Aktuell ist Edward Snowden der bestgehasste Mann der US-Geheimdienste. Eines Tages wird er wahrscheinlich in den Geschichtsbüchern stehen als der Verräter, der den Datenschutz revolutionierte.

Jedenfalls taucht sein Name in der Entscheidung auf, mit der der Europäische Gerichtshof (EuGH) jüngst das Datenschutz-Abkommen mit den USA kassierte. Dieses 15 Jahre alte Abkommen erleichterte bisher den Austausch personenbezogener Daten zwischen der EU und den USA. Nach einer EU-Richtlinie ist die Übermittlung solcher Daten ins Ausland nur erlaubt, wenn dort für ausreichenden Datenschutz Gewähr geboten ist.

Das „Safe Harbor Abkommen“ erklärte die USA insgesamt zu einem sicheren Standort. Damit mussten Unternehmen nicht mehr untereinander teure und komplizierte Datenschutzverträge abschließen, sondern mussten nur dem Abkommen beitreten.

Die Entscheidung des EuGH

Nun aber hatte ein österreichischer Jurist unter Berufung auf Edward Snowden gegen die irische Datenschutz-Behörde geklagt. Seine persönlichen Daten auf den US-Servern von Facebook seien nicht vor geheimdienstlicher Ausspähung sicher. Der amerikanische Internet-Konzern hat seinen Europa-Sitz in Irland.

Der Fall landete vor dem EuGH und die Entscheidung dürfte in den USA als „unfriendly act“ wahrgenommen werden. Der nach den Anschlägen vom 11. September erlassene „Patriot Act“ verpflichtet US-Unternehmen, Daten auf Verlangen der US-Geheimdienste herauszugeben. Das verletzt nach Auffassung des EuGH den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“.

Der Umfang der Datenübermittlung an US-Behörden gehe über das hinaus, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig sei, urteilten die Richter. Da EU-Bürger gleichzeitig keinerlei rechtliche Möglichkeit hätten, ihre Daten auf US-Servern löschen zu lassen, sei ebenfalls der „Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz“ verletzt.

Der EuGH erklärte das „Safe Harbor Abkommen“ daher für ungültig.

Wer von der Entscheidung betroffen ist

Die Entscheidung betrifft nun alle Unternehmen, die in irgendeiner Weise personenbezogene Daten mit den USA austauschen. Das sind zum einen natürlich solche Betriebe, die Mutter- oder Tochter-Unternehmen in den USA haben. Aber auch zahllose Unternehmen, die Cloud-Dienste mit in den USA stationierten Servern nutzen.

Die Firmenleitungen müssen ohnehin handeln. Weil es bei personenbezogenen Daten naturgemäß auch oft um die Daten von Mitarbeitern geht, ist außerdem der Betriebsrat gefordert – alleine schon aus Interesse an Prosperität und Existenz des Unternehmens.

Der Datenschutz ist auch für Kundenbeziehungen relevant. Wenn Kunden an der Datensicherheit zweifeln, sind damit gleichzeitig Unternehmens-Erfolg und Arbeitsplätze gefährdet.

Deutschlands größte Datenprofis von SAP nahmen das etwa schon 2014 vor der EuGH-Entscheidung sehr ernst. Dort wehrte sich der Betriebsrat erfolgreich dagegen, dass die Ergebnisse der für die Unternehmenspolitik stets wichtigen Mitarbeiterbefragung auf einem US-Server gespeichert werden.

Was Betriebsräte jetzt tun sollten

Nicht jeder Betriebsrat kann ein IT-Rechtsexperte sein. Deshalb kann es ratsam sein, wenn sich Betriebsräte zu der neu eingetretenen Rechtssituation professionell schulen lassen.

Betriebsräte sollten jetzt in einem ersten Schritt von der Unternehmensleitung Auskunft über Art und Umfang einer Datenübermittlung und –verarbeitung in den USA verlangen. Etwaige Betriebsvereinbarungen darüber sollten von Arbeitnehmerseite gekündigt werden.

Darüberhinaus sollte die Unternehmensleitung dem Betriebsrat einen Maßnahmen-Plan vorlegen, wie und wann eine unzulässige Datenübermittlung gestoppt wird. Wenn die Unternehmensleitung Auskunft oder Maßnahmen verweigert, raten Experten durchaus dazu, Klage zu erheben und die Datenschutzbehörde einzuschalten.

Pin it!