Welche Einschränkungen bringt die General Data Protection Regulation (GDPR) für Arbeitgeber, die Mitarbeiterdaten außerhalb des Europäischen Wirtschaftsraums übermitteln? Ra Arbeitsrecht Berlin
Ein Arbeitgeber kann personenbezogene Daten nur dann außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, zum Beispiel an einen Anbieter von Sozialleistungen oder an seine Server mit Sitz außerhalb des EWR, wenn die in der Allgemeinen Datenschutzverordnung (2016/679 EU) (GDPR) festgelegten Bedingungen erfüllt sind. Sie haben Fragen: Anwalt Arbeitsrecht für Arbeitnehmer Berlin Die GDPR erlaubt Datenübertragungen in ein Land, ein Gebiet oder einen Sektor innerhalb eines Landes oder eine internationale Organisation, die von der Europäischen Kommission als ein angemessenes Datenschutzniveau zertifiziert wurde. Die britische Regierung hat erklärt, dass sie bestehende Angemessenheitsbeschlüsse der Europäischen Kommission auch nach dem Ende der Brexit-Übergangszeit anerkennen wird. Sie wird auch in der Lage sein, ihre eigenen Angemessenheitsbeschlüsse zu fassen, die bestätigen, dass ein bestimmtes Land, ein Gebiet oder ein Sektor innerhalb eines Landes oder eine internationale Organisation über ein angemessenes Datenschutzniveau verfügt.
Liegt kein Angemessenheitsbeschluss vor, kann der Arbeitgeber Daten in Länder außerhalb des EWR übertragen, wenn der Empfänger angemessene Garantien bietet und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsmittel für die betroffenen Personen (d. h. die Mitarbeiter) verfügbar sind. Die GDPR erlaubt es, dass diese Garantien bereitgestellt werden durch:
- eine rechtsverbindliche Vereinbarung zwischen Behörden oder Einrichtungen
- verbindliche Unternehmensregeln (die Übermittlungen innerhalb einer Unternehmensgruppe abdecken);
- Standardvertragsklauseln in Form von Mustertransferklauseln, die von der Europäischen Kommission angenommen oder von einer Aufsichtsbehörde (z. B. dem Information Commissioner’s Office (ICO) in Großbritannien) angenommen und von der Europäischen Kommission genehmigt wurden;
- die Einhaltung eines von einer Aufsichtsbehörde genehmigten Verhaltenskodex;
- ein genehmigter Zertifizierungsmechanismus, wie er in der DSGVO vorgesehen ist; oder
- Vertragsklauseln zwischen den betreffenden Parteien oder Bestimmungen in Verwaltungsvereinbarungen zwischen Behörden oder Einrichtungen, die von der zuständigen Aufsichtsbehörde genehmigt wurden.
Die Übermittlung personenbezogener Daten aus dem EWR in das Vereinigte Königreich wird ab dem 1. Januar 2021 komplexer (unter der Annahme, dass die Europäische Kommission vor diesem Datum keinen Angemessenheitsbeschluss in Bezug auf das Vereinigte Königreich erlässt).
Organisationen, die personenbezogene Daten aus dem EWR in das Vereinigte Königreich übertragen, sollten alternative Sicherheitsvorkehrungen zu den oben aufgeführten einführen.
Für die meisten Organisationen werden Standardvertragsklauseln der am besten geeignete Mechanismus sein.
Das ICO stellt einen Leitfaden für Organisationen zur Verfügung, der Vorlagen für Standardvertragsklauseln enthält, um den Datenfluss vom EWR in das Vereinigte Königreich zu gewährleisten.