Datentransfer in Drittländer erschwert
Prof. Dr. Franz-Josef Rose
Privacy Shield widerspricht den Datenschutzstandards
Der EuGH hat mit Urteil vom 16. Juli 2020 (C - 311/18) den EU-US-Datenschutzschild „Privacy Shield“ für ungültig erklärt. Datenübertragungen auf Basis sog. Standardvertragsklauseln bleiben weiterhin möglich, wenn strenge Vorgaben berücksichtigt werden. Das Urteil betrifft insbesondere europäische Unternehmen, die ihre Daten in die USA übermitteln.
Der Entscheidung des EuGH ging eine Beschwerde bei der irischen Datenschutzbehörde voraus. Der Österreicher Max Schrems beanstandete die Weiterleitung seiner personenbezogenen Daten von Facebook Ireland an Facebook Inc. in den USA. Nach seiner Auffassung sei kein ausreichender Schutz vor dem Zugriff der US-amerikanischen Behörden auf aus der EU übermittelte Daten gegeben. Er hält den Datentransfer sowohl auf Grundlage des Privacy Shields als auch unter Verwendung von sog. Standardvertragsklauseln für unzulässig. Der EuGH hat entschieden, dass die Datenübermittlung mittels Privacy Shield unzulässig sei.
Hinsichtlich der Verwendung von Standardvertragsklauseln kann nach Auffassung des EuGH weiterhin der Datentransfer zulässig sein, wenn die Übermittlung personenbezogener Daten nach den Vorgaben und vor allem auf dem Schutzniveau der Datenschutzgrundverordnung erfolgt. Dies setzt ein angemessenes Datenschutzniveau im Drittland, also dem Empfängerland der Daten, voraus.
Der EuGH führt weiter aus, dass aufgrund der weitreichenden Zugriffsmöglichkeiten der amerikanischen Sicherheitsbehörden auf elektronisch gespeicherte Daten, die europäischen Anforderungen an den Datenschutz für in die USA übertragene Nutzerdaten nicht gewährleistet seien. Hinzu käme ein unzureichender Rechtsschutz für Betroffene.
Dies hat zur Konsequenz, dass eine zulässige Datenübermittlung mit Standardvertragsklauseln voraussetzt, dass sich die Vertragsparteien dazu verpflichten, ein angemessenes Datenschutzniveau einzuhalten. Die vereinbarten Vertragsklauseln unterliegen der ständigen Kontrolle durch die Aufsichtsbehörden. Zudem werden die Vertragsparteien zur Prüfung verpflichtet, ob die Rechtslage im Empfängerland die Einhaltung der Standardvertragsklauseln zulässt.
Die EU-Kommission überarbeitet derzeit die Standardvertragsklauseln. Die derzeitigen Standardvertragsklauseln können auf der Seite des hessischen Datenschutzbeauftragten in deutscher und englischer Sprache abgerufen werden.
Folgen für die Praxis:
Datenübermittlungen in Drittstaaten, die ausschließlich auf das Privacy Shield gestützt werden, müssen eingestellt werden. Es existieren keine Übergangsfristen, d.h. die Übermittlung auf Basis des Privacy Shield wird mit sofortiger Wirkung unzulässig.
Zwar bleiben die als alternative Grundlage für Datentransfer in Drittstaaten genutzten „Standardvertragsklauseln“ grundsätzlich wirksam. Sie unterliegen aber der strengen Aufsicht der Datenschutzbehörden und erfordern umfassende Prüf- und Handlungspflichten der Vertragsparteien. Unternehmen, die bereits heute Standardvertragsklauseln verwenden, sollten dokumentieren, dass sie die nationale Rechtslage des Empfängerlandes und die Einhaltung der Vertragsbedingungen hinreichend kontrolliert haben, um etwaige Vorwürfe behaupteter DSGVO-Verstöße effektiv entkräften zu können.
Sollte die Datenübermittlung nicht auf Basis der Standardvertragsklauseln in zulässiger Weise stattfinden können, kann sie lediglich auf Grundlage des Art. 49 DSGVO erfolgen. Danach bildet z.B. eine Einwilligung eine zulässige Rechtsgrundlage für die Datenübermittlung in Drittstaaten und damit auch in die USA. Wichtig ist, die Einwilligung muss nicht mehr schriftlich erfolgen und kann vom Arbeitnehmer jederzeit und ohne Begründung widerrufen werden.
Urlaub in Risikogebieten - Reisewarnung und Quarantäne
Prof. Dr. Franz-Josef Rose
Die Sommerferien stehen vor der Tür. Eine mögliche diesjährige Urlaubsreise steht wegen der weltweit ausgebrochenen Corona–Pandemie unter besonderen Vorzeichen.
Die Verordnung zur Bekämpfung des Corona Virus vom 13. März 2020 des Landes Hessen sieht wie die Regelung in anderen Bundesländern vor, dass Urlaubsrückkehrer, die sich in einem so genannten Risikogebiet aufgehalten haben, für 14 Tage in häusliche Quarantäne müssen und den Unternehmen in dieser Zeit nicht als Arbeitnehmer zur Verfügung stehen.
Eine Reihe von Rechtsfragen ergeben sich hieraus, die insbesondere aus einem möglichen Verschulden der eigenverantwortlich angetretenen Reise resultieren. Kann der Arbeitgeber bei einer möglichen Erkrankung die Entgeltfortzahlung verweigern? Vor allem wer bezahlt die Quarantänezeit? Weiterhin: Muss der Arbeitgeber die Regeln des Infektionsschutzgesetzes beachten?
Die genannten Fragen werden alle in der pdf-Datei beantwortet, den der Verfasser dieses Beitrags im Vorfeld mit Gesamtmetall besprochen hat.
Wichtig: Zusätzlich hat Gesamtmetall – als weitere Anlage – ein Info-Schreiben (hier als pdf-Datei) verfasst, welches im Vorfeld des Urlaubsantritts den Mitarbeitern kundgetan werden kann.
