Datenübertragungen bei Hinweisgebersystemen
Viele international tätige Unternehmen betreiben heute ein zentrales Hinweisgebersystem. Den Mitarbeitenden werden Meldekanäle zur Verfügung gestellt, um Fehlverhalten zu melden. Mit der neuen EU-Whistleblower-Richtlinie (2019/1937) werden Pflichten der Unternehmen verschärft und ein Schutz der Hinweisgeber kreiert. Ein Hinweisgebersystem stellt dem Meldenden regelmässig verschiedene Kanäle für seine Hinweise zur Auswahl. Dazu gehören email-Adressen oder webbasierte Lösungen, die auch anonyme Meldungen ermöglichen.
Gibt der Hinweisgeber eine Meldung in das System ein, sei es per email oder über die webbasierte Hotline, schickt er eventuell personenbezogene Daten über sich, den Beschuldigten und den Sachverhalt. Oft wird ein solches Hinweisgebersystem im Konzern einheitlich betrieben und alle Meldungen kommen bei einer zentralen Stelle an. Hier wird eine erste Einschätzung vorgenommen und die Fälle werden dann zur Bearbeitung an die zuständige Stelle weitergegeben.
Denkbar wäre, dass die Daten auf einem Server des headquaters oder eines providers in der EU gespeichert werden. Sind die Daten aus der USA in der EU angekommen, unterfallen die personenbezogenen Daten dem europäischen Datenschutz. Wird nun eine erste Einschätzung des Falles vorgenommen und dieser soll weiter abgeklärt werden, erhalten Kollegen in den USA Zugriff auf die Daten im System. Werden die Daten in den USA gelesen, ist das eine Datenverarbeitung. Eine solche Meldung aus den USA, die den Umweg über Europa nimmt, würde den europäischen Datenschutz huckepack mitnehmen.
Mit dem neuen Schrems II-Urteil erscheint fraglich, ob bei dieser Übermittlung in die USA ein ausreichendes Schutzniveau gewährleistet werden kann.
Das Urteil «Schrems II»
Im «Schrems II»- Urteil hebt der EuGH den sog. EU-US Privacy Shield auf. Dieser Datenschutzschild ist eine Selbsterklärung der Unternehmen. Sie versprechen, dass sie das europäische Datenschutzniveau einhalten. Auf dieser Basis konnten personenbezogene Daten bisher in die USA übermittelt werden. Der EuGH ist der Meinung, der privacy shield biete kein von der DSGVO gefordertes gleichwertiges Schutzniveau. US-Behörden könnten auf Daten zugreifen, ohne sich auf das zwingend Erforderliche zu beschränken. Ausserdem hätten betroffene Personen aus der EU keinen genügenden Rechtsschutz.
Deshalb sollen Unternehmen nach dem EuGH ihre Rechtsgrundlage für Datentransfers in die USA überprüfen. Sofern Unternehmen Daten aufgrund des Privacy Shields in die USA übermitteln, müssen sie andere Rechtsgrundlagen vereinbaren.
Was Unternehmen nun tun müssen
Das bedeutet nun für Unternehmen:
- Eine Übermittlung personenbezogener Daten ist allein auf der Basis des Privacy Shield nicht mehr möglich oder sie müssen zurückgeholt werden.
- Zwar kann die Datenübertragung auch auf sog. Standardvertragsklauseln (SCC) gestützt werden, aber auch hier müssen die konkreten Datenübertragungen angeschaut und geprüft werden, ob die Daten tatsächlich hinreichend geschützt sind. Ist das nicht der Fall, müssen zusätzliche Garantien vereinbart werden
- Selbiges gilt wohl auch für die sog. Corporate Binding Rules. Diese werden auf das Unternehmen zugeschnitten. Sie müssen ebenfalls überprüft werden, ob sie einen hinreichenden Schutz bieten.
Die Unternehmen müssen alle Datenströme analysieren und bewerten, ob die Daten in dem Empfängerland ausreichend geschützt sind.
Und was das für Hinweisgebersysteme heisst
Und welche Folgen hat nun dieses Urteil für konzernweite Hinweisgebersysteme?
Dezentrale Hinweisgebersysteme
Auf der sicheren Seite wäre das Unternehmen, wenn Hinweisgebersysteme dezentral betrieben würden. Dann gäbe es separate Meldekanäle für die USA und solche für die EU. Ein Transfer der personenbezogenen Daten in ein Drittland würde dem Unternehmen dann erspart bleiben. Erforderlich wären aber zwei getrennte System. Solche dezentralen Systeme haben aber auch Nachteile, denn eine einheitliche Handhabung ist nicht mehr sichergestellt, die Prozesse werden unterschiedlich sein und der Überblick über die eingegangenen Meldungen geht verloren. Das Monitoring eines solchen Meldesystems ist aufwendiger und die Implementierung teurer.
Zentrale Hinweisgebersysteme
Die andere Variante wäre weiterhin, ein zentrales, d.h. konzernweit einheitliches Hinweisgebersystem zu betreiben. Auch nach Schrems II ist dieses mit einem Datentransfer in die USA verbundene System ja nicht gänzlich verboten. Der Datentransfer könnte grundsätzlich auf Corporate Bindung Rules oder die Standardvertragsklauseln gestützt werden. Zusätzlich müssten aber die Risiken abgeschätzt werden. Sind die Daten ausreichend geschützt und wenn nein, können wir sie zusätzlich absichern? Wie geht das?
Risiken im Einzelfall bewerten
Der Europäische Datenschutzausschuss (EDSA), der sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt, empfiehlt Unternehmen, bei Drittstaatentransfers im Einzelfall vorab zu prüfen, ob das Zielland einen hinreichenden Datenschutz gewährleistet. Die Unternehmen müssen also für den konkreten Fall die Risiken einschätzen. Die folgenden drei Fragen sind zu bewerten:
- Was ist der konkrete Inhalt der SCC oder der Corporate Binding Rules?
- Wie erfolgt der konkrete Datentransfer?
- Welchen Schutz bietet das im Zielland anwendbare Recht?
Geht es um die konkreten Risiken, die für personenbezogene Daten in den USA bestehen, erläutert die US-Regierung im September 2020 in einem White Paper die amerikanische Rechtslage. Damit möchten sie private Unternehmen bei der Risikoeinschätzung unterstützen. Sie verteidigen ihre Rechtslage und argumentieren für einen gleichwertigen Schutz der personenbezogenen Daten. Dieses White Paper lässt sich heranziehen, um die Rechtslage für die USA abzuschätzen.
Zusätzliche Garantien für Hinweisgebersysteme
Kommt das Unternehmen nun zu dem Ergebnis, dass das Zielland keinen angemessenen Datenschutz (vgl. Art. 45 Abs. 2 DSGVO) gewährleistet, genügen die SCC oder Standard Corporate Bindung Rules nicht. Dann müssen weitergehende risikominimierende Massnahmen getroffen werden. Welche Garantien das im Einzelfall sein können, bleibt abzuwarten. Der EDSA hat weitere Klärung in Aussicht gestellt. Vereinzelt wurden aber bereits die Verpflichtung zur Verschlüsselung, Anonymisierung oder Pseudonymisierung als nützliche Garantie genannt. Auch der EDÖB empfiehlt technische Massnahmen zu prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland faktisch verhindern.
Das Unternehmen muss also beurteilen, wie gross das Risiko von aus der Sicht der EU unzulässigen Behördenzugriffen ist. Wie David Rosenthal schreibt, erfolgt eine solche Risikobeurteilung heute schon im Bereich von Berufsgeheimnissen. Ist das Abhör-Risiko durch US-Behörden aufgrund von Verschlüsselungsmassnahmen minimiert und steht der volle Rechtsweg bei den verbleibenden Zugriffsmöglichkeiten offen, können Standardvertragsklauseln für den Datentransfer genügen.
Diese Überlegungen lassen sich auf die Risikobeurteilung bei Hinweisgebersystemen übertragen. Viele Unternehmen transferieren Daten, die für Geheimdienste uninteressant sind. Auch das Whitepaper weist darauf hin, dass Unternehmen, die kommerzielle Produkte oder Dienstleistungen anbieten, nicht im Fokus der US-Geheimdienste stehen. Hinzu kommt, dass Daten, die in einem Hinweisgebersystem gesammelt werden, ohnehin besonders verschlüsselt und nur wenige Personen zugriffsberechtigt sind.
Für die Dokumentation wäre eine Abklärung der Rechtslage im Zielland hilfreich, um die bestehenden Restrisiken abzuschätzen. Diese Einschätzung sollte in regelmässigen Abständen zu überprüfen. Ausserdem könnten zusätzliche Klauseln im Vertrag den Empfänger der Daten verpflichten, mit allen rechtlichen Mitteln gegen behördliche Datenzugriffe vorzugehen. Solche Klauseln würden verbleibende Restrisiken minimieren.
Fazit
Schrems II bringt Unsicherheiten in die Unternehmen. Fragen stellen sich auch im Zusammenhang mit Meldesystemen für Hinweise. Wollen Unternehmen weiterhin ein einheitliches Meldesystem betreiben, müssen sie gerade bei Hinweisen aus den USA die Risiken einschätzen und der Frage nachgehen, ob die personenbezogenen Daten in den USA angemessen geschützt sind. Diese Beurteilung müssen sie nach Schrems II selbst vornehmen und dokumentieren. Ein gewisses Restrisiko verbleibt, aber dieses lässt sich mit weiteren Massnahmen reduzieren. Eins lässt sich jedenfalls sicher sagen, einfacher wird es nicht.
Neueste Kommentare