TBS-Beraterin Racel Bosbach über aktuelle Entwicklungen im Datenschutz und deren Folgen für Beschäftigte
Aktuell unterliegt die Verarbeitung von personenbezogenen Daten in den USA nicht den gleichen Rechten und Schutzbestimmungen wie in der europäischen Union. Um nur ein Beispiel zu nennen: Im Gegensatz zu EU-Behörden können amerikanische Geheimdienste ohne richterliche Anordnung auf Daten, die auf US-Servern gespeichert sind, zugreifen.
Unterschiedliche Datenschutzniveaus zwischen USA und EU
Abkommen wie „Safe Harbour“ und „Privacy Shield“ stehen für erste Versuche, ein nach DSGVO angemessenes Schutzniveau für europäische Bürger*innen im amerikanischen Raum zu etablieren. Die so genannten Schrems-Urteile des EuGH offenbarten jedoch Mängel in diesen Vertragswerken. Die Folge: Die genannten Datenschutzabkommen wurden für unzureichend erklärt.
Diese ungeregelte Situation stellt für internationale Unternehmen ein Hindernis dar, ihren Kund*innen und Beschäftigten einen sicheren Datentransfer zwischen EU und USA zu gewährleisten. Gleiches gilt für amerikanische Unternehmen wie Microsoft, die ihre Software oder Dienstleistungen in Europa anbieten.
Der unsicheren Rechtslage mit proaktivem Handeln begegnen
Doch nun soll dieses Jahr endlich das langersehnte Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ Abhilfe schaffen. Wenn die Europäische Kommission das Datenschutzniveau als angemessen betrachtet, könnte die USA zu einem in puncto Datenschutz sicheren Drittstaat erklärt werden.
Ein solcher Angemessenheitsbeschluss wäre ein Fortschritt. EU-Bürger*innen könnten von einem Schutzniveau ausgehen, das den europäischen Datenschutzrechten entspricht. Zudem könnten Unternehmen mit internationaler Konzernstruktur einfacher und rechtssicherer Daten in die USA transferieren und dort verarbeiten.
Dennoch bleibt die Lage unsicher. Ob die Europäische Kommission ihre Entscheidung zu dem neuen Datenschutzabkommen gibt, war bis zum Redaktionsschluss offen. Darüber hinaus ist abzuwarten, ob ein positiver Bescheid von großer Dauer sein wird. Denn sicherlich stehen engagierte Datenschutzrechtler*innen bereits in den Startlöchern und prüfen den Entwurf auf Herz und Nieren. Der Aktivist Maximilian Schrems, auf dem sich die erwähnten Schrems-Urteile beziehen, lässt grüßen. Unabhängig von den aktuellen Entwicklungen ist den Interessenvertretungen deshalb ein proaktives Herangehen an die Datenschutzthematik zu empfehlen.
Was können Interessenvertretungen konkret tun?
- Information und Einsicht in Auftragsverarbeitungsverträge
Unabhängig, ob bei vorhandenen IT-Systemen oder bei Neueinführungen – Interessenvertretungen können den Arbeitgeber auf das Thema ansprechen und entsprechend die Serverstandorte der Systeme sowie eine vorhandene Übermittlung von Beschäftigtendaten ins Ausland erfragen. Ein ausgiebiger Informationsfluss ist vonnöten, damit der Betriebsrat eine Übersicht erhält, welche Daten von Beschäftigten betroffen sind und zu welchen Zwecken diese im Ausland verarbeitet werden. Aufschluss geben hier regelmäßig die Verträge, die mit Dienstleistern, Softwareherstellern oder konzerninternen Gesellschaften geschlossen werden. - Hinzuziehung der betrieblichen Datenschutzbeauftragten
Die Einbindung des oder der betrieblichen Datenschutzbeauftragten kann die Interessenvertretung dabei unterstützen, die notwendigen Informationen sowie Datenschutzfolgenabschätzungen zu erhalten. Darüber hinaus kann der oder die Datenschutzbeauftragte dazu beitragen, dass die Thematik im Betrieb nicht auf die leichte Schulter genommen wird. - Regelung in Form einer Betriebsvereinbarung
Die Serverstandorte sind ein wichtiger Verhandlungsgegenstand, den man in einer Betriebsvereinbarung oder Rahmenbetriebsvereinbarung verankern kann. Darin kann man beispielsweise festlegen, dass Serverstandorte nur innerhalb der europäischen Union oder eben in sicheren Drittstaaten erlaubt sind. Ebenfalls lassen sich über den § 87 Abs. 1 (6) BetrVG die technischen und organisatorischen Maßnahmen der jeweiligen IT-Systeme in den Fokus nehmen. Bindende Mindestanforderungen können in einer Betriebsvereinbarung festgelegt werden. Zum Beispiel sollten die Zugriffsrechte auf Beschäftigtendaten durch die Verantwortlichen vor Ort und im Ausland detailliert dargestellt und mit dem Betriebsrat abgestimmt werden. Zusätzlich ist die Regelung der Speicherdauer von Beschäftigtendaten ein geeignetes Werkzeug, um die Verarbeitung im Ausland einzuschränken. Vorstellbar ist auch die Verankerung von Prüfrechten des Betriebsrates, wie eine lesende Rolle im System, oder die Möglichkeit von Audits, um die Einhaltung der Regelungen bezüglich der Zugriffe aus dem Ausland zu prüfen.
Fazit
Interessenvertretungen können schon heute den betrieblichen Datenschutz fördern und ausbauen
Abschließend lässt sich zusammenfassen, dass derartige Regelungen dabei helfen können, den Schutz der Beschäftigten auch im Ausland auszuweiten und festzusetzen. Den aktuellen Entwicklungen und Bestrebungen zur Regelung eines sicheren Datentransfers in die USA zum Trotz: Das Thema Verarbeitung von Beschäftigtendaten im Ausland bleibt für Betriebsräte weiterhin ein wichtiger Aspekt bei der Mitbestimmung von IT-Systemen. Schon heute können Betriebsräte durch ihre Mitbestimmungs- und Kontrollrechte den Datenschutz im Betrieb fördern und ausbauen.
Sie haben Fragen? Dann kontaktieren Sie uns gern.
Das könnte Sie interessieren: "Gebrauchsanleitung zur Mitbestimmung bei IT- und Digitalisierungsprojekten"