83
01/16 personalmagazin
ANZEIGE
sein. Die deutschen Datenschutzbehör
den erkennen insbesondere bei „wieder
holten, massenhaften oder routinemäßi
gen“ Einwilligungen keine hinreichende
Grundlage an. Beim Datenexport kann
die Mitarbeiter-Einwilligung nur aus
nahmsweise zulässige Grundlage sein.
In unmittelbarer Reaktion auf das Ur
teil des EuGH lautete daher der Rat zur
Lösung des rechtlichen Problems: mit
dem Datenspeicherer in den USA einen
neuen Vertrag abschließen oder den
bestehenden Vertrag um sogenannte
„Standardklauseln“ ergänzen. Bei diesen
handelt es sich um Musterklauseln in ei
ner Vereinbarung, nach der der Dienst
leister, der personenbezogene Daten für
ein europäisches Unternehmen in den
USA speichert, sich gegenüber seinem
Vertragspartner verpflichtet, europäische
Datenschutzgrundsätze zu beachten.
Allerdings bieten auch diese Standard
klauseln künftig per se keinen Schutz
vor Untersuchungen oder Strafen. Denn
die Datenschutzbehörden behalten sich
ganz ausdrücklich vor, die Standardklau
seln in Verträgen zu prüfen.
„Binding Corporate Rules“ als Lösung
Internationalen Unternehmen bietet sich
die Möglichkeit, durch konzern- oder
unternehmensinterne Regelungen, so
genannten „Binding Corporate Rules“
(BCRs), sich zu den datenschutzrechtli
chen Standards zu verpflichten. Gibt sich
ein Unternehmen derartige Regelungen,
so können sie in der Praxis davon ausge
hen, dass sie als sicher im datenschutz
rechtlichen Sinne bewertet werden.
BCRs bedürfen indes zu ihrer Wirksam
keit der vorherigen Zustimmung durch
die jeweils zuständige Datenschutzbe
hörde. Diese haben jedoch in Reaktion
auf das Urteil des EuGH angezeigt, dass
sie bis auf Weiteres keine BCRs mehr ge
nehmigen werden. Folglich ist aus heu
tiger Sicht diese Möglichkeit der Lösung
des Problems ausgeschlossen. Auch für
bereits bestehende BCRs haben die Da
tenschutzbehörden angekündigt, diese
gegebenenfalls einzeln zu überprüfen und
die Vereinbarkeit der BCRs von Unterneh
men im Einzelfall mit den Grundsätzen
des Datenschutzes auf der Grundlage des
Urteils des EuGH zu überprüfen.
Welche Lösungswege bleiben
Es bleibt wenig Zeit, auf diese Andro
hungen zu reagieren: Die zur Arbeits
gemeinschaft zusammengeschlossenen
nationalen Datenschutzbehörden der
EU-Staaten haben in Reaktion auf das
EuGH-Urteil festgehalten, dass sie der
Politik der EU und der USA noch bis
zum 31. Januar 2016 Zeit geben, eine
den datenschutzrechtlichen Standards
entsprechende Lösung zu präsentieren.
Andernfalls beginnen sie, Datenschutz
verstöße aufzuklären. Lösungswege
haben die deutschen Datenschutzbehör
den bereits angedeutet (siehe Kasten).
Unternehmen müssen sicherstellen,
dass ihre Verfahren zum Datentransfer
„datenschutzgerecht“ gestaltet sind.
Letztlich sollten bestehende unterneh
mensinterne Verfahren und Abläufe, die
Einfluss auf Speicherung, Nutzung und
Verarbeitung von personenbezogenen
Daten haben, auf ihre Vereinbarkeit mit
den im Urteil des EuGH aufgestellten da
tenschutzrechtlichen Grundsätzen und
den genannten Vorschlägen der Daten
schutzbehörden kritisch überprüft und
gegebenenfalls angepasst werden. Für
konservativ denkende Unternehmen ist
zu raten, personenbezogene Daten, die in
die USA transferiert worden sind, mög
lichst nach Europa zurückzuübertragen
und sie auf demGebiet der Europäischen
Union zu speichern und dort die Verar
beitung vorzunehmen. Dadurch wird
die Speicherung und Verarbeitung von
personenbezogenen Daten jedenfalls im
Hinblick auf den Ort der Speicherung
unanfechtbar.
Unternehmen, die Dienstleistungsver
träge mit Standardklauseln abgeschlos
sen haben oder die sich auf ihre BCRs
verlassen wollen, ist zu raten, diese da
tenschutzrechtlich auf den Hintergrund
des Urteils des EuGH und der Vorschläge
rechtlich überprüfen zu lassen.
Bis zu einer abschließenden Über
tragung von Daten auf das Gebiet der
Europäischen Union oder der Überprü
fung von Standardklauseln und BCR ist
zur Vorsicht und Zurückhaltung bei der
Speicherung von personenbezogenen
Daten in den USA dringend geboten.
Es wird erwartet, dass das Arbeiten in
der digitalisierten Arbeitswelt gerade
im Personalwesen durch das Urteil des
EuGH eingeschränkt und Verunsiche
rung gesät wird.
DR. MANTEO EISENLOHR
ist Rechtsanwalt und Partner
bei Greenberg Traurig Germa-
ny LLP in Berlin.
