Future Workforce Planning und Safe Harbor: Unternehmen mit US-Muttergesellschafen in Planungsnöten; ungeklärte Fragen von Hintertüren, Traffic und Cloudlösungen
Mit seinem Urteil zum Datenschutzabkommen Safe Harbor stellt der Europäische Gerichtshof sowohl die Wirtschaft als auch die Politik vor praktisch unlösbare, vielfältige und tiefgehende Probleme.
Bisher konnten auch personenbezogene Daten an US-Muttergesellschaften übermittelt werden, wenn diese sem o.g. Abkommen beigetreten waren. Alle diesbezüglichen Betriebsvereinbaungen hatten daher eine rechtlich gültige Grundlage, wenn es um Restrukturierungen, Organisationsmaßnahmen und Fusionen ging.
Diese entfällt nun und Betriebsräte haben nun sogar die Möglichkeit solche Betriebsvereinbarungen zu kündigen. Sogar fristlos.
Im Rahmen der Future Workforce Planning hat das gravierende Auswirkungen, wenn US-Muttergesellschaften eingebunden werden müssen.
Sie dürfen nun de jure keine personenbezogenen Daten mehr bekommen!
Das macht die Einbindung in Entscheidungsprozesse, auf die sie beteiligungsrechtlich ein Recht haben, nun datenrechtlich unmöglich, soweit diese Daten in den USA gespeichert sind oder werden sollen.
Auch hilft hier die US-Rechtsauffassung wenig, nachder auch die US-Behörden auf Daten zugreifen können, wenn diese auf ausländischen Servern liegen, diese aber US-Firmen gehören (American Express, ebay, google, paypal, Microsoft(!!!),General Motors (Opel),…).
Dieser in Europa völlig anders gesehene Umstand macht eine Future Workforce Planning mitunter schwierig bis gänzlich unmöglich, solange die US-Mütter ihre Entscheidungsgremien nicht physisch in wirklich datenrechtlich sichere Häfen holen. Eigentlich geht das dann nur vor Ort… Die Abspeicherung einer Präsentation zur Entscheidungsfindung im Meeting zwecks Vorführung, der alleinige Mailerhalt eines US-Empfängers und die Speicherung des Mails auf seinem (Unternehmens-)Server, ist – genau genommen – für personenbezogene Daten nicht mehr erlaubt.
Das Urteil wirft nun auch ein anderes Licht auf gesetzlich vorgeschriebene und programminterne Hintertüren in der Software von US-Herstellern (z.B. MS-Betriebssystem, Android,…), die das Urteil noch nicht einmal bedacht hat. Ein Umstand der IT-rechtlich hier eigentlich sofort die Politik auf den Plan rufen müsste, da das offene Schnittstellen sind mit denen NSA, FBI & Co seit jeher von ortsfesten Anlagen aus selbst hier in Deutschland Daten en masse ausspionieren.
Weiterhin befasst sich das Urteil nicht mit dem Datentraffic an sich. Um Daten auszulesen, müssen sie nicht gespeichert sein. Das heisst, dass personenbezogene Daten eigentlich nur über Leitungen und Router gehen dürfen, die sich in Europa oder anderen sicheren Ländern physikalisch befinden. Denn nach dem Urteilsspruch sind die USA nun datenrechtlich das unsicherste Land schlechthin.
Binding Corporate Rules (BCR), Standardvertragsklauseln als Vertragsvorgaben der EU-Kommission zum Datenschutz, die vom datenverarbeitenden Unternehmen unverändert übernommen werden muss (z.B. Microsoft hat dies getan) können streng genommen die Ansprüche des EuGH ebenso wenig erfüllen wie Safe Harbor an sich.
Wie man dies nun in den Projekten von Future Forkforce Planning umsetzen will ist eine offene aber rechtlich gravierende Frage. Genauso wie in anderen Orga- und Fusionsprojekten, an denen US-Mütter (oder auch nur Partner) beteiligt sind.
Lächerlich wird es, wenn personenbezogene Daten beispielsweise für US-Prozesse von Anwaltskanzleien oder Unternehmen benötigt werden. Mag sein, dass eben diese US-Anwaltskanzleien noch eine Hürde für US-Sicherheitsbehörden darstellen, US-Niederlassungen europäischer Konzerne mit Sicherheit nicht. Hier sollte jetzt VW besonders aufpassen…
Fazit:
De jure gibt es momentan keine rechtlich einwandfreie Regelung, die atlantikübergreifende Personalplanungen wie auch immer geartet ermöglicht.
Da bisher nur die Speicherung von Daten vom EuGH betrachtet wurde, wird wohl auch bald das Problem des Datenverkehrs und der programminternen Hintertüren auf die Tagesordnung kommen (müssen), denn kein Mensch dikutiert alleinig über Bestandsschwund in Lagern, wenn es offene Hintertüren gibt und Ware schon auf dem Weg dorthin verschwindet.
Binding Corporate Rules (BCR) sind vom EuGH-Urteil genau genommen auch betroffen; also auch kein gangbarer Weg für die unmittelbare Zukunft.
Eine Einwilligung der Mitarbeiter, ähnlich einer Nutzereinwilligung bei anderen Dienstleistern, wird rechtlich vermutlich auch nicht haltbar sein.
Wenn auch die Kanzlerin ihr abgehörtes Handy mit Humor und Gleichmut aufgenommen hat, werden das viele Menschen in US-Tochterunternehmen mit Sicherheit nicht so sehen, wenn ihre Daten betroffen sind.
Auch das neue IT-Sicherheitsgesetz macht da keine Ausnahme und stellt gewisse Ansprüche.
Für das PM solcher Workforce Planning Projekte treten jetzt weitere mögliche Konfliktpotentiale auf, die zusätzlich zu den schon reichlich vorhandenen Herausforderungen dieser Art, zu stemmen sind. Gerade hier in Deutschland ist die Bevölkerung hochsensibel, wenn es um ihre Daten geht.
Cloudlösungen sind für das Handling der Projekte auch nicht als der Weisheit letzter Schluss anzusehen, sollte aber machbar sein, wenn der Server nicht auf US-Gebiet steht und die Daten ausreichend krytiert sind. Das ist nicht wirklich (IT-)sicher, sollte aber soweit hinreichend gesetzeskonform sein, damit man de jure(!) arbeitsfähig ist.
Auch hier ist wieder die ganzheitliche Betrachtung entscheidend!
Abb.: Zusammenhang Joint Future Work