Facebook Pixel

Fachartikel für Arbeitnehmervertreter im Aufsichtsrat

Angemessen geschützt? Die Auftragsdatenverarbeitung im Ausland Beitrag

Die Datenübermittlung ins Ausland seitens des Arbeitgebers ist nicht einfach zulässig, sondern unterliegt einem Rechtfertigungszwang. Dr. Kai Stumper stellt die Voraussetzungen der Übermittlung von Daten an Auftragsverarbeiter im Ausland vor. Viele Unternehmen sind Töchter international agierender Konzerne oder haben selbst Töchter im Ausland. Dass der Datenschutz außerhalb Europas nicht so genau genommen wird, ist bekannt. Doch selbst innerhalb nationaler Grenzen wird häufig übersehen, dass gegen grundlegende Vorschriften verstoßen wird. Der Kreis der Probleme schließt sich, wenn es um die Übermittlung von Daten ins Ausland geht. Dies ist besonders beim Outsourcing der Personaldatenverarbeitung in fremde Länder problematisch.

Änderung der Standardvertragsklauseln

Anfang 2010 wurden die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern geändert. Sie bilden eine Möglichkeit, beim Datenaustausch mit Ländern außerhalb der Europäischen Union (EU) die Vermutung zu stützen, dass ein angemessenes Datenschutzniveau vorherrscht. In einem solchen Fall kann die Übermittlung bzw. der Export von Arbeitnehmerdaten ins Ausland erlaubt sein. Findet sich keine Rechtsgrundlage für die Datenströme, dann sind sie verboten. Aufgrund der Datenschutzrichtlinie 95/46/EG (vgl. den Beitrag „Die erste Etappe ist geschafft! Der mühselige Weg zu einem Beschäftigtendatenschutzgesetz“, dbr 12/2009, Seite 10) wurde festgelegt, dass bestimmte Standardvertragsklauseln ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bieten.

Weitergabe von Verarbeitungen

Es gibt zwei Arten von Standardvertragsklauseln: Eine betrifft den Datenaustausch zwischen einem Inländer und seinem ausländischen Auftragsdatenverarbeiter. Sie wurde im Februar 2010 geändert; entsprechende Altverträge müssen daher angepasst werden. So muss ein Datenimporteur, der im Auftrag des in der EU ansässigen Datenexporteurs Daten verarbeitet – zum Beispiel indem er Personaldaten eines deutschen Unternehmens in Indien aufbereitet und Teile davon seinerseits an einen Subunternehmer abgeben will – vorab die schriftliche Einwilligung des Datenexporteurs in Deutschland einholen. Dem „Unterauftragsverarbeiter“ werden in einer schriftlichen Vereinbarung die gleichen Pflichten auferlegt, die der Datenimporteur gemäß den Standardvertragsklauseln erfüllen muss. Für den Betriebsrat sind diese Hintergründe wichtig, weil er im Rahmen des § 11 BDSG (Bundesdatenschutzgesetz) in Verbindung mit § 80 Abs. 1 Nr. 1 Betr- VG das Recht hat, zu kontrollieren, ob alle geltenden Vorschriften zum Datenschutz (und damit zur Auftragsdatenverarbeitung) eingehalten werden.

„Normale“ Übermittlung

Eine andere Art der Standardvertragsklauseln betrifft die „normale“ Übermittlung zwischen zwei Stellen im Inund Ausland. Auch dort reicht das Prüfungsrecht des Betriebsrats gemäß § 80 Abs. 1 Nr. 1 BetrVG direkt über die Übermittlungsregeln des Bundesdatenschutzgesetzes in die Standardvertragsregeln hinein. Der Betriebsrat kann und sollte also kontrollieren, ob es bei der Übermittlung von Arbeitnehmerdaten ins Ausland mit rechten Dingen zugeht und ob die genannten Klauseln eine mögliche Rechtfertigung darstellen.

Übermittlung im Europäischen Wirtschaftsraum

Nicht notwendig sind die Vertragsklauseln, wenn es um die Übermittlung personenbezogener Daten in Länder geht, denen die EU-Kommission ein angemessenes Datenschutzniveau bescheinigt. Hierzu gehören der Europäische Wirtschaftsraum, also neben den Ländern der Europäischen Union Island, Norwegen und Liechtenstein, sowie Unternehmen der Vereinigten Staaten von Amerika, die sich den Grundsätzen der vom US-Handelsministerium getroffenen Safe-Harbor-Regelung verpflichtet haben. Aber Vorsicht: Auch in diesen Fällen ist nach nationalem Recht zu prüfen, ob die Übermittlung erlaubt ist. Eine Übermittlung ins europäische Nachbarland ist nicht einfacher zulässig als eine Übermittlung innerhalb Deutschlands. Umgekehrt ausgedrückt: Wenn die Übermittlung schon innerhalb Deutschlands nicht erlaubt wäre, dann kann sie auch nicht ins europäische Ausland erfolgen. Kriterium der Zulässigkeit ist also stets das Bundesdatenschutzgesetz.

Bedeutung für die Praxis

Als Betriebsrat sollte man auf die folgenden Punkte achten:

> Haben wir eine Betriebsvereinbarung zum Thema Datenschutz?

> Ist darin geregelt, ob und unter welchen Voraussetzungen Arbeitnehmerdaten ins Ausland übermittelt werden dürfen?

> Wird dabei zwischen dem europäischen Ausland und dem übrigen Ausland unterschieden?

> Ist in der Betriebsvereinbarung geregelt, ob und unter welchen Voraussetzungen eine Auftragsdatenverarbeitung stattfindet?

> Spricht die Betriebsvereinbarung an, ob und inwieweit diese Auftragsdatenverarbeitung ins außereuropäische Ausland vergeben wird?

> Spricht die Betriebsvereinbarung an, wie der Betriebsrat die Auftragsdatenverarbeitung überwachen kann, ohne dass seine Informations- und Mitbestimmungsrechte eingeschränkt werden? Wenn der Betriebsrat eine dieser Fragen nicht mit „Ja“ beantwort, dann besteht Handlungsbedarf.

Checkliste: Ist eine Datenübermittlung ins Ausland erlaubt?

Prüfung der Rechtsgrundlagen

Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass der Umgang mit Mitarbeiterdaten so lange verboten ist, bis er durch eine Rechtsgrundlage erlaubt ist:

> § 4b und § 4c BDSG in Verbindung mit § 4a (Einwilligung), §§ 28 – 30, § 3 Abs. 8 BDSG;

> Standardvertragsklauseln als „Ersatz“ für den obigen Punkt;

> Safe-Harbor-Prinzip (gilt nur für die USA) als „Ersatz“ für die obigen Punkte.

Wann ist die Datenübermittlung eher „unproblematisch“?

> Ein häufiger und schwerer Fehler ist, dass nur geprüft wird, welche besonderen Voraussetzungen erfüllt werden müssen, nicht aber die Zulässigkeit der Übermittlung selbst. „Unproblematisch“ heißt hier also nur, dass die gleichen Prüfungen bezüglich der Zulässigkeit der Übermittlung anzustellen sind wie bei einer innerstaatlichen Übermittlung.

> § 4b Abs. 1 BDSG: Die Übermittlung von Daten kann nach dem Erlaubnisvorbehalt an Stellen in Mitgliedstaaten der Europäischen Union sowie in Norwegen, Liechtenstein und Island sowie an Organe und Einrichtungen der Europäischen Gemeinschaften erlaubt sein.

Wann ist die Datenübermittlung eher problematisch?

Eine Übermittlung hat gemäß § 4b Abs. 2 Satz 2 BDSG zu unterbleiben, wenn der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Das wird beispielsweise dann angenommen, wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist. Ein angemessenes Datenschutzniveau besteht nur in den oben genannten Ländern. Tipp: Bei sensiblen Daten mit Vorsicht herangehen.

Angemessenes Datenschutzniveau

Die interne Feststellung eines angemessenen Datenschutzniveaus, z.B. durch den Datenschutzbeauftragten des Unternehmens, genügt in der Regel nicht. Das Unternehmen sollte die Aufsichtsbehörden einbeziehen oder den Sachverhalt durch einen Datenschutzexperten prüfen lassen.

Ausnahmen

> Prüfen sollte man stets, ob gegebenenfalls die Voraussetzung des angemessenen Datenschutzniveaus entbehrlich ist. Solche Ausnahmen sind in § 4c Abs. 1 und Abs. 2 BDSG zu finden.

> § 4c Abs. 1 Nr. 2 BDSG deckt keine Personaldatenverarbeitung ab. Diese ist stets gesondert erlaubnispflichtig.

Offiziell angemessenes Datenschutzniveau

Einfach ist die Prüfung, wenn das angemessene Datenschutzniveau „offiziell“ festgestellt wurde. Das hat die Europäische Kommission für folgende Länder getan:

> Argentinien,

> Guernsey,

> Schweiz,

> Kanada (teilweise).

Safe-Harbor-Abkommen

Durch das Safe-Harbor-Abkommen kann sich ein US-amerikanisches Unternehmen in den USA nach Richtlinien zertifizieren lassen, die zwischen den USA und Europa abgestimmt sind. Geschieht dies, so wird ein angemessenes Datenschutzniveau unterstellt.

Verwendung von Standardvertragsklauseln

Werden zur Datenübermittlung Standardvertragsklauseln der Europäischen Kommission angewandt, dann wird angenommen, dass bei der empfangenden Stelle ein angemessenes Datenschutzniveau herrscht. Die einfache Übernahme der Klauseln kann zu schwerwiegenden Problemen führen, wenn nicht der Zusammenhang zum eigentlichen Hauptvertrag, der die beiden Parteien miteinander verbindet, geprüft wurde. Immer zu prüfen ist, ob und inwieweit folgende Aspekte den Hintergrund der Datenübermittlung bilden bzw. sie beeinflussen:

> Art der übermittelten Daten;

> Zweckbestimmung;

> Dauer der geplanten Verarbeitung;

> Herkunfts- und Endbestimmungsland;

> die für den betreffenden Empfänger geltenden Rechtsnormen;

> die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen.