Vermutlich wussten Sie das nicht. Doch schließlich entzieht ja der Arbeitgeber dem Betriebsrat seine Kontrollrechte aus § 80 I Nr. 1 BetrVG, sobald er sie aus dem räumlichen Bereich des Betriebes herausbringt.
"Das geschieht aber doch auch schon, wenn er sie von Hamburg nach München überträgt", werden Sie vielleicht jetzt einwenden. Und das ist richtig. Auch bei solchen Datenübertragungen hat der Betriebsrat mitzureden.
Typisches Beispiel hierfür sind outgesourcte Rechenzentren, die die Lohnbuchhaltung für das Unternehmen durchführen, oft sogar gesellschaftsrechtlich "Töchter" innerhalb des Konzerns (was die Sache nicht zulässiger macht).
Aber wenn die Daten erst einmal die Grenze überschritten haben, wird das natürlich noch schwieriger. Und wenn diese Grenze dann auch noch außerhalb des EU-Raumes liegt, dann scheint das nahezu unmöglich zu werden. Deshalb geben viele Betriebsräte angesichts dieser kaum vorstellbaren Aufgabe schlicht auf. Doch die Empfehlung kann nur lauten: "Bleiben Sie dran!“.
Begleiten Sie Ihre Daten ins Ausland!
Des Rätsels Lösung liegt schlicht darin, den Weg der Daten durch saubere rechtliche Regelungen zu begleiten. Solche Regelungen können einerseits in Betriebsvereinbarungen liegen, andererseits aber auch in Formulierungen, die der Arbeitgeber direkt mit seinen Datenempfängern treffen muss. Dieses „muss“ kann sich dann wiederum als Folge eines entsprechenden Gebots der zugrundeliegenden Betriebsvereinbarung darstellen.
Aber kann denn tatsächlich der Betriebsrat dem Arbeitgeber vorschreiben, wie er seine Service-Verträge mit Dritten auszugestalten hat? Ja, er kann. Der Grund dafür liegt im Mitbestimmungsrecht des Betriebsrats aus § 87 I Nr. 6 BetrVG.
Zwar ist unbestritten, dass ein Arbeitgeber im Rahmen seiner sogenannten „unternehmerischen Entscheidungsfreiheit“ selbst festlegen kann, ob und mit wem er solche Verträge schließt.
Er hat aber trotzdem die Mitbestimmungsrechte des Betriebsrats zu beachten. Wäre es anders, könnte der Arbeitgeber durch geschickte Verlagerung von Datenbanken selbst darüber entscheiden, ob sich das Mitbestimmungsrecht gerade auf sie bezieht oder gerade eben auch mal wieder nicht. Das aber kann nicht nur nicht sein, sondern es wäre in der Tat rechtswidrig.
Das Geheimnis der „Standardvertragsklauseln“
Um dies überhaupt beurteilen zu können, sollte man als Betriebsrat die Grundstrukturen der Auslandsdatenverarbeitung kennen.
Bei der Übertragung personenbezogener Daten innerhalb des EWR (Europäischer Wirtschaftsraum – EU plus Island, Norwegen und Liechtenstein), in Länder, denen die EU-Kommission ein angemessenes Datenschutzniveau bescheinigt hat, oder an US-Unternehmen, die sich den Grundsätzen der vom US-Handelsministerium getroffenen „Safe-Harbour“-Regelung verpflichtet haben, sind „eigentlich“ keine besonderen Vertragsklauseln erforderlich.
Der Grund dafür liegt darin, dass die EG-Datenschutzrichtlinie angeblich die Basis für ein gleichartiges Datenschutzniveau in diesem Bereich schafft.
Sogar der Datenfluss in die USA, die eigentlich nicht als in diesem Sinne "sicheres Drittland" gelten, wird durch "Safe Harbour" freigeschaltet. Das ist eine Vereinbarung zwischen der EU und den USA, wonach es "eigentlich" genügt, wenn, das Empfängerunternehmen in den USA sich durch ein Listing zu den Grundsätzen des europäischen Datenschutzes bekennt.
Jedoch hat der Düsseldorfer Kreis, ein Zusammenschluss der Landesaufsichtsbehörden, sich inzwischen dahin geäußert, dass er künftig einen zusätzlichen Schutz erwartet. Und da die Aufsichtsbehörden auch die internationalen Datenflüsse kontrollieren, ist dieser Wunsch rechtlich relevant.
Der Düsseldorfer Kreis erwartet nun, dass auch bei Datenflüssen in die USA sogenannte Standardvertragsklauseln verwendet werden. Das sind von der EU vorformulierte, aber zwingend auf die Unternehmensbedürfnisse umzuformulierende Klauseln, die den Datenfluss in ein unsicheres Drittland regeln sollen.
Die verantwortliche Stelle wird im Rahmen der Terminologie der Standardvertragsklauseln "Controller" genannt, die Stelle, die die Daten erhält, um sie zu verarbeiten, heißt "Processor".
Der sichere Hafen ist ein trübes Gewässer
Dazu folgendes Beispiel, zunächst mit einer innerdeutschen Datenverarbeitung:
In einem internationalen Konzern mit Stammsitz in den USA und Niederlassungen in ganz Europa, auch in Deutschland, wird die in Deutschland im Betrieb der F-GmbH in Hamburg anfallende Verarbeitung von Lohn- und Gehaltsdaten der Arbeitnehmer innerhalb der deutschen Konzernstruktur von der Konzerntochter XY-GmbH in München durchgeführt.
Variante A (Datenexport in die USA):
Die Lohn-. und Gehaltsdaten der F-GmbH werden durch die Konzernmutter des internationalen Konzerns, die Z-Corporation in New York, verarbeitet.
Variante B (Datenexport nach Indien):
Die Lohn- und Gehaltsdaten der F-GmbH werden durch eine Konzerntochter in Indien verarbeitet.
© ifb
Lösung:
Es liegt eine Auftragsdatenverarbeitung gem. § 11 BDSG vor. Die XY-GmbH wird dadurch privilegiert, d.h., es bedarf zu ihren Gunsten keiner zusätzlichen Rechtsgrundlage mehr. Der Betriebsrat der F-GmbH sollte prüfen, ob in dem Servicevertrag mit der XY-GmbH Klauseln enthalten sind, die seine Rechte gem. § 80 I Nr. 1 BetrVG wahren. Dies kann u.a. durch Besuchs- und Prüfrechte in dem Betrieb der XY-GmbH geschehen.
Ist das nicht der Fall, kann der Betriebsrat den Arbeitgeber auf entsprechende Gestaltung verklagen. Cleverer kann es sein, bereits vorher entsprechende Verpflichtungen in einer Betriebsvereinbarung zu regeln.
Lösung zu Variante A (Datenexport in die USA):
Kein Privileg der Auftragsdatenverarbeitung gem. § 11 BDSG. Es bedarf zunächst einer nationalen Rechtsgrundlage, z.B. entweder einer Einwilligung oder einer gesetzlichen Erlaubnis, z.B. gem. § 32 BDSG. Denn die USA gelten an sich als unsicheres Drittland. Zulässigkeit kann aber erreicht werden durch Beitritt der Z-Corporation zur Safe-Harbour-Liste. Außerdem müsste sie Standardvertragsklauseln für die Achse Controller (Deutschland)-Processor (USA) mit der XY-GmbH in Deutschland abschließen. Der Betriebsrat sollte die Prüfung wie im Ausgangsbeispiel durchführen. Die praktische Umsetzung kann durch Delegation der Prüfrechte auf vom Betriebsrat gewählte Experten im Ausland erleichtert werden.
Lösung zu Variante B (Datenexport nach Indien):
Kein Privileg der Auftragsdatenverarbeitung gem. § 11 BDSG. Indien gilt als unsicheres Drittland. Zulässigkeit kann aber erreicht werden durch Standardvertragsklauseln für die Achse Controller (Deutschland)-Processor (Indien) sowie Bereitstellung konzernweiter Codes of Conduct, d.h., sogenannter Compliance-Regeln, die selbstverpflichtenden Charakter aufweisen. Der Betriebsrat sollte die Prüfung und die praktische Umsetzung wie im Ausgangsbeispiel durchführen.
Es gibt noch viel kompliziertere Varianten. Als Betriebsrat können und müssen Sie die nicht selbst entdecken und nachzeichnen. Aber wenn Sie die Kernstrukturen nicht kennen, können Sie für Ihre Arbeitnehmer nicht mehr viel ausrichten.
