Suchbegriff

erweiterte Suche

AiB:Assist für den Betriebsrat


Der Betriebsrat findet in AiB:Assist alle wichtigen Informationen für seine Betriebsratsarbeit. Denn AiB:Assist ist das speziell für Betriebsräte entwickelte Online-Portal.

Alle Fragen rund um das Betriebsverfassungsgesetz wie Mitbestimmung, Freistellung, Betriebsratswahl, Sozialplan und Betriebsübergang werden genauso behandelt wie Fragen der Organisation des Betriebsrats oder Themen zum Kündigungsschutz, zum Arbeitsschutz und zum Gesundheitsschutz.

Der Betriebsrat findet auf jede Frage die passende Antwort, zudem Muster und Arbeitshilfen sowie die wichtigsten Urteile für seine Arbeit als Betriebsrat.

Aktuelle Meldungen

RSS

Datenschutz Safe Harbor – was Betriebsräte wissen müssen

[07.10.2015]Mit einem bahnbrechenden Urteil hat der EuGH das als »Safe Harbor« benannte Datenschutzabkommen zwischen der EU und den USA für ungültig erklärt. Das hat weitreichende Folgen für viele Unternehmen. Wir haben den Datenschutzexperten und Autor des Bund-Verlags, Dr. Thilo Weichert, zu den Folgen des Urteils befragt.

Personenbezogene Daten sind in den USA nicht ausreichend geschützt - so der Europäische Gerichtshof. Geheimdienste könnten zu leicht Zugriff nehmen (EuGH, Urteil vom 6.10.2015 - C-362/14, vgl. CuA-Web.de vom 6.10.2015). Mehr als 4.400 Unternehmen sind betroffen und befinden sich ohne rechtliche Grundlage.

Das gilt nicht nur für Facebook, Google und Co., sondern für zahlreiche Betriebe, die – wie bei einer Cloud - ihre Daten bei US-Dienstleistern verarbeiten oder speichern lassen. Dr. Thilo Weichert, Datenschutzexperte und Fachautor beim Bund-Verlag, erläutert, worauf es jetzt in den Betrieben ankommt:

1. Sind Sie nun erleichtert, dass endlich Klarheit herrscht?

Natürlich bin ich froh, dass die Argumente, die wir als kritische Datenschützer seit Jahren zu Datenübermittlungen in die USA, zu Safe Harbor und zum Datenabgriff durch US-Sicherheitsbehörden vorgetragen haben, endlich Gehör gefunden haben. Die Bundesregierung blieb insofern völlig untätig. Die EU-Kommission hatte bisher nur einen halben Schritt in Richtung Rechtsschutz der Betroffenen gemacht. Wir haben durch den EuGH mehr Klarheit, aber nur soweit er sich auch geäußert hat. Offene Fragen gibt es weiterhin viele.

2. Was bedeutet das EuGH-Urteil für Facebook-Nutzer?

Die Position der Betroffenen generell, also auch der Facebook-Nutzenden, wird gestärkt. Diese können sich an ihre nationale Aufsichtsbehörde wenden. Es besteht in jedem Fall - wird die EuGH-Rechtsprechung beachtet - ein Anspruch auf inhaltliche Bearbeitung durch eine europäische Datenschutzbehörde. Da Facebook - wie die meisten US-amerikanischen Internet-Anbieter - eine Niederlassung in Deutschland hat, gilt deutsches Recht. Bei dessen Verletzung besteht nicht nur ein Klagerecht, sondern nun auch die Chance, effektiven Rechtsschutz bei Gericht zu erhalten.

3. Welche Unternehmen sind neben facebook, Apple und Amazon noch besonders betroffen?

Alle, die auf der Grundlage von Safe Harbor Daten von Europa in die USA exportieren. Das sind Tausende, auch deutsche Unternehmen, die Daten an die USA weitergeben oder dort verarbeiten bzw. verarbeiten lassen. Indirekt betroffen sind auch die Unternehmen, die ihre Datenübermittlung in die USA über Standardvertragsklauseln oder über sog. Binding corporate Rules legitimieren. Viele Aussagen des EuGH gelten nicht nur für die USA, sondern für sämtliche Datenweitergaben in Drittstaaten ohne angemessenes Schutzniveau.

4. Was ist für Firmen, die ihre Daten in der Cloud speichern, nun zu tun?

Sie sollten umgehend mit ihren ausländischen Cloud-Anbietern Kontakt aufnehmen und diese auffordern, zusätzliche Gewährleistungen abzugeben, insbesondere im Hinblick auf die Weitergabe an Sicherheitsbehörden im Fall von gesetzllichen Verpflichtungen, auf den Rechtsschutz von Betroffenen und auf die Zuständigkeit der Datenschutzaufsichtsbehörde des Cloud-Nutzers. Als Grundlage lassen sich die Standardvertragsklauseln der EU nehmen, die jedoch im Hinblick auf die EuGH-Entscheidung in einige Punkten nachgebessert werden müssen.

5. Welche Konsequenzen hat das Urteil für Unternehmen, die Office 365 nutzen?

Nach meiner festen Überzeugung war die Nutzung von Office 365 schon vor dem EuGH-Urteil in Deutschland und Europa absolut unzulässig, nicht nur, weil dabei eine Verarbeitung in den USA erfolgt, sondern auch, weil die rechtlichen Anforderungen an eine Auftragsdatenverarbeitung in § 11 BDSG von Microsoft nicht eingehalten werden.

6. Darf mein Unternehmen überhaupt noch Daten in die USA übermitteln?

Die Datenschutzaufsichtsbehörden in Europa und in Deutschland sind schon seit gestern in einem engen Austausch und werden voraussichtlich sehr schnell erste Vorgaben machen. Dabei wird es sicher auch Übergangsfristen geben, die aber nicht allzu lange sein dürfen, da materiell seit gestern klar ist, dass die Datenübermittlungen per Safe Harbor unzulässig sind.

7. Wonach muss ich als Betriebsrat fragen, worauf ist besonders zu achten?

Betriebsräte von Safe-Harbor-Unternehmen sollten einen Plan von der Unternehmensleitung einfordern, in welcher Zeit welche Schritte unternommen werden sollen, um die unzulässigen Datenübermittlungen in die USA zu stoppen oder nachzubessern. Finden Standardvertragsklauseln oder Binding Corporate Rules - BCRs - Anwendung, so sollte kurzfristig eine Stellungnahme eingefordert werden, inwieweit diese noch mit der EuGH-Rechtsprechung vereinbar sind.

8. Kann es sein, dass viele Unternehmen nun versuchen, andere Wege zu nutzen, um weiter Daten zu übermitteln? Worauf ist zu achten?

Natürlich werden andere rechtliche Konstruktionen - etwa Standardverträge oder BCRs - gewählt werden. Doch müssen auch dann die EuGH-Anforderungen im Hinblick auf das materielle Recht, insbesondere die Zweckbindung, auf die Betroffenenrechte, auf die Datenschutzkontrolle und auf den Rechtsschutz eingehalten werden. Die beste Lösung wäre die ausschließliche Datenverabeitung innerhalb der EU. Zwar haben wir dann bei Unternehmen mit Töchtern oder Müttern in den USA immer noch das Problem des Patriot Act und des FISA, wonach Daten aus Europa herausgefordert werden können. Doch hiergegen können und sollten sich die Unternehmen zur Wehr setzen.

9. Was raten Sie allgemein Betriebsräten?

Der erste Schritt sollte sein, sich bei der Unternehmensleitung schlau zu machen, welche Daten in den USA verarbeitet werden und wie jetzt nachgebessert werden soll. Sollte es Betriebsvereinbarungen hierzu geben, so sollten die aufgekündigt bzw. müssen diese wahrscheinlich nachverhandelt und nachgebessert werden.

10. Welchen Praktiken sollte ich als Betriebsrat widersprechen?

Verweigert sich das Unternehmen den Dialog, dann sollte eskaliert werden. Dialog ist jetzt wichtig, wenn dahinter auf Unternehmensseite das Signal steht, sich an die vom EuGH geklärte Rechtslage anpassen zu wollen. Wenn nicht, sollten die Betriebsräte ihr rechtliches Instrumenatrium nutzen. Dazu gehört neben den arbeitsrechtlichen Mitteln auch das Recht, die zuständige Datenschutzaufsichtsbehörde einzuschalten.


Dr. Thilo Weichert, Jurist und Politologe, war von 2004 bis 2015 Datenschutzbeauftragter des Landes Schleswig-Holstein. Er ist Mitverfasser des Kompaktkommentars zum Bundesdatenschutzgesetz, der im Bund-Verlag erscheint.

Die Fragen stellte Bettina Frowein.

© bund-verlag.de (ck)