Beratung - Weiterbildung - Information für Interessenvertretungen

Wegfall von „Safe-Harbor“ schafft Handlungsbedarf

Was können Betriebsräte tun?

Mit dem Wegfall der „Safe-Harbor“-Regelung besteht für viele Unternehmen die Notwendigkeit, eine neue Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA zu schaffen. Auch für viele Betriebsvereinbarungen besteht Überarbeitungsbedarf. 

Der Europäische Gerichtshof (EuGH) hat im Oktober 2015 die Grundsätze der sogenannten „Safe-Harbor“-Datenschutzregelung für unwirksam erklärt. Safe Harbor (englisch für „sicherer Hafen“) ist der Name einer Entscheidung der Europäischen Kommission aus dem Jahr 2000, aufgrund derer es Unternehmen ermöglicht wurde, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.

Mit dem Urteil ist dieser Transfer nun nicht mehr erlaubt. Für viele Unternehmen, die die Übertragung personenbezogener Daten in die USA immer noch auf der Grundlage von Safe Harbor durchführen, stellt sich nun die Frage, welche rechtskonformen Alternativen für die Übertragung bestehen. Sofern es bei der Übertragung um Beschäftigtendaten geht, stellt sich darüber hinaus die Frage, ob gegebenenfalls bestehende Betriebsvereinbarungen (die mit einem Verweis auf die Safe-Harbor-Regelung die Datenübertragung erlauben) zu überarbeiten oder auch neu zu fassen sind.

Wer nicht auf die Zusammenarbeit mit US-Unternehmen verzichten will oder kann, für den gab und gibt es bisher im Wesentlichen drei Alternativen, um rechtmäßig personenbezogene Informationen über den Atlantik zu übermitteln:

  1. Die persönliche (freiwillige) Einwilligung der Datenübermittlung durch die Betroffenen. Diese Alternative dürfte jedoch sehr selten greifen, wenn es sich um Beschäftigtendaten handelt. Eine Freiwilligkeit ist im Arbeitsverhältnis nur in Ausnahmefällen anzunehmen.
  2. Sogenannte Standardvertragsklauseln, die die EU-Kommission formuliert hat und die zwischen datenübermittelnder und datenempfangender Stelle vertraglich vereinbart sein müssen.
  3. Die sogenannten „Binding Corporate Rules“, verbindliche, nach EU-Standards formulierte Konzernregeln zum Datenschutz, die auch für Konzerneinheiten in den USA verbindlich gemacht werden.

Ob die beschriebenen Alternativen in Zukunft rechtlich noch ausreichend für eine Datenübermittlung in die USA sind, ist fraglich. Die Datenschutzbeauftragten in den Bundesländern haben hierzu bisher noch keine einheitliche Rechtseinschätzung vorgenommen.

Welcher Handlungsbedarf besteht für Betriebsräte?

Den Wegfall von „Safe-Harbor“ zu ignorieren, ist über einen längeren Zeitraum sicher nicht zu empfehlen. Die EuGH-Entscheidung wird in Zukunft womöglich die Aufsichtsbehörden auf den Plan rufen und entsprechende Prüfungen wahrscheinlicher machen. Und auch die Beschäftigten sollten ihre Persönlichkeitsrechte berücksichtigt sehen. Die Betriebsräte sind hier in der Verantwortung, die bestehenden betrieblichen und unternehmensweiten Regelungen zur Datenübertragung in den Blick zunehmen und auf mögliche Schwachstellen hinweisen.

Betriebsräte sollten im Hinblick auf Safe-Harbor unbedingt klären:      

  • Gibt es Übertragungen von (Beschäftigten-)Daten in die USA?
  • Erfolgen diese Datenübertragungen auf der Grundlage der Safe-Harbor-Regelung?     
  • Sind die Datenübertragungen als „Geplante Datenübertragung in Drittstaaten“ im Verfahrensverzeichnis gemäß § 4 d,e Bundesdatenschutzgesetz aufgeführt?    

Sind die Datenübertragungen innerhalb von Betriebsvereinbarungen geregelt bzw. gibt es einen inhaltlichen Bezug dazu? Betriebsräte bringen so in Erfahrung, inwieweit die Safe-Harbor-Problematik auf ihren Betrieb oder ihr Unternehmen Auswirkungen hat. Neben der Überprüfung der bestehenden Betriebsvereinbarungen können sie ihren Informationsanspruch gegenüber dem Arbeitgeber geltend machen. Arbeitgeber sind dazu verpflichtet, Auskunft über die in Anwendung befindlichen Verfahren zu geben. Auf der Grundlage des Paragrafen 80 (2) und (3) des Betriebsverfassungsgesetzes bestehen neben dem Informationsanspruch auch Rechte auf den Einbezug interner Auskunftspersonen und externer Sachverständiger.

Ein Musterschreiben an den Arbeitgeber finden Sie hier

Bei der Bewertung des Sachstandes und der notwendigen Entwicklung von betrieblichen (Neu-) Regelungen können sich Betriebsräte durch die TBS-Beraterinnen und -Berater unterstützen lassen.

Sie wünschen mehr Informationen zum Thema? Melden sie sich einfach in der nächsten TBS-Regionalstelle oder nutzen sie unser Kontaktformular.

Ansprechpartner/in

Jens Göcking

Jens Göcking

Regionalstelle Dortmund
Tel.:0231 / 24 96 98 – 36
Mobil:0173 / 209 77 58
E-Mail senden
Zum Profil

Ansprechpartner/in

Michael Gensler

Michael Gensler

Regionalstelle Bielefeld
Tel.:0521 / 966 35 - 26
Mobil:0172 / 312 41 86
E-Mail senden
Zum Profil

Zum Hintergrund:

US-Unternehmen konnten bisher der sogenannten „Safe-Harbor“-Regelung beitreten und sich auf einer Liste des US-Handelsministeriums eintragen lassen. Damit verbunden war die Verpflichtung, vorgegebene Richtlinien zum Datenschutz zu befolgen. Im Gegenzug war es rechtskonform möglich, personenbezogene Daten aus Europa in die USA übertragen zu lassen.

Mit dem Urteil des Europäischen Gerichtshofs (EuGH) vom Oktober 2015 ist dieser Transfer nun nicht mehr erlaubt

Der EuGH begründete sein Urteil damit, dass die Europäische Kommission mit der Safe-Harbor-Regelung eine Kompetenzüberschreitung gegenüber den Regierungen der Mitgliedsstaaten der EU unternommen habe und darüber hinaus mit der praktizierten Regelung kein Schutz der personenbezogenen Daten sichergestellt werde. Der EuGH verwies insbesondere auf die Tatsache, dass amerikanische Geheimdienste mit Ihrer Zugriffspraxis auf personenbezogene Daten eine Überwachung ausübten, die „massiv und nicht zielgerichtet“ sei und daher keine Verhältnismäßigkeit wahre. Eine Möglichkeit der Betroffenen, den Schutz ihrer personenbezogenen Daten in den USA rechtlich durchzusetzen, bestünde darüber hinaus nicht.