Seite empfehlenPersonaldatenfluss im internationalen Konzern
Wenn die Gehaltsabrechnung für die Mitarbeiter einer deutschen Niederlassung in Singapur erstellt wird, die Arbeitnehmerdaten auf einem Computer in Indien gespeichert werden oder der E-Mail Server der Firma in San Francisco betrieben wird, ist der Datenschutz schwierig zu realisieren.
Angesichts der dramatisch gesunkenen Übertragungskosten spielt es wirtschaftlich so gut wie keine Rolle mehr, wo die Datenverarbeitung stattfindet. Die elektronische Datenverarbeitung hat eine weltweite Dimension erreicht. Den Arbeitnehmern sind diese Dimensionen in aller Regel nicht bewusst. Unbeschadet der sinkenden technischen Schwellen und der praktisch zu vernachlässigenden Übertragungskosten hat es allerdings erhebliche datenschutzrechtliche Konsequenzen, wo die Datenverarbeitung stattfindet.
Konzernproblematik
Besonders zu beachten ist auch bei transnational agierenden Unternehmen, dass es kein Konzernprivileg gibt. Auch konzernweit geltende Unternehmensregelungen ändern daran nichts. Der Datenaustausch zwischen selbstständigen Töchtern und dem Mutterkonzern ist eine Übermittlung von Daten. Im grenzüberschreitenden Datenverkehr ist danach zu unterscheiden, ob es sich um eine Datenübermittlung innerhalb des Europäischen Binnenmarktes oder in Drittstaaten handelt.
Datenübermittlung innerhalb des europäischen Binnenmarktes
Innerhalb der Mitgliedstaaten der Europäischen Union existiert ein vergleichbar hohes Datenschutzniveau, so dass es letztlich für den Betroffenen nicht entscheidend ist, ob seine Gehaltsdaten in Berlin, Warschau oder Lissabon verarbeitet werden. Datenübermittlungen innerhalb des europäischen Binnenmarktes sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland.
Datenübermittlung in Drittstaaten
Für die Frage, ob eine Datenübermittlung in ein Drittland zulässig ist, kommt es entscheidend darauf an, ob bei der empfangenden Stelle im Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Bisher hat die Europäische Kommission lediglich für einige wenige Länder wie Kanada, die Schweiz oder Argentinien entsprechende Feststellungen getroffen. Für den Rest der Welt muss im Einzelfall geprüft werden, ob ausnahmsweise trotzdem ein angemessenes Schutzniveau angenommen werden kann. Hierfür gibt es gesetzlich geregelte Ausnahmetatbestände (§4c BDSG):
Angemessenes Schutzniveau - Ausnahmen:
- Ein Tatbestand des gesetzlichen Ausnahmekatalogs ist die Einwilligung des Betroffenen (§4 c Abs. 1 Nr. 1 BDSG)
- Die Übermittlung kann auch dann zulässig sein, wenn die an dem Datenfluss beteiligten Stellen bestimmte Standardvertragsklauseln ohne Änderungen verwenden. Diese Standardvertragsklauseln enthalten rechtlich durchsetzbare Verpflichtungserklärungen und darauf gegründete Garantien des Datenexporteurs und des Datenimporteurs und gleichzeitig Schutzgarantien für die Betroffenen. Ihre Anerkennung als ausreichende Garantien ist nach Art. 26 Abs. 4 der EG-Datenschutzrichtlinie allein der Europäischen Kommission vorbehalten. Die Standardvertragsklauseln können von allen Unternehmen verwendet werden. Es bedarf dann keiner zusätzlichen Genehmigung mehr, wenn sie unverändert vom Unternehmen übernommen werden.
- Das BDSG sieht darüber hinaus die Möglichkeit einer Ausnahmegenehmigung durch die zuständige Datenschutzaufsichtsbehörde vor (§ 4c Abs. 2 BDSG). Die Erteilung einer solchen Genehmigung kann erfolgen, wenn die verantwortliche Stelle ausreichende Garantien zugunsten des Betroffenen vorweist. Als Grundlage solcher ausreichender Garantien nennt das Gesetz Vertragsklauseln oder verbindliche Unternehmensregelungen.
·Vertragsklauseln:
Unter Vertragsklauseln versteht das BDSG allein die von der verantwortlichen Stelle selbst erstellten Vertragsklauseln, nicht dagegen Standardvertragsklauseln nach Art. 26 Abs. 4.der EG-Richtlinie. Solche vertraglichen Verpflichtungen sind nur dann ausreichende Garantien, wenn der durch sie verbürgte Schutz des Betroffenen nach Abschluss des Vertrages nicht mehr zur Disposition der Stellen steht, die die Daten übermitteln und sie empfangen.
·Verbindliche Unternehmensregelungen:
Mit der Einführung verbindlicher Unternehmensregelungen trägt das Gesetz der Situation Rechnung, dass Teilunternehmen international tätiger Unternehmen in Ländern ohne angemessenes Datenschutzniveau operieren und dabei das Verhältnis der Teilunternehmen untereinander nicht von Vertragsklauseln bestimmt wird. Als Antwort hierauf gehen internationale Konzerne zunehmend dazu über, für alle Teilunternehmen standortunabhängig verbindliche Verhaltenskodizes auf den Gebieten des Datenschutzes und der Datensicherheit zu erlassen.
Verbindliche Unternehmensregelungen oder – entsprechend der inzwischen auf EU-Ebene eingebürgerten englischsprachigen Bezeichnung – Binding Corporate Rules (BCR) stellen grundsätzlich einen Unterfall vertraglicher Vereinbarungen dar.
Für die Ausgestaltung solcher Unternehmensregelungen ist ausschlaggebend, dass sie in einer rechtlich verbindlichen, alle Konzernunternehmen und Unternehmensteile gleichermaßen verpflichtenden Weise beschlossen werden und dass dies nach innen in Form von Handlungsanweisungen der jeweiligen Arbeitgeber gegenüber allen Arbeitnehmern umgesetzt wird, beispielsweise mithilfe einer Betriebsvereinbarung.
Die sogenannte Artikel 29-Gruppe – eine internationale Datenschutzgruppe, die die Europäische Kommission berät – hat sich mehrfach mit diesem Thema beschäftigt.
Im Jahre 2005 wurden zwei Arbeitspapiere erstellt, die europaweit von den Datenschutzbehörden als Hilfsmittel genutzt werden können. Zum einen wurde eine Muster-Checkliste für Anträge auf Genehmigung von Datenübermittlungen in Drittstaaten erstellt (WP 108 vom 14. April 2005). Den Unternehmen wird darin erläutert, welche Unterlagen in der Regel hierfür bei der zuständigen Datenschutz-Aufsichtsbehörde vorzulegen sind. In einem weiteren Arbeitspapier wurde ein Verfahren zur Kooperation innerhalb Europas zur Anerkennung von BCR festgelegt (WP 107 vom 14. April 2005). Da die Verfahrensweise sich in der Praxis als kompliziert und zeitaufwändig erwiesen hat, hat die Artikel 29-Gruppe Empfehlungen für ein Standardantragsverfahren erarbeitet, um ein vereinfachtes Verfahren wie bei den Standardvertragsklauseln zu erreichen (WP 133 vom 10. Januar 2007).
Sondersituation Vereinigte Staaten von Amerika
Die Vereinigten Staaten von Amerika gehören eigentlich auch zu den Staaten ohne angemessenes Datenschutzniveau. Die EU hat allerdings mit den Vereinigten Staaten eine besondere Abmachung über einen sogenannten “sicheren Hafen“ (Safe Harbor Agreement) getroffen. Bei Unternehmen, die sich zur Einhaltung der im Abkommen festgelegten Prinzipien bekennen und ihre Praxis entsprechend überprüfen lassen, wird ein angemessenes Datenschutzniveau angenommen. Die Einhaltung der Verpflichtung wird durch unabhängige Wirtschaftsprüfungsgesellschaften kontrolliert, und Verstöße können durch die Federal Trade Commission des US- Handelsministeriums mit erheblichen Bußgeldern geahndet werden. Ein wesentliches Manko des Safe-Harbor-Systems besteht allerdings darin, dass wichtige Branchen nicht in den Anwendungsbereich des Abkommens fallen, wie etwa die Banken und die Telekommunikationsunternehmen.
Auftragsdatenverarbeitung im internationalen Bereich
Aktuell gewinnt die Frage an Bedeutung, wie beim „Outsourcing“ der Datenverarbeitung, also bei der Vergabe der Erfassung, Speicherung und Auswertung personenbezogener Daten an externe Firmen, der Datenschutz gewährleistet werden kann. Soweit die Datenverarbeitung nur innerhalb der Europäischen Union vergeben werden soll, ist dies datenschutzrechtlich unproblematisch. Anders sieht es allerdings beim Outsourcing in die sogenannten Drittstaaten aus. So bemühen sich derzeit viele datenschutzrechtlich weniger entwickelte Staaten um Datenverarbeitungsaufträge europäischer Unternehmen. Theoretisch besteht hier zwar die Möglichkeit, die Outsourcing - Partner vertraglich auf die Gewährleistung des Datenschutzes zu verpflichten; allerdings bleibt fraglich, wie die Einhaltung dieser Verpflichtungen effektiv kontrolliert werden soll.