Die Kommission hatte zunächst erklärt, dass sie dafür zuständig ist, festzustellen, ob ein Drittland ein angemessenes Datenschutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind. Das angemessene Schutzniveau für die Übermittlung
von Daten aus der Gemeinschaft in die Vereinigten Staaten sollte des Weiteren erreicht sein, wenn die Grundsätze des „sicheren Hafens“ (Safe Harbour) sowie die dazu gehörenden „Häufig gestellten Fragen“ („Frequently Asked Questions“ – „FAQ“) beachtet werden.
Unter Bezug auf die bindende Wirkung der Safe Harbour Grundsätze lehnte der zuständige irische Datenschützer eine weitergehende Detailprüfung im Falle Facebook ab (Endnutzer haben einen Vertrag mit Facebook Ireland, die Daten gehen dann an die Facebook Inc. in den USA).
Der irische High Court hat für sich festgestellt, dass das irisches Datenschutzniveau nicht eingehalten würde, dann aber die Frage, ob man gleichwohl absolut an die in der Entscheidung der Union 2000/520 gebunden sei, an den EuGH weitergegeben.
Dies war der Anlass, nun die Safe Harbour Grundsätze als nicht wirksame Grundlage der Datenübermittlung einzuordnen und nach vielen Seiten Begründung schlicht festzustellen:
„Die Entscheidung 2000/520 der EU-Kommission ist ungültig.“
Der EuGH hat u. a. ausgeführt:
- dass bereits die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland als solche eine Verarbeitung personenbezogener Daten im unions-rechtlichen Sinne darstellt (Rz. 45).
- dass eine solche Übermittlung nur zulässig ist, wenn die Drittländer ein angemessenes Schutzniveau gewährleisten (Rz. 48).
- dass die Feststellung, ob ein Drittland ein angemessenes Schutzniveau gewährleistet, sowohl von den Mitgliedstaaten als auch von der Kommission getroffen werden kann (Rz. 50).
- dass in Übereinstimmung mit den Schlussanträgen des Generalanwalts (dort Nr. 141) ein „angemessenes Schutzniveau“ so zu verstehen sei, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten muss, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist (Rz. 73).
MUSTERSCHREIBEN AN ARBEITGEBER siehe unten
Bei der inhaltlichen Bewertung bemängelt der EuGH, dass die Grundsätze des Safe Harbour ein selbstzertifizierendes Verfahren ohne hinreichende Missbrauchskontrolle darstellten. Die USA selbst haben sich dem auch nicht unterworfen (!) und zusätzlich stehen sie unter dem Vorbehalt der „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“. Eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens, so der EuGH (Rz. 94).
BETRIEBSRAT IST GEFORDERT
Nach § 80 Abs. 1 Ziff. 1 BetrVG hat der Betriebsrat darüber zu wachen, dass u. a. die zu Gunsten der Arbeitnehmer geltenden Gesetze eingehalten werden. Hierzu gehören auch die Anforderungen des Datenschutzes. Die Aufgabe der Ziff. 1 hat auch ein entsprechendes Informationsrecht zur Folge (siehe hierzu den Mustertext unten).
§ 87 Abs. 1 Ziff. 6 BetrVG eröffnet ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Überwachungseinrichtungen. Hierunter fallen alle Maßnahmen zur Vorbereitung, Zweckbestimmung und Wirkungsweise, also u.a. die Festlegung der Art und Weise der Verwendung, mithin die inhaltliche Gestaltung des Speicherungs- und Verarbeitungs-programms einschließlich Verwendungszweck (statt vieler: Fitting § 87 Rn. 248, 249). Insofern ist die Frage zu stellen, wo die erfassten Daten hingehen, insbesondere bei sog. Auftragsdatenverarbeitung. Hier wird man die eigenen Betriebsvereinbarungen zu technischen Einrichtungen zu prüfen haben bzw. bei zukünftigen Vereinbarungen die Frage ausgelagerter Datenhaltung bzw. -verarbeitung genauer zu betrachten haben, wenn hier die USA betroffen ist.
Information nach § 80 Abs. 2 zur Aufgabenerfüllung nach § 80 Abs. 1 Ziff. 1 BetrVG
Es gibt Handlungsbedarf für den Betriebsrat, nachdem der Europäische Gerichtshof (EuGH) die „Safe Harbour“-Entscheidung der Europäischen Kommission mit Urteil vom 06.10.2015 (C-362/14) für ungültig erklärt hat. Der Betriebsrat sollte prüfen, ob personenbezogene Daten von Arbeitnehmern des Betriebs durch Dritte in den USA verarbeitet werden und insofern geeignete, den Datenschutz berücksichtigende Regelungen, zu vereinbaren oder beste-hende Betriebsvereinbarungen angesichts der Entscheidung des EuGH gar anzupassen sind.
Sofern dem Betriebsrat die nähere Prüfung mangels eigener Erkenntnisse nicht möglich ist, besteht auch die Option, mit einem entsprechenden Auskunftsverlangen an den Arbeitgeber heranzutreten. Hierfür könnte der nachfolgende Textentwurf Verwendung finden.
Ferner verbleibt die Möglichkeit, dass der Betriebsrat sich im Rahmen der Voraussetzungen des § 80 Abs. 3 BetrVG der Unterstützung externer Sachverständige zur Erfüllung seiner gesetzlichen Aufgaben bedient, bestehen.
MUSTERANSCHREIBEN AN ARBEITGEBER:
Auskunft des Betriebsrats zur „Safe Harbour“-Entscheidung
Sehr geehrte Damen und Herren,
der Europäische Gerichtshof hat die „Safe Harbour“-Entscheidung der Europäischen Kommission mit Urteil vom 06.10.2015 (C-362/14) für ungültig erklärt.
Nach § 80 Abs. 1 Ziff. 1 BetrVG hat der Betriebsrat darüber zu wachen, dass die zu Gunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Ein solches Schutzgesetz stellen §§ 4 Abs. 1, 11 Abs. 1 BDSG dar. Danach sind Sie als Auftraggeber dort, wo personenbezogene Daten von Arbeitnehmern des Betriebs durch Dritte erhoben, verarbeitet oder genutzt werden (Auftragsdatenverarbeitung) für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich.
Soweit diese Auftragsdatenverarbeitung aber durch Stellen in den Vereinigten Staaten von Amerika erfolgen sollte, stellt der Beitritt des Auftragsdatenverarbeiters in den USA zur „Safe Harbour“-Erklärung nach dem Urteil des Europäischen Gerichtshofs vom 06.10.2015 (C-362/14) nicht mehr sicher, dass ein angemessenes Schutzniveau für personenbezogene Dateneingehalten wird.
Vor diesem Hintergrund bitten wir um Beantwortung folgender Fragen:
1. Werden personenbezogene Daten von Arbeitnehmern des Betriebs im Rahmen der Auftragsdatenverarbeitung durch Dritte in den Vereinigten Staaten von Amerika verarbeitet?
2. Wenn Frage 1 mit ja beantwortet wurde: Welche Daten werden durch welches Unternehmen verarbeitet? Welche Maßnahmen haben Sie ergriffen, um zu gewährleisten, dass die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz gewährleistet ist?
Bitte beantworten Sie die vorstehenden Fragen bis zum Ablauf des XX.XX.2015 in Textform. Für den Fall des erfolglosen Fristablaufs behält sich der Betriebsrat ausdrücklich rechtliche Schritte vor.
Tags: Datenschutz, Mitbestimmungsrecht, personenbezogene Daten, Safe Harbour