Das neue EU-US-Privacy Shield – praktische Tipps für den BR
Nachdem der Europäische Gerichtshof das ungenügende Datenschutzniveau bei Übermittlung von personenbezogenen (Mitarbeiter)-Daten in die USA gerügt hat, musste statt des ‚Safe Harbor‘-Abkommens eine Neuregelung gefunden werden, das ‚Privacy Shield‘-Abkommen. Wir geben dazu praktische Tipps, welche Fragen jetzt dem Arbeitgeber gestellt werden sollten.
Aus deutscher Sicht war dies schon deshalb erforderlich, weil § 4b des Datenschutzgesetzes (BDSG) ausdrücklich die Datenübermittlung untersagt, wenn im Zielland kein angemessenes Datenschutzniveau gewährleistet ist. Seit dem 12.07.2016 liegt jetzt die sog. „Angemessenheitsentscheidung“ der EU-Kommission vor, das die Rechtsunsicherheit durch das neue „EU-US-Privacy-Shield“-Abkommen beseitigen soll. US-amerikanische Unternehmen müssen bestimmte Grundsätze, wie z.B. Sicherungsmaßnahmen einhalten und sich selbst zertifizieren. Auch müssen personenbezogene Daten gelöscht werden, sobald sie den ursprünglichen Zweck der Sammlung nicht mehr erfüllen.
Diese Selbstzertifizierung ist jährlich zu erneuern und deren Einhaltung wird künftig vom US-Handelsministerium von Amts wegen fortwährend überwacht und geprüft. Verstöße können mit Bußgeldern sanktioniert. Die zertifizierten Unternehmen werden vom US-Handelsministerium in einer für jedermann einsehbaren Liste aufgeführt und können bei Missbrauch von dieser Liste gestrichen werden. Ob das neue Abkommen den vom Europäischen Gerichtshof aufgestellten Standards genügt, ist allerdings zu bezweifeln. Mit weiteren Verfahren ist zu rechnen.
Betriebsräte sollten jetzt ihrem Arbeitgeber folgende Fragen stellen:
1. Werden personenbezogene Daten von Arbeitnehmern des Betriebs im Rahmen der Auftragsdatenverarbeitung durch Dritte in den Vereinigten Staaten von Amerika verarbeitet?
2. Wenn Frage 1 mit ja beantwortet wurde: Welche Daten werden durch welches Unternehmen verarbeitet? Welche Maßnahmen haben Sie ergriffen, um zu gewährleisten, dass die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz gewährleistet ist?
3. Liegt von dem US-amerikanische Unternehmen eine ‚Selbstzertifizierung‘ nach dem EU-US-Privacy Shield-Abkommen vor?
4. Ist das US-amerikanische Unternehmen, das im Rahmen der Auftragsdatenverarbeitung tätig ist, in der beim US-Handelsministerium geführten Liste verzeichnet?
5. Wie wird die jährliche Erneuerung der Selbstzertifizierung durch unseren deutschen Arbeitgeber überwacht?
Tags: Angemessenheitsentscheidung, BDSG, Datenschutz, EU-Kommission, EU-US-Privacy Shield