Der Europäische Gerichtshof (EuGH) hat ent­schieden, dass Transfers perso­nenbezogener Daten in die USA nicht mehr auf Grundlage der sog. „Safe Harbour”-Grundätze erfolgen dürfen (EuGH vom 06.10.2015 – C-362/14), da die pauschale Frei­gabe der EU-Kommission mit Entscheidung 2000/520 nicht wirk­sam ist. Die EU-Kommission hatte dagegen das Abkommen mit den USA als „angemessenes Schutzniveau“ betrachtet.

Der EuGH hat u. a. ausgeführt:

– dass bereits die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland als solche eine Verarbeitung personenbezogener Daten im unions-rechtlichen Sinne darstellt (Rz. 45).

– dass eine solche Übermittlung nur zulässig ist, wenn die Drittländer ein angemessenes Schutzniveau gewährleisten (Rz. 48)

– dass die Feststellung, ob ein Drittland ein angemessenes Schutzniveau gewährleistet, sowohl von den Mitgliedstaaten als auch von der Kommission getroffen werden kann (Rz. 50).

– dass in Übereinstimmung mit den Schlussanträgen des Generalanwalts (dort Nr. 141) ein „angemessenes Schutzniveau“ so zu verstehen sei, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten muss, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist (Rz. 73).

Bei der inhaltlichen Bewertung bemängelt der EuGH, dass die Grundsätze des Safe Harbour ein selbstzertifizierendes Verfahren ohne hinreichende Missbrauchskontrolle darstellten. Die USA selbst haben sich dem auch nicht unterworfen (!) und zusätzlich stehen sie unter dem Vorbehalt der „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“. Eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens, so der EuGH (Rz. 94).

BETRIEBSRAT IST GEFORDERT

Nach § 80 Abs. 1 Ziff. 1 BetrVG hat der Betriebsrat darüber zu wachen, dass u. a. die zu Gunsten der Arbeitnehmer geltenden Gesetze eingehalten werden. Hierzu gehören auch die Anforderungen des Datenschutzes. Die Aufgabe der Ziff. 1 hat auch ein entsprechendes Informationsrecht zur Folge (siehe Mustertext in unserem NEWSLETTER EXTRA).

§ 87 Abs. 1 Ziff. 6 BetrVG eröffnet ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Überwachungseinrichtungen. Hierunter fallen alle Maßnahmen zur Vorbereitung, Zweckbestimmung und Wirkungsweise, also u.a. die Festlegung der Art und Weise der Verwendung, mithin die inhaltliche Gestaltung des Speicherungs- und Verarbeitungs-programms einschließlich Verwendungszweck (statt vieler: Fitting § 87 Rn. 248, 249). Insofern ist die Frage zu stellen, wo die erfassten Daten hingehen, insbesondere bei sog. Auftragsdatenverarbeitung. Hier wird man die eigenen Betriebsvereinbarungen zu technischen Einrichtungen zu prüfen haben bzw. bei zukünftigen Vereinbarungen die Frage ausgelagerter Datenhaltung bzw. -verarbeitung genauer zu betrachten haben, wenn hier die USA betroffen ist.

Information nach § 80 Abs. 2 zur Aufgabenerfüllung nach § 80 Abs. 1 Ziff. 1 BetrVG

Es gibt Handlungsbedarf für den Betriebsrat, nachdem der Europäische Gerichtshof (EuGH) die „Safe Harbour“-Entscheidung der Europäischen Kommission mit Urteil vom 06.10.2015 (C-362/14) für ungültig erklärt hat. Der Betriebsrat sollte prüfen, ob personenbezogene Daten von Arbeitnehmern des Betriebs durch Dritte in den USA verarbeitet werden und insofern geeignete, den Datenschutz berücksichtigende Regelungen, zu vereinbaren oder beste-hende Betriebsvereinbarungen angesichts der Entscheidung des EuGH gar anzupassen sind.
Sofern dem Betriebsrat die nähere Prüfung mangels eigener Erkenntnisse nicht möglich ist, besteht auch die Option, mit einem entsprechenden Auskunftsverlangen an den Arbeitgeber heranzutreten. Hierfür könnte der nachfolgende Textentwurf Verwendung finden.