Post „Safe Harbor“: Unsicherheit in der Praxis

Im Blickpunkt: Rechte und Pflichten für Unternehmen und Betriebsräte
Von Dr. Christian Schröder und Dr. André Zimmermann, LL.M.

Beitrag als Download (PDF)

Einleitung

Viele Unternehmen sind nach der Entscheidung des EuGH vom 06.10.2015 (Schrems/Irische Datenschutzaufsicht – C-362/14) zur Ungültigkeit der Safe-Harbor-Entscheidung der EU-Kommission (Entscheidung 2000/520/EG der Europäischen Kommission vom 26.07.2000) stark verunsichert. Klar ist, dass Übermittlungen von personenbezogenen Daten nicht mehr auf die Safe-Harbor-Entscheidung der Kommission gestützt werden dürfen. Darüber hinaus fechten aber insbesondere deutsche Datenschutzaufsichtsbehörden nun grundsätzlich fast jede Übermittlung von personenbezogenen Daten in die USA an und stellen damit insbesondere multinationale Unternehmen vor kaum lösbare Konflikte. Dieser Beitrag wird im nachfolgenden den Diskussionsstand aufzeigen und erörtern, welchen Pflichten Unternehmen wie aber auch Betriebsräte in Bezug auf Mitarbeiterdaten unterliegen.

Entscheidung des EuGH

Der EuGH hat in seiner Entscheidung vom 06.10.2015 die Safe-Harbor-Entscheidung der EU-Kommission vom 26.07.2000 für nichtig erklärt und zugleich die Rechte und Pflichten der nationalen Aufsichtsbehörden gestärkt (zu den Einzelheiten der Entscheidung siehe Schröder, ZD 2015, 501 ff.; Spies, ZD 2015, 549, 555 f.). Unternehmen, die bisher Datenübermittlungen auf „Safe Harbor“ gestützt haben, können sich jetzt nicht mehr auf dieses Abkommen berufen. Für diese liegt der Rat nahe, nun auf Alternativen wie die EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder die anderen von der Richtlinie 95/46 EC vorgesehenen Rechtfertigungsmöglichkeiten wie etwa Einwilligungen oder Einzelfallgenehmigungen auszuweichen. Der EuGH hat jedoch darüber hinaus eine Übermittlung von personenbezogenen Daten dann mit den EU-Grundfreiheiten für unvereinbar erklärt, wenn sie einem anlasslosen massenhaften Zugriff ohne Rechtsbehelf unterliegen (siehe obengenannte Entscheidung des EuGH vom 06.10.2015 Rn. 91 ff.). Diese Feststellung führt zu einer erheblichen Rechts­unsicherheit:

Diskussionsstand

Aus Sicht der betroffenen Unternehmen wäre es sicher wünschenswert gewesen, hätten sich die Aufsichtsbehörden auf eine möglichst einheitliche Bewertung des Urteils verständigen können. Leider ist es hierzu trotz unmittelbar nach dem Urteil von der EU-Kommission implizit ausgesprochener Bitte, eine möglichst einheitliche Linie zu entwickeln (Pressemitteilung 117/15 der Europäischen Kommission vom 06.10.2015), nicht gekommen. Eine deutsche Aufsichtsbehörde veröffentlichte schon am 14.10.2015 ihre Schlussfolgerungen aus dem Urteil und griff damit nicht nur einer Stellungnahme der Artikel-29-Gruppe auf europäischer Ebene vom 16.10.2015, sondern auch einer Stellungnahme der deutschen Datenschutzkonferenz vom 26.10.2015 (Kreis der deutschen Aufsichtsbehörden) vor. Der vorerst letzte Beitrag stammt von der EU-Kommission vom 06.11.2015. Während sämtliche Stellungnahmen festhalten, dass „Safe Harbor“ keine Datenübermittlung mehr rechtfertigen kann, sind sich die Aufsichtsbehörden bezüglich der Bewertung von Alternativen für eine Übermittlung in die USA uneins. Die Stellungnahmen lassen sich grob wie folgt zusammenfassen:

Datenübermittlungen in die USA sind zumindest bis Ende Januar 2016 zu rechtfertigen

Die Artikel-29-Gruppe, die aus Vertretern der nationalen Aufsichtsbehörden besteht, hat in einer Stellungnahme am 16.10.2015 die Auffassung vertreten, dass eine Lösung des Problems dringend auf zwischenstaatlicher Ebene zu suchen ist. Sie setzt hierfür eine Frist bis Ende Januar 2016 und deutet an, dass jedenfalls bis Ende Januar 2016 etwa die Standardvertragsklauseln und BCRs für die Übermittlung von personenbezogenen Daten genutzt werden könnten. Die EU-Kommission hat am 06.11.2015 (COM (2015) 566 final) ebenfalls die Auffassung vertreten, dass BCRs und Standardvertragsklauseln weiterhin Datenübermittlungen rechtfertigen können, weist aber zugleich auf die Unabhängigkeit der Aufsichtsbehörden hin und kann und will deren Entscheidungen daher nicht vorgreifen.

Datenübermittlungen in die USA können bereits jetzt unzulässig sein

In einer Stellungnahme vom 26.10.2015 vertrat die deutsche Datenschutzkonferenz (DSK) im Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder eine striktere Linie. Die DSK ist der Auffassung, dass bereits jetzt Datenübermittlungen auf Basis der Standardvertragsklauseln oder BCRs unzulässig sein können, wenn die vom EuGH kritisierte Gefahrenlage eines massenhaften und verdachtslosen Zugriffs auf Daten ohne Rechtsbehelf besteht. Darüber hinaus lehnt die DSK bereits jetzt die Genehmigung neuer BCRs ab (damit werden aber Datenübermittlungen auf bereits genehmigten BCRs nicht in Frage gestellt) und setzt hohe Anforderungen an eine Übermittlung von Daten basierend auf einer Einwilligung.

US-Datenübermittlungen sind derzeit grundsätzlich nicht zu rechtfertigen

Schließlich hat das Unabhängige Landeszentrum für Datenschutz in Schleswig Holstein (ULD) mit seinem Positionspapier vom 16.10.2015 für erhebliche nationale wie internationale Aufregung gesorgt. Nach Ansicht des ULD ist davon auszugehen, dass sämtliche Daten in den USA einem massenhaften Zugriff durch Geheimdienste unterliegen. Hieraus folgert das ULD, dass Datenübermittlungen in die USA nicht auf die Standardvertragsklauseln gestützt werden können. Selbst bei transparenten Einwilligungen sieht das ULD den Staat sogar in der Pflicht, den Bürger gegen sich selbst vor einer Übermittlung seiner Daten in die USA schützen zu müssen, und hält Einwilligungen in eine Übermittlung von Daten in die USA für unzulässig.

Bewertung

Folgte man der äußerst strengen Auslegung des ULD, wären Datenübermittlungen in die USA bereits heute im Regelfall nicht mehr zu rechtfertigen. Da multinationale Unternehmen ihre Datenverarbeitung jedoch nicht einfach durch Providerwechsel in die EU verlegen können, sondern gerade bei den zumeist vorhandenen Matrixstrukturen, die einen transnationalen Datenzugriff erfordern, auf den Datenfluss oder den Zugriff auf Daten in den USA angewiesen sind, wären sie praktisch zur Einstellung ihrer Geschäftstätigkeit verpflichtet und müssten sich schnellstmöglichst entflechten. Solche Radikallösungen erscheinen aber keineswegs zwingend. Die DSK hat zu Recht darauf hingewiesen, dass zunächst die vom EuGH besonders kritisierte Gefahrenlage im Einzelfall zu prüfen ist. Insofern ist durchaus fraglich, ob der nach den Snowden-Enthüllungen angeblich stattfindende massenhafte Zugriff auf Kommunikationsdaten durch US-Geheimdienste auch für Mitarbeiterdaten gilt (siehe Schröder, ZD 2015, 501, 502). Darüber hinaus ist zweifelhaft, ob Aufsichtsbehörden ohne auf den Einzelfall einzugehen die Nutzung von Standardvertragsklauseln für Datenübermittlungen in die USA in Frage stellen dürfen. Der EuGH wie auch die EU-Kommission haben zu Recht darauf hingewiesen, dass im Zweifel die Entscheidung des EuGH einzuholen ist.

Pflichten von Unternehmen und Betriebsräten – Fragen der Arbeitnehmervertretungen

Angesichts der aufgezeigten Unsicherheit bei der Bewertung der datenschutzrechtlichen Zulässigkeit von Datenübermittlungen in die USA stellt sich die Frage, wie Unternehmen und Betriebsräte mit der Situation in Bezug auf Mitarbeiterdaten umgehen müssen. Nicht wenige Unternehmen sehen sich nach der Entscheidung des EuGH und den konkretisierenden Stellungnahmen der Aufsichtsbehörden Fragen der Betriebsräte ausgesetzt: Werden personenbezogene Daten der Mitarbeiter in die USA übermittelt? Welches Unternehmen übermittelt welche Daten an welchen Empfänger? Welche Schutzmaßnahmen wurden vom Unternehmen ergriffen, um die Einhaltung des Bundesdatenschutzgesetzes (BDSG) zugunsten der Mitarbeiter sicherzustellen? Diese Fragen sind im Kern berechtigt, da sie von der allgemeinen Überwachungspflicht und den damit einhergehenden Informationsrechten des Betriebsrats gedeckt sind. Der Betriebsrat hat unter anderem darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden (§ 80 Abs. 1 Nr. 1 BetrVG). Hiervon wird auch der Beschäftigtendatenschutz erfasst (BAG, Beschluss vom 17.03.1987 – 1 ABR 59/85). Es gehört daher zu den Aufgaben des Betriebsrats, die Einhaltung des Beschäftigtendatenschutzes im Unternehmen zu überwachen.

Keine Durchsetzung des Datenschutzes durch den Betriebsrat

Der Betriebsrat kann die – vermeintlich – verletzten Gesetze jedoch nicht zugunsten der Arbeitnehmer im Beschlussverfahren vor dem Arbeitsgericht durchsetzen, es sei denn, existierende Betriebsvereinbarungen oder Regelungsabreden wurden nicht beachtet. So kann der Betriebsrat insbesondere nicht die Unterlassung der Übermittlung bestimmter Daten unter Hinweis auf die Safe-Harbor-Entscheidung oder die Stellungnahme von Aufsichtsbehörden gerichtlich durchsetzen. Er kann allerdings die für die Einhaltung des Gesetzes zuständigen Behörden informieren, wobei man unter dem Gesichtspunkt der vertrauensvollen Zusammenarbeit (§ 2 Abs. 1 BetrVG) fordern muss, dass er sich zuvor an den Arbeitgeber wendet. Das Gebot der vertrauensvollen Zusammenarbeit bestimmt nämlich auch, wie der Betriebsrat seine Aufgaben wahrzunehmen hat. Ein mutwilliges oder radikales Vorgehen des Betriebsrats, gerade in Zeiten der Rechtsunsicherheit, lässt sich nicht mit diesem Grundprinzip der Betriebsverfassung vereinbaren. Der Betriebsrat ist nach § 2 Abs. 1 BetrVG gerade auch aufgefordert, „zum Wohl … des Betriebs“ mit dem Arbeitgeber zusammenzuarbeiten. Vor diesem Hintergrund und der derzeit unklaren Rechtslage wird man vom Betriebsrat für einen Übergangszeitraum Zurückhaltung verlangen können, etwa auch bei Fragen von Mitarbeitern zu den Auswirkungen des Safe-Harbor-Urteils auf die Übermittlung ihrer Daten.

Aber: Informationsrecht des Betriebsrats

Mit der Überwachungspflicht korrespondiert ein entsprechendes Informationsrecht des Betriebsrats nach § 80 Abs. 2 Satz 1 BetrVG: Der Arbeitgeber ist verpflichtet, den Betriebsrat umfassend über alle Formen der Verarbeitung – hierzu zählt die Übermittlung (§ 3 Abs. 4 Satz 1 BDSG) – personenbezogener Daten der Arbeitnehmer zu unterrichten. Das liegt auf der Hand, denn wenn der Betriebsrat nicht weiß, welche personenbezogenen Daten an wen übermittelt werden, kann er die Einhaltung des BDSG nicht prüfen. Der Darlegung konkreter Anhaltspunkte für einen Verstoß durch den Betriebsrat bedarf es für die Geltendmachung des Unterrichtungsanspruchs nicht (BAG, Beschluss vom 19.02.2008 – 1 ABR 84/06).

Auch wird der Arbeitgeber Informationen zum Datenfluss nicht mit der Begründung verweigern können, dass es sich um Betriebs- oder Geschäftsgeheimnisse handelt. Zum einen wird hierin nur in seltenen Fällen ein Betriebs- oder Geschäftsgeheimnis zu sehen sein. Zum anderen sind die Mitglieder des Betriebsrats nach § 79 BetrVG zur Verschwiegenheit verpflichtet. Eine besondere Form der Information schreibt das BetrVG nicht vor, so dass grundsätzlich eine mündliche Information ausreicht. Bei komplexen Datenflüssen wird man aus Gründen der Verständlichkeit aber einen Anspruch des Betriebsrats auf schriftliche Auskunft annehmen müssen (BAG, Beschluss vom 10.10.2006 – Az. 1 ABR 68/05).

Fazit

Dem Betriebsrat stehen Überwachungs- und Informationsrechte im Hinblick auf die Einhaltung des Beschäftigtendatenschutzes zu. Für die von Rechtsunsicherheit geprägte Übergangszeit „post safe harbor“ ist es angezeigt, dass die Arbeitnehmervertretungen hier mit Blick auf den Grundsatz der vertrauensvollen Zusammenarbeit mit Augenmaß vorgehen und die betrieblichen Erfordernisse berücksichtigen – und sich nicht den Radikalpositionen einzelner Aufsichtsbehörden anschließen.

cschroeder@orrick.com

azimmermann@orrick.com

Hinweis der Redaktion: Die grundsätzliche Einordnung der Safe-Harbor­Entscheidung von Dr. Thomas Fischl finden Sie im Deutschen AnwaltSpiegel, Ausgabe 21/2015. (tw)