82
RECHT
_DATENSCHUTZ
personalmagazin 01/16
Bei Fragen wenden Sie sich bitte an
Safe-Harbor-Entscheidung der EU-Kom
mission weiterhin Speichermöglich
keiten von Daten in den USA und lässt
es diese Daten in den USA sogar verar
beiten, so läuft das Unternehmen Ge
fahr, Verstöße gegen das Bundesdaten
schutzgesetz (BDGS) zu begehen. Dies
kann zu empfindlichen Geldstrafen oder
zu Unterlassungsansprüchen der Mitar
beiter oder des Betriebsrats führen.
Die bisherig angewendeten rechtli
chen „Brücken“ helfen hier zum Teil gar
nicht, zum Teil nur recht wenig. Wie be
schrieben kann sich ein Unternehmen
nicht mehr wie bisher darauf berufen,
dass der Datenspeicherer in den USA
sich den datenschutzrechtlichen Grund
sätzen der EU einseitig unterworfen hat.
Dies allein reicht nicht mehr aus, um die
europarechtlichen Vorgaben an die Wah
rung des Datenschutzes zu erfüllen.
Einverständnis oder Standardklauseln
Das Einverständnis der Mitarbeiter
kann nur im Ausnahmefall ausreichen
de Grundlage für den Datentransfer
gliedsstaaten der Europäischen Union.
Viele Unternehmen nutzen Speicherkapa
zitäten auf Servern in den USA, um dort
kostengünstig und effizient große Men
gen an Daten zu lagern. Nunmehr ist aber
die Datenübertragung in die USA und
Datenspeicherung auf den in den USA
stehenden Servern alleine unter Hinweis
auf den „Safe Harbor“ unzulässig.
E-Recruiting, E-Learning und E-Mail
Auch für das E-Recruiting hat die Ent
scheidung erhebliche Auswirkungen.
Internetbasierte Bewerbungsmanage
mentsysteme haben bei großen, interna
tional tätigen Unternehmen längst Ein
zug gehalten, und ihre Vorteile werden
auch kleineren Unternehmen zuneh
mend bewusst. In diesem Rahmen laden
Bewerber detaillierte personenbezogene
Daten im Internet auf, die auf weltweit
aufgestellten Servern gespeichert und
bearbeitet werden. Soweit aber inter
netbasierte Plattformen im E-Recruiting
verwendet werden, die eine Datenver
arbeitung in den USA vornehmen, ist
die Nutzung dieser Plattform, soweit sie
alleine die Safe-Harbor-Kriterien erfüllt,
ebenso unzulässig.
Auch internetbasierte E-Learning-
Angebote verschaffen Mitarbeitern zwar
einfachen Zugang zu Fortbildungsquel
len. Im Zuge des E-Learning können
Arbeitgeber jedoch weitere Daten zur
Qualifikation und zum Verhalten ihrer
Mitarbeiter sammeln und sie aus den E-
Learning-Angeboten entnehmen. Damit
entstehen Sammlungen von personen
bezogenen Daten, deren Übertragung,
Speicherung oder Nutzung in USA
gleichsam unzulässig sein können.
Dieselben Fragen stellen sich bei der
internen Intranet-Nutzung und Kommu
nikation per E-Mail oder Chat. Sie bil
den eine Hauptquelle für die Sammlung
personenbezogener, insbesondere auf
Leistung und Verhalten der Arbeitneh
mer bezogene Daten. Auch diese werden
auf zentralen Servern, die außerhalb des
Gebiets der Mitgliedstaaten aus der Euro
päischen Union und vornehmlich in den
USA stehen, gespeichert und bearbeitet.
Ob auch die Nutzung mobiler Endgeräte
zu rechtlichen Problemen führen kann,
hängt von verschiedenen technischen
Fragen ab, insbesondere, ob der Arbeit
geber Zugriff auf die durch das mobile
Gerät generierten Daten (Aufenthaltsort,
gewählte Telefonnummern et cetera) hat
und wo diese Daten gespeichert werden.
Und nicht zu vergessen: Nicht nur die
unmittelbaren personenbezogenen Da
ten, sondern auch Daten aus der Analy
se von Produktionsleistung haben einen
personenbezogenen „Kern“: So werden
Daten zur Produktivität eines einzelnen
Mitarbeiters ebenso erhoben und gespei
chert, wie Anwesenheitszeiten oder be
arbeitete Fallzahlen.
Risiken des Safe-Harbor-Urteils
Das Ausmaß und die Folgen des Urteils
des EuGH können, wie die Beispiele
zeigen, massiv sein, wenn ein Unter
nehmen in die USA personenbezogene
Daten transferiert oder speichert. Nutzt
ein Unternehmen allein gestützt auf die
Viel Zeit bleibt nicht, um nach dem EuGH-Urteil die datenschutzrechtlichen Standards
anzupassen. Lösungswege der Datenschutzbehörden haben diese bereits angedeutet.
Wollen Unternehmen ihre Verfahren zum Datentransfer anpassen, sollten sie sich an die
Entschließung der Datenschutzkonferenz vom 27. März 2014 „Gewährleistung der Men-
schenrechte bei der elektronischen Kommunikation“ oder an die Orientierungshilfe „Cloud
Computing“ vom 9. Oktober 2014 halten. Zu den dort genannten Vorschlägen zählen:
•
sichere Verschlüsselung beim Transport und bei der Speicherung von Daten,
•
Bereitstellung einer einfach bedienbaren Verschlüsselungs-Infrastruktur,
•
Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbin-
dungsverschlüsselung,
•
sichere und vertrauenswürdige Bereitstellung von Internetangeboten,
•
Weiterentwicklung innovativer Vorkehrungen zum Schutz von Verkehrsdaten,
•
Ausbau der Angebote und Förderung anonymer Kommunikation,
•
Angebot für eine Kommunikation über kontrollierte Routen,
•
sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Möglichkei-
ten der Geolokalisierung,
•
Beschränkung des „Cloud Computing“ mit personenbezogenen Daten auf vertrauens-
würdige Anbieter mit zertifizierter Informationssicherheit,
•
Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch
Zertifizierung,
•
Sensibilisierung von Nutzern moderner Technik,
•
ausreichende Finanzierung von Maßnahmen der Informationssicherheit.
Vorschläge der Datenschutzbehörden
LÖSUNGSWEGE