Unsicherer "Datenhafen": Safe Harbour ist nicht safe

Personenbezogene Daten dürfen nicht mehr auf der Basis der Safe Harbour Grundsätze in die USA übermittelt werden. Dies hat der Europäische Gerichtshof (EuGH) am 06.10.2015 entschieden. Nach diesem Urteil (Az.: C-362/14) wird in den USA ein angemessenes Schutzniveau für personenbezogene Daten selbst dann nicht gewährleistet, wenn die Safe Harbour Grundsätze angewendet werden. Die Safe Harbour Entscheidung 2000/520 der europäischen Kommission aus dem Jahr 2000 ist insoweit ungültig. Der „sichere Hafen“ ist also doch nicht sicher.

Bei den Safe Harbour Grundsätzen handelt es sich um ein Abkommen zwischen der EU-Kommission und dem amerikanischen Handelsministerium. Nach dem Bundesdatenschutzgesetz  (vgl. § 4b BDSG) ist es Unternehmen erlaubt, personenbezogene Daten ins Ausland zu übermitteln, sofern dort ein angemessenes Schutzniveau gewährleistet ist. Hatte sich ein Unternehmen in den USA, zu dem Daten übermittelt wurden, dazu verpflichtet, die Datenschutzgrundsätze im Sinne von Safe Harbour einzuhalten, so konnte bislang in aller Regel von einem angemessenen Schutzniveau ausgegangen werden. Die bloße Verpflichtung auf die Safe Harbour Grundsätze reicht nun nicht mehr aus, da nach der Ansicht des EuGH die Safe Harbour Grundsätze ein selbstzertifizierendes Verfahren ohne hinreichende Missbrauchskontrolle darstellen und damit europäischen Datenschutzstandards nicht genügen.

Im Ergebnis fehlt den Arbeitgebern zur Zeit eine Rechtsgrundlage für einen Datentransfer in die USA – was Betriebsräte  auf den Plan rufen sollte. Denn nach § 80 Abs. 1 BetrVG hat der Betriebsrat unter anderem die Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, wie beispielsweise das Bundesdatenschutzgesetz, eingehalten werden. Eine solche Aufgabe im Bereich des Datenschutzes ergibt sich ebenso aus § 75 Abs. 2 S. 1 BetrVG (Freie Entfaltung der Persönlichkeit, vgl. hierzu auch das aus Art. 2 Abs. 1 Grundgesetz (GG) abgeleitete Recht auf informationelle Selbstbestimmung). Betriebsräte sollten daher von ihrem Auskunftsanspruch nach § 80 Abs. 2 BetrVG Gebrauch machen und von den Arbeitgebern Informationen darüber verlangen, ob personenbezogene Daten von Beschäftigten, also Arbeitnehmerdaten, in die USA übermittelt sowie dort verarbeitet werden und - sofern dies zutrifft – wie nach der Safe Harbour Entscheidung des EuGH die Vorgaben des Bundesdatenschutzgesetzes künftig eingehalten werden sollen.