Firmenkunden

Daten­schutz bei Entsen­dun­gen: Die wich­tigsten Rege­lungen im Vorschrif­ten-Dschungel

Bei Entsendungen müssen personenbezogene Daten von Mitarbeitenden für Melde- und Registrierungsverfahren an Behörden, andere Unternehmen und weitere außerbetriebliche Stellen übermittelt werden. Was Arbeitgeber datenschutzrechtlich beachten sollten, haben wir für Sie zusammengestellt.

Um eine Übermittlung datenschutzkonform durchzuführen, sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. 

Für die Datenübermittlung innerhalb der EU gilt der Grundsatz des freien Datenverkehrs. Das heißt, die Datenübermittlung innerhalb der Union darf grundsätzlich nicht eingeschränkt oder gar verboten werden. 

Für welche Daten gilt die DSGVO?

Ein wichtiger Punkt ist, dass die Regelungen der DSGVO nur dann für die Übermittlung und Verarbeitung von Daten ins Ausland gelten, wenn es sich um "personenbezogene" Daten handelt. 

Dies sind Informationen, die sich auf identifizierbare natürliche Personen beziehen. Anonyme Daten, die nicht auf identifizierbare Personen zurückgeführt werden können, sind von der DSGVO nicht erfasst.

Verarbeitung von Daten im Sinne der DSGVO

Der Begriff "Verarbeitung" umfasst unter anderem 

  • das Erheben, 
  • das Speichern, 
  • das Verändern, 
  • das Löschen, 
  • die Verbreitung, 
  • die Offenlegung durch Übermittlung sowie 
  • die Nutzung von personenbezogenen Daten. 

Letztlich ist jede Form der Bereitstellung oder Nutzung von Daten also an der DSGVO zu messen.

Unbedingt beachten: Einwilligung der Mitarbeitenden

Für die Übermittlung von Beschäftigtendaten bedarf es einer Erlaubnisgrundlage. Diese kann sich aus Art. 6 DSGVO oder § 26 BDSG ergeben. 

In der Praxis wird häufig eine Einwilligung der betroffenen Mitarbeiter eingeholt. Eine Hilfe beim Erstellen einer entsprechenden Einwilligung ist die Praxishilfe DS-GVO VII der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Der Umfang der Datenübermittlung kann dabei variieren, weshalb eine Einzelfallprüfung erforderlich ist. 

Bei der Datenübermittlung ist das Need-to-know-Prinzip zu beachten, das heißt, es dürfen nur die Daten übermittelt werden, die für die Ermöglichung der Entsendung unerlässlich sind.

Rechtsanwalt Dr. Michael R. Fausel von der auf Arbeitsrecht spezialisierten Kanzlei BLUEDEX Labour Law aus Frankfurt erklärt, dass gemäß § 26 Abs. 1 S. 1 BDSG personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für im Rahmen einer Einstellung, für die Durchführung einer Beschäftigung und bei einer Kündigung erforderlich ist. 

Die Datenübermittlung und -verarbeitung dürfte insoweit zulässig sein, wenn sie durch den Arbeitsvertrag oder einen Ergänzungsvertrag gedeckt ist. Dies ist - im Falle einer Entsendung - insbesondere dann der Fall, wenn die Möglichkeit der Entsendung bereits im Arbeitsvertrag ausdrücklich vorgesehen oder durch eine Nebenabrede festgelegt ist sowie bei sehr kurzfristigen Entsendungen (Dienstreisecharakter), so Dr. Fausel weiter. 

Was gilt innerhalb und außerhalb der EU?

Eine Datenübermittlung ins (EU-)Ausland ist nur dann zulässig, wenn sichergestellt ist, dass die personenbezogenen Daten auch beim Empfänger DSGVO-konform verarbeitet werden, was bei einem Unternehmen mit Sitz in einem EU-Mitgliedstaat automatisch der Fall ist. Durch einen Beschluss der Staaten im Europäischen Wirtschaftsraum (EWR) wurde die Anwendung der DSGVO auch in den Staaten Lichtenstein, Island und Norwegen beschlossen. 

Unter "Drittland" im Sinne der DSGVO sind daher alle Staaten zu verstehen, die nicht Mitgliedstaaten der EU oder des EWR sind. Für diese Länder wird die Einhaltung der Datenschutzregeln auf unterschiedliche Weise sichergestellt - entweder durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder wenn geeignete Garantien, wie Standarddatenschutzklauseln, bestehen.

Wo gilt ein Angemessenheitsbeschluss?

Bei dem Angemessenheitsbeschluss handelt es sich um eine Entscheidung der Europäischen Kommission, mit der festgestellt wird, dass in einem bestimmten Drittland ein Schutzniveau besteht, das dem Schutzniveau der Datenschutz-Grundverordnung gleichwertig ist. Dies wird durch eine Prüfung der innerstaatlichen Rechtsvorschriften, der Existenz und effektiven Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie der internationalen Verpflichtungen des Drittlandes festgestellt. 

Einen Angemessenheitsbeschluss (Art. 45 DSGVO) hat die Kommission bisher für die folgenden 14 Staaten gefasst: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (nur für kommerzielle Organisationen), Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay, Vereinigtes Königreich. Weitere Informationen liefert die Übersicht des Hessischen Beauftragen für Datenschutz und Informationsfreiheit.

Was sind "geeignete Garantien"?

Liegt für ein Drittland kein Angemessenheitsbeschluss vor, darf eine Übermittlung personenbezogener Daten nur auf der Grundlage geeigneter Garantien erfolgen. Diese sollen die Mängel des Datenschutzniveaus im Drittland ausgleichen und so den Schutz der betroffenen Personen gewährleisten.

Geeignete Garantien sind

  • verbindliche interne Datenschutzvorschriften eines Unternehmens (sogenannte Binding Corporate Rules),
  • von der EU-Kommission oder einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln,
  • genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus sowie
  • einzeln ausgehandelte Vertragsklauseln.

Weiterführende Links sowie die Rechtsgrundlage finden Sie auf der Seite des Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz.

Die von der EU-Kommission verabschiedeten Standarddatenschutzklauseln dienen als vorformulierte Vertragsklauseln, deren Verwendung keiner weiteren Genehmigung durch eine Aufsichtsbehörde bedarf. Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen, die seit dem 27. September 2021 für Neuverträge verpflichtend anzuwenden sind. Die Umstellung aller Altverträge auf die neuen Standardvertragsklauseln musste bis spätestens 27. Dezember 2022 erfolgen. Sofern die Standardvertrags- bzw. Standarddatenschutzklauseln in unveränderter Form verwendet werden, sind die Datenübermittlungen genehmigungsfrei.

Was gilt, wenn nichts gilt

Liegt weder ein Angemessenheitsbeschluss vor, noch bestehen geeignete Garantien, kann die Übermittlung personenbezogener Daten ausnahmsweise trotzdem zulässig sein, wenn die Übermittlung

  • auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Personen erfolgt,
  • für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,
  • zum Schutz lebenswichtiger Interessen erforderlich ist,
  • aus wichtigen Gründen eines öffentlichen Interesses notwendig ist,
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Datenübermittlung in die USA

Mit dem Privacy-Shield-Urteil (Urteil Schrems II) erklärte der Europäische Gerichtshof im Juli 2020 das Privacy Shield für unzureichend und damit den Angemessenheitsbeschluss für ungültig. In dem Urteil wird festgestellt, dass das Datenschutzabkommen zwischen der EU und den USA (Privacy Shield) nicht ausreicht, um die Grundrechte der EU-Bürgerinnen und Bürger zu schützen. 

Problematisch ist bei der Übermittlung insbesondere die nachrichtendienstliche Rechtslage in den USA. So darf die Herausgabe personenbezogener Daten durch die Nachrichtendienste verlangt werden, soweit diese in den USA verarbeitet oder auch nur gespeichert werden.

Datenübermittlungen an die USA, die bisher auf das EU-US Privacy Shield gestützt wurden, müssen nun durch eine Schutzmaßnahme in Form geeigneter Garantien nach Art. 46 DSGVO abgesichert werden. Seither gibt es keinen Zertifizierungsmechanismus für Übermittlungen in die USA. 

Es sind vorübergehend die Standarddatenschutzklauseln der EU-Kommission anzuwenden. Die neuen Standardvertragsklauseln sind so lange zu verwenden, bis die Europäische Kommission einen Angemessenheitsbeschluss für ein angemessenes Schutzniveau beim Datenempfänger erlassen hat. Es muss sichergestellt sein, dass ein Zugriff von US-Behörden auf die Daten ausgeschlossen ist. Verhandlungen über ein zukünftiges Abkommen laufen bereits.  

Wer muss wann informiert werden?

Der Arbeitnehmer muss immer dann informiert werden, wenn eine Verarbeitung personenbezogener Daten stattfindet oder bereits weiterverarbeitete Daten anderweitig verwendet werden.

Um eine rechtskonforme Übermittlung von Beschäftigtendaten zu gewährleisten, ist es daher wichtig, den Datenschutzbeauftragten rechtzeitig einzubinden und die Beschäftigten über die Datenübermittlung zu informieren. Nur so kann sichergestellt werden, dass sich die Datenübermittlung auf die zur Zweckerreichung unbedingt erforderlichen Daten beschränkt und ein angemessenes Datenschutzniveau gewährleistet ist.

Hilfestellungen zur Erstellung einer entsprechenden Information finden sich beispielsweise bei der Gesellschaft für Datenschutz und Datensicherheit e.V. oder auf der Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Zusätzliche Informationen finden Sie in der Infothek der unabhängigen Datenschutzbehörden des Bundes und der Länder.