen
Arbeitnehmerdaten anzugeben.
Abstimmung mit den europäischen
Datenschutzbehörden nötig
Des Weiteren – und dies dürfte ebenfalls
von größerer praktischer Bedeutung
sein – müssen sich US-Organisationen,
die Arbeitnehmerdaten erhalten, ver-
bindlich mit den europäischen Daten-
schutzbehörden abstimmen: Sie müssen
sich damit quasi den Datenschutzbehör-
den beziehungsweise deren „Ratschlä-
gen“ unterwerfen. Zwar gilt für jegli-
chen Transfer von personenbezogenen
Daten die Verpflichtung zur Gewährleis-
tung eines adäquaten Rechtsschutzes
(„Recourse, Enforcement and Liability
Principle“). Das Privacy Shield sieht
im Grundsatz die Unterwerfung unter
die Ratschläge („advice“) der Daten-
schutzbehörden aber nur als eine Mög-
lichkeit der Gewährleistung adäquaten
Rechtsschutzes vor, mithin als optional
zur Umsetzung dieses Grundprinzips.
Sobald allerdings personenbezogene Ar-
beitnehmerdaten betroffen sind, besteht
diese Option nicht mehr und die Selbst-
verpflichtung der US-Organisation muss
eine entsprechende Verpflichtung be-
ziehungsweise Unterwerfung enthalten.
Für ein zweckmäßiges HR-Controlling
führen US-Muttergesellschaften meist
Arbeitnehmerstatistiken. Diese sind
häufig der Anlass für den Wunsch von
US-Organisationen, Arbeitnehmerdaten
in die USA zu transferieren und dort
nutzbar zu machen. Dieses Bedürfnis
wird im Privacy Shield aufgegriffen. Als
Ausfluss des Grundsatzes zur Sicherung
und Einhaltung der Datenintegrität und
zur Einhaltung der Zwecklimitierung
ist allerdings vorgesehen, dass Arbeit-
nehmerdaten nach Möglichkeit ano-
nymisiert werden müssen – soweit die
Identität des Arbeitnehmers für die kon-
krete Datennutzung nicht wesentlich
beziehungsweise erforderlich ist. Fer-
ner hat auch die US-Organisation, die
die transferierten personenbezogenen
Arbeitnehmerdaten erhält, sicherzustel-
len, dass der betroffene Arbeitnehmer
auf diese Daten zugreifen kann.
Eine Besonderheit findet sich in Sa-
chen organisatorischer Umgang mit per-
sonenbezogenen Arbeitnehmerdaten im
Alltag. So ist es nach Maßgabe des Pri-
vacy Shield nicht erforderlich, zum Bei-
spiel bei Flug- oder Hotelbuchungen für
Arbeitnehmer, konkrete Absprachen mit
dem Reiseanbieter zum Umgang mit den
personenbezogenen Arbeitnehmerdaten
zu treffen.
Welche Vorgaben US-Organisationen
nun angehen und erfüllen müssen
Die US-Organisationen werden nun zu-
nächst ihre eigenen Datenschutzrege-
lungen unter die Lupe nehmen müssen.
Sie werden prüfen müssen, ob diese
den Anforderungen des Privacy Shield
entsprechen. Im Zweifel muss dabei
kritisch hinterfragt werden, ob ohne
konkretes Umdenken beim Umgang
mit personenbezogenen Daten diese
verlangten Verpflichtungen tatsächlich
übernommen werden können.
Sind die Datenschutzregelungen der
US-Organisation regelkonform, müssen
sie zusammen mit einem Hinweis zu
den vorgesehenen Rechtsschutzmög-
lichkeiten und mit der Aussage, dass die
aufgestellten Regeln des EU-US-Privacy-
Shield beachtet werden, veröffentlicht
werden. Wie bereits erwähnt, müssen
sich US-Organisationen, die personenbe-
zogene Arbeitnehmerdaten empfangen,
den europäischen Datenschutzbehörden
unterwerfen. Dies ist dann an dieser
Stelle als vorgesehene Rechtsschutz-
möglichkeit zu erwähnen. Möglicher
Platz für diese Veröffentlichung kann
beispielsweise die Internetpräsenz der
US-Organisation sein.
Hält das Privacy Shield der
EuGH-Rechtsprechung stand?
Ob die neue Vereinbarung zwischen EU
und USA nun eine langfristige Grund-
lage für die Übermittlung von perso-
nenbezogenen Daten in die Vereinigten
Staaten von Amerika sein wird, wird
sich noch herausstellen müssen. Im
Rahmen des Angemessenheitsbeschlus-
ses hatte die EU-Kommission die Auf-
fassung geäußert, in der Neuregelung
die Kritikpunkte des EuGH umfassend
berücksichtigt zu haben. Tatsächlich
muss man dem Privacy Shield wohl
zugutehalten, dass es ein Schritt in die
richtige Richtung ist. Ob dieser Schritt
allerdings groß genug war, wird unter
Datenschutzexperten mit lauter Stimme
bezweifelt. Kritisiert wurde die auf Safe
Harbor folgende Vereinbarung bereits
am 29. Februar 2016, dem Tag der Erst-
veröffentlichung der Ergebnisse. Die
fünfmonatigen Nachverhandlungen hat-
ten im Übrigen nur zu unwesentlichen
Änderungen geführt. Klagen wurden
bereits angekündigt. Es ist daher davon
auszugehen, dass es ein Schrems-2.0-
Verfahren geben wird.
Die wesentlichen Kritikpunkte des
EuGH an dem Safe-Harbor-Abkommen,
die Bedenken an einem rechtsstaatlich
unzureichenden Aufsichts- und Hand-
lungsmechanismus, werden durch das
Privacy Shield tatsächlich nicht nachhal-
Der vom EuGH verur-
sachte Zeitdruck ver-
hinderte eine nachhal-
tige Lösung. Die jetzige
Zwischenlösung dürfte
jedoch die Basis für Wei-
terentwicklungen sein.
