Herr Kramarsch, der EuGH hat das EU-US-Privacy-Shield-Abkommen am 16. Juli 2020 für ungültig erklärt. Das ist problematisch für Unternehmen und ihre Datenübertragung Mit welchen Argumenten hat der EuGH das Aus für den EU-US-Privacy-Shield begründet?
Michael H. Kramarsch: Die zentrale Aussage lautet: Da das nationale Sicherheitsbedürfnis in den USA höher eingestuft wird als der private Datenschutz, existiert dort kein adäquates Datenschutzniveau nach den europäischen Mindeststandards. Den US-Sicherheitsschutzbehörden und Geheimdiensten ist erlaubt, auf personenbezogene Daten zuzugreifen, – und das ohne einen mit Europa vergleichbaren Rechtsschutz. Daher sind europäische Unternehmen nun verpflichtet, sämtliche Vereinbarungen zum Datentransfer in die Vereinigten Staaten zu überprüfen. Ein Großteil von ihnen agiert seit Juli 2020 nicht mehr datenschutzkonform.
Sind die Anwendung der EU-Standarddatenschutzklauseln (SDK) oder der Corporate Binding Rules (CBR) eine Alternative für einen rechtssicheren Datenaustausch?
Michael H. Kramarsch: Im Grundsatz bejaht dies der EuGH. Beide rechtlich grundsätzlich möglichen Wege sind dazu geeignet, mit Dritten (SDK) und unternehmensintern (CBR) vertraglich ein den europäischen Vorgaben entsprechendes Datenschutzniveau herzustellen, wo staatliche Regelungen nicht ausreichen. In der Praxis würde das aber beispielsweise bedeuten: Ein US-Dienstleister müsste zusichern, dass die amerikanischen Behörden nicht auf die gespeicherten personenbezogenen Daten zugreifen werden bzw. können. Faktisch ist dieser Weg jedoch kaum gangbar. Ähnliches gilt für die Anwendung der CBR. Wenn US-Teile eines Konzerns Zugriff auf europäische persönliche Daten haben oder sich einen solchen verschaffen können, kann man des Zugriff der US-Behörden vertraglich nicht ausschließen, weil diese nicht an die vertraglichen Vereinbarungen zwischen Unternehmen bzw. innerhalb eines Unternehmens gebunden sind.
Wo liegen jetzt die Herausforderungen für Konzerne und Unternehmen, die in Geschäftsbeziehungen mit den USA stehen?
Michael H. Kramarsch: Da immer mehr Prozesse des Personalmanagements digital abgewickelt werden, müssen zum einen die internen Abläufe auf den Prüfstand. Üblich ist es bislang, dass zum Beispiel amerikanische Tochter- oder Schwestergesellschaften Zugriff auf persönliche Daten haben, die im Unternehmen in Europa liegen. Etwa im Rahmen von Talentmanagementprozessen und Gehaltsrunden oder der zentralisierten Stammdatenverwaltung. Ebenso im Bereich Global Mobility, Steuern, Versicherungen sowie Rückstellungen in der betrieblichen Altersversorgung. Nach dem Aus von Privacy Shield wird die Administration dieser Daten deutlicher schwieriger. Hier müssen die Unternehmen datenschutzkonforme Lösungen finden. Zu klären ist auch der Umgang mit Daten in der Cloud. Wenn HR-Daten nur in der Cloud gespeichert werden, kann über eine Verschlüsselung das europäische Schutzniveau wieder hergestellt werden. Wenn aber die Verarbeitung von Daten über eine SaaS-Lösung in der Cloud stattfindet, wird es problematisch. Ebenso ist es erforderlich, dass Unternehmen alle externen Dienstleister, denen sie personenbezogene Daten überlassen, auf Risiken bei der Datenübermittlung überprüfen. So kann ein in Deutschland ansässiger Software- oder Outsourcing-Anbieter oder eine Vergütungsberatung beispielsweise Ableger eines amerikanischen Unternehmens sein. Auch in diesen Fällen besteht Handlungsbedarf.
Welche Auswirkungen hat das EuGH-Urteil auf das Management von Compensation & Benefits?
Michael H. Kramarsch: Sehr große, aber das ist noch nicht vollständig im Bewusstsein der HR- und C & B-Verantwortlichen angekommen. Tatsächlich sind sie vorrangig diejenigen, die über persönliche Daten verfügen und mit ihnen arbeiten. Und das nicht nur bei internen Prozessen, sondern auch in der Zusammenarbeit mit externen Anbietern wie Vergütungsberatern, Payroll-Spezialisten und Personalberatern. Die neue rechtliche Situation betrifft darüber hinaus alle klassischen Bereiche von C & B, also vom Bewerber- und Talentmanagement bis zu Global Mobility, das mehrheitlich internationale Anbieter abdecken. Sobald amerikanische Dienstleister auf Payroll- und Vergütungsdaten zugreifen können oder beispielsweise Aktienprogramme verwalten, wird es problematisch.
Welche Herausforderungen ergeben sich aus dem Transfer von Entgeltdaten?
Michael H. Kramarsch: Zwar sind anonyme Daten von dem Aus für Privacy Shield nicht betroffen. Also stellt dies bspw. bei Übermittlung von Vergütungsdaten an Dritte weniger im unteren und mittleren Management ein Problem dar, da die Daten anonymisiert überliefert werden. Anders sieht es bei Organmitgliedern und im Top-Management aus. De facto handelt es sich dort um pseudonymisierte Daten, die – verknüpft mit leicht zugänglichen öffentlichen Angaben – einer bestimmten Person zugeordnet werden können. Auch in diesem Bereich ist es notwendig, ein datenschutzkonformes Vorgehen zu wählen.
Wie sollten C & B-Verantwortliche von internationalen Unternehmen vorgehen, um künftig datenschutzkonform zu handeln?
Michael H. Kramarsch: Das Thema Datenschutz auszusitzen ist keine Option, sondern hochriskant, da hohe Bußgeldzahlungen drohen oder arbeitsrechtliche Probleme, wenn der Datenschutz nicht eingehalten wird. Im ersten Schritt sollten die Verantwortlichen alle C & B-Prozesse, die mit persönlichen Daten arbeiten, unter die Lupe nehmen. Zum einen aus der internen Perspektive, zum anderen in Bezug auf die Auslagerung von Prozessen oder Teilprozessen an Dritte. Um die Konformität mit dem EU-Datenschutzniveau sicherzustellen, gibt es unterschiedliche Optionen. Aus interner Sicht können Unternehmen sicherstellen, dass beispielsweise ein Konzernverantwortlicher für Talentmanagement nicht in den USA sitzt und weltweite Verantwortung trägt. Auch können Berechtigungskonzepte in Softwarelösungen so vergeben werden, dass der Zugriff aus den USA nicht möglich ist. Diese Prozessadaptionen werden sich gut umsetzen lassen. Die größere Schwierigkeit liegt aus meiner Sicht in der Zusammenarbeit mit App-Anbietern, Social-Media-Plattformen, Google Analytics und ähnlichen Diensten, die ihre Daten in die USA übertragen und dort speichern bzw. verarbeiten. Ebenso wird die Frage der Datenverarbeitung in der Cloud für Anwender und Anbieter problematisch. Mittelfristig erwarte ich, dass die großen US-Anbieter ihre europäischen Daten an europäische Spin-Offs auslagern werden.
Wie werden die hiesigen Datenschutzbehörden vorgehen?
Michael H. Kramarsch: Die Landes- und Bundesdatenschützer wollen Unternehmen die Gelegenheit geben, geeignete datenschutzkonforme Anbieter zu finden. So sind die meisten Videokonferenzlösungen zwar nicht datenschutzkonform, aber nach heutigem Stand ist nicht zu erwarten, dass deren Nutzung sofort zu Sanktionen führen wird. Wenn sich allerdings Unternehmen nicht bemühen, interne Prozesse zu ändern und/oder neue Anbieter zu wählen, die datenschutzkonform agieren, wird es kritisch. International aufgestellte Unternehmen sollten daher alle internen und externen Prozesse mit persönlichen Daten auf ihre Rechtskonformität abklopfen. Die Datenschutzbehörden hierzulande werden in Zukunft kontrollieren, ob deutsche Unternehmen Maßnahmen ergreifen und, falls nicht, auch Bußgelder in abschreckender Höhe verhängen.