Safe Harbor – was Betriebsräte wissen müssen
Personenbezogene Daten sind in den USA nicht ausreichend geschützt - so der Europäische Gerichtshof. Geheimdienste könnten zu leicht Zugriff nehmen (
EuGH, Urteil vom 6.10.2015 - C-362/14, vgl. CuA-Web.de vom 6.10.2015
). Mehr als 4.400 Unternehmen sind betroffen und befinden sich ohne rechtliche Grundlage.
Das gilt nicht nur für Facebook, Google und Co., sondern für zahlreiche Betriebe, die – wie bei einer Cloud - ihre Daten bei US-Dienstleistern verarbeiten oder speichern lassen.
Dr. Thilo Weichert
, Datenschutzexperte und Fachautor beim Bund-Verlag, erläutert, worauf es jetzt in den Betrieben ankommt:
Natürlich bin ich froh, dass die Argumente, die wir als kritische Datenschützer seit Jahren zu Datenübermittlungen in die USA, zu Safe Harbor und zum Datenabgriff durch US-Sicherheitsbehörden vorgetragen haben, endlich Gehör gefunden haben. Die Bundesregierung blieb insofern völlig untätig. Die EU-Kommission hatte bisher nur einen halben Schritt in Richtung Rechtsschutz der Betroffenen gemacht. Wir haben durch den EuGH mehr Klarheit, aber nur soweit er sich auch geäußert hat. Offene Fragen gibt es weiterhin viele.
Die Position der Betroffenen generell, also auch der Facebook-Nutzenden, wird gestärkt. Diese können sich an ihre nationale Aufsichtsbehörde wenden. Es besteht in jedem Fall - wird die EuGH-Rechtsprechung beachtet - ein Anspruch auf inhaltliche Bearbeitung durch eine europäische Datenschutzbehörde. Da Facebook - wie die meisten US-amerikanischen Internet-Anbieter - eine Niederlassung in Deutschland hat, gilt deutsches Recht. Bei dessen Verletzung besteht nicht nur ein Klagerecht, sondern nun auch die Chance, effektiven Rechtsschutz bei Gericht zu erhalten.
Alle, die auf der Grundlage von Safe Harbor Daten von Europa in die USA exportieren. Das sind Tausende, auch deutsche Unternehmen, die Daten an die USA weitergeben oder dort verarbeiten bzw. verarbeiten lassen. Indirekt betroffen sind auch die Unternehmen, die ihre Datenübermittlung in die USA über Standardvertragsklauseln oder über sog. Binding corporate Rules legitimieren. Viele Aussagen des EuGH gelten nicht nur für die USA, sondern für sämtliche Datenweitergaben in Drittstaaten ohne angemessenes Schutzniveau.
Sie sollten umgehend mit ihren ausländischen Cloud-Anbietern Kontakt aufnehmen und diese auffordern, zusätzliche Gewährleistungen abzugeben, insbesondere im Hinblick auf die Weitergabe an Sicherheitsbehörden im Fall von gesetzllichen Verpflichtungen, auf den Rechtsschutz von Betroffenen und auf die Zuständigkeit der Datenschutzaufsichtsbehörde des Cloud-Nutzers. Als Grundlage lassen sich die Standardvertragsklauseln der EU nehmen, die jedoch im Hinblick auf die EuGH-Entscheidung in einige Punkten nachgebessert werden müssen.
Nach meiner festen Überzeugung war die Nutzung von Office 365 schon vor dem EuGH-Urteil in Deutschland und Europa absolut unzulässig, nicht nur, weil dabei eine Verarbeitung in den USA erfolgt, sondern auch, weil die rechtlichen Anforderungen an eine Auftragsdatenverarbeitung in § 11 BDSG von Microsoft nicht eingehalten werden.
Die Datenschutzaufsichtsbehörden in Europa und in Deutschland sind schon seit gestern in einem engen Austausch und werden voraussichtlich sehr schnell erste Vorgaben machen. Dabei wird es sicher auch Übergangsfristen geben, die aber nicht allzu lange sein dürfen, da materiell seit gestern klar ist, dass die Datenübermittlungen per Safe Harbor unzulässig sind.
Betriebsräte von Safe-Harbor-Unternehmen sollten einen Plan von der Unternehmensleitung einfordern, in welcher Zeit welche Schritte unternommen werden sollen, um die unzulässigen Datenübermittlungen in die USA zu stoppen oder nachzubessern. Finden Standardvertragsklauseln oder Binding Corporate Rules - BCRs - Anwendung, so sollte kurzfristig eine Stellungnahme eingefordert werden, inwieweit diese noch mit der EuGH-Rechtsprechung vereinbar sind.
Natürlich werden andere rechtliche Konstruktionen - etwa Standardverträge oder BCRs - gewählt werden. Doch müssen auch dann die EuGH-Anforderungen im Hinblick auf das materielle Recht, insbesondere die Zweckbindung, auf die Betroffenenrechte, auf die Datenschutzkontrolle und auf den Rechtsschutz eingehalten werden. Die beste Lösung wäre die ausschließliche Datenverabeitung innerhalb der EU. Zwar haben wir dann bei Unternehmen mit Töchtern oder Müttern in den USA immer noch das Problem des Patriot Act und des FISA, wonach Daten aus Europa herausgefordert werden können. Doch hiergegen können und sollten sich die Unternehmen zur Wehr setzen.
Der erste Schritt sollte sein, sich bei der Unternehmensleitung schlau zu machen, welche Daten in den USA verarbeitet werden und wie jetzt nachgebessert werden soll. Sollte es Betriebsvereinbarungen hierzu geben, so sollten die aufgekündigt bzw. müssen diese wahrscheinlich nachverhandelt und nachgebessert werden.
Verweigert sich das Unternehmen den Dialog, dann sollte eskaliert werden. Dialog ist jetzt wichtig, wenn dahinter auf Unternehmensseite das Signal steht, sich an die vom EuGH geklärte Rechtslage anpassen zu wollen. Wenn nicht, sollten die Betriebsräte ihr rechtliches Instrumenatrium nutzen. Dazu gehört neben den arbeitsrechtlichen Mitteln auch das Recht, die zuständige Datenschutzaufsichtsbehörde einzuschalten.
Dr. Thilo Weichert
, Jurist und Politologe, war von 2004 bis 2015 Datenschutzbeauftragter des Landes Schleswig-Holstein. Er ist Mitverfasser des
Kompaktkommentars zum Bundesdatenschutzgesetz
, der im Bund-Verlag erscheint.
Die Fragen stellte Bettina Frowein.
© bund-verlag.de (ck)
