Cloud-Computing im Arbeitsrecht: Da­ten­schutz in der Wolke

2/2: Problem: Anbieter außerhalb der EU

Anders liegt es jedoch bei Anbietern außerhalb der EU, wobei in der Praxis die Bestimmung des anwendbaren Rechts und der gerade für die virtuellen Dienste zuständigen Rechtsordnung komplex und teils ungeklärt ist. Für die Nutzung von Angeboten von außerhalb der EU ist aber jedenfalls bereits nach § 3 Abs. 8 Satz 3 BDSG gesetzlich eine privilegierte Auftragsdatenverarbeitung ausgeschlossen; EU-Ausländer sind danach immer "Dritte" im Verhältnis zum Arbeitgeber.

Deswegen muss der Arbeitgeber zunächst die Nutzung und Datenübertragung an den Anbieter als Datenweitergabe an Dritte datenschutzrechtlich rechtfertigen. Gerade für US-Anbieter ist dies mangels Anerkennung eines der EU gleichwertigen Datenschutzniveaus in den USA anspruchsvoll. Zwar nehmen die bekannten US-Anbieter an dem sogenannten "Safe-Harbor-Verfahren" teil – ein Verfahren, mit dem sich die US-Unternehmen selbst datenschutzrechtlich im Sinne des EU-Rechts zertifizieren und erklären können, sich an die strengeren Datenschutzregeln der EU zu halten.

Einwilligung der Arbeitnehmer mögliche Lösung

Dies allein soll nach deutschem Datenschutzrecht aber nicht genügen. Der Arbeitgeber muss weitergehend einen Vertrag schließen, der inhaltlich nicht nur die Anforderungen nach § 11 Abs. 2 BDSG analog erfüllt, sondern weitere Mindestvertragsinhalte haben muss. Außerdem hat der Arbeitgeber weitgehende eigene Prüfpflichten zur aktiven Sicherstellung des Schutzes der Daten. Diese sind in der Praxis nur schwer und in jedem Fall mit hohem Aufwand umsetzbar, jedenfalls im Kontakt mit den Großanbietern kostenfreier Public Clouds.

Als Alternative kommt zwar die individuelle Einwilligung der Arbeitnehmer zur Datenübermittlung in die Cloud in Betracht, auch wenn die Datenschutzbehörden diesen Weg kritisch sehen. Zu Einwilligungen sind jedoch rechtliche Anforderungen zur Gestaltung zu beachten, die in der Praxis bisher oft vernachlässigt werden. Insoweit hat das Bundesarbeitsgericht in jüngerer Zeit zumindest die lange vorherrschende datenschutzrechtliche Ansicht zurückgewiesen (Urt. v. 11.12.2014 – 8 AZR 1010/13), Arbeitnehmern sei im Arbeitsverhältnis die erforderliche "freie" Einwilligung gar nicht möglich. Bei richtiger Gestaltung sind daher wirksame Einwilligungserklärungen erreichbar.

Wem diese rechtlich zulässigen Wege in die internationale Public Cloud zu aufwendig sind, kann Datenschutzcompliance (nur) mit EU-inländischen Public Clouds oder Private Clouds herstellen - oder muss weiter auf das Management der Non-Compliance setzen.

Die Autorin Dr. Anja Mengel, LL.M. (Columbia), Rechtsanwältin und Partnerin bei ALTENBURG Fachanwälte für Arbeitsrecht in Berlin, ist eine sehr renommierte Arbeitsrechts- und Compliance-Expertin.