Im Juli trat die neue Datenschutzregelung EU-US-Privacy Shield in Kraft, der Nachfolger des vom Europäischen Gerichtshof (EuGH) im Oktober 2015 gekippten Safe-Harbor-Regelwerks. Wer sich dadurch erhofft hat, dass die Daten über den Atlantik nun problemlos fließen können, irrt. Der Datenschutz bleibt nach wie vor unsicher. Eingeordnet unter Sonstiges.
Wir erinnern uns zurück: Als der EuGH Ende des Jahres 2015 entschied, dass in den USA ein angemessenes Schutzniveau für personenbezogene Daten selbst dann nicht gewährleistet wird, wenn die bis dahin geltenden Safe-Harbor-Grundsätze angewendet werden, löste das in vielen Unternehmen hektische Ratlosigkeit aus. Es mussten, zumindest übergangsweise bis zu einer neuen rechtlichen Grundlage, Wege gefunden werden, die Datenübertragung in die USA aufrecht zu erhalten. Nun sollte mit dem Privacy Shield eine zuverlässige Lösung präsentiert werden.
Ziel der Parteien war es, die Vorgaben, die der EuGH in der Safe-Harbor-Entscheidung (Az.: C-362/14) aufgestellt hat, umzusetzen. Deshalb soll es durch Privacy Shield nun strengere Auflagen für Unternehmen geben, die personenbezogene Daten verarbeiten. Das US-Handelsministerium wird die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass die aufgestellten Regeln auch eingehalten werden. Demjenigen, der glaubt, unrechtmäßig überwacht worden zu sein, stehen verschiedene Möglichkeiten der Beschwerde und Streitbeilegung zu Verfügung, darunter auch eine angeblich von den Geheimdiensten unabhängige Ombudsstelle in den USA.
Ob das durch die Europäische Kommission nun angenommene Abkommen gleichwohl nicht eher einem „zahnlosen Tiger“ als einem sicheren Schutzschild gleicht, wird heftig diskutiert. Datenschützer befürchten, dass Privacy Shield Grundprobleme nicht lösen, insbesondere auch weiterhin Massenüberwachung zulassen wird. Selbst wenn nun auch Regelungen für Beschäftigte vorgesehen sind, beispielsweise dass Beschwerden von Beschäftigten primär über den Arbeitgeber in Europa und den europäischen Aufsichtsbehörden abgewickelt werden, ändert dies nichts daran, dass sich der Zugriff auf Beschäftigtendaten nicht von sonstigen Personendaten unterscheidet und für Beschäftigtendaten grundsätzlich keine darüberhinausgehenden Schutzmechanismen existieren.
Es ist eine Frage der Zeit bis auch dieses Regelwerk den Gerichten zur Überprüfung vorgelegt werden wird. Wie lange es bis dahin dauern wird, ist aber ungewiss. Betriebsräte sind also nach wie vor gefragt, wenn es um die Übermittlung und Verarbeitung von personenbezogenen Daten in die USA geht. Sie sollten auch weiterhin ihr Informationsrecht aus § 80 Abs. 2 BetrVG nutzen, um beim Arbeitgeber Informationen zu erfragen, wie die Übermittlung von Daten in die USA rechtlich gestaltet sein soll und im Rahmen ihrer Informations- und Mitbestimmungsrechte auf den Abschluss von zusätzlichen Vereinbarungen mit dem Arbeitgeber drängen.
Ruhe wird durch Privacy Shield jedenfalls nicht einkehren. Betriebsräten ist zu raten, die Übermittlung von Beschäftigtendaten in die USA durch den Arbeitgeber kritisch zu hinterfragen und sich nicht auf Privacy Shield zu verlassen.