Am 7. Oktober 2015 wurde das Abkommen zur Übertragung und Verarbeitung personenbezogener Daten zwischen Europa und den USA, die so genannte Safe Harbor-Regelung, vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Laut EuGH stellt das Abkommen keinen angemessenen Schutz für die privaten Daten europäischer Bürger dar. Das Urteil betrifft grundsätzlich alle Organisationen und Privatpersonen, die aktuell personenbezogene Daten europäischer Bürger an Unternehmen mit Hauptsitz in den USA übertragen. Dies ist zukünftig nicht mehr mit europäischem und deutschem Datenschutz vereinbar.
Die Veränderung schließt nicht nur Nutzer jedweder Online-Angebote ein, sondern hat auch weitreichende Folgen für den Unternehmensalltag in Personalabteilungen. Die IT-Verarbeitung von persönlichen Daten ist hier tägliches Geschäft. Zum Beispiel sind Informationen vom Arbeitsvertrag über die regelmäßige Gehaltsabrechnung, Mitarbeiterbefragungen, Vergütungsvergleiche bis hin zu Angaben der betrieblichen Altersversorgung betroffen. Der Handlungsdruck ist hoch: Europäische Unternehmen mit Datenbeständen in den USA müssen entweder in Eigenregie Rechenzentren aufbauen oder auf entsprechende Dienstleister im EU-Raum zurückgreifen.
Ein typisches Beispiel für das Speichern hochsensibler Daten ist die Arbeit mit Vergütungsinformationen. Unternehmen erfassen persönliche Daten und überlassen diese Spezialisten für externe Gehaltsabrechnungen oder anderen Dienstleistern. Gerade bei Vergütungsinformationen von Top Executives ist zwischenzeitlich unstrittig, dass diese - selbst vermeintlich anonymisiert - als persönliche Information gelten.
Während einige Anbieter ihre Prozesse eher lokal oder regional organisieren, haben sich andere industrialisiert global aufgestellt. Anbieter, die sich für den Datenexport in die USA bisher auf das Safe Harbor-Abkommen gestützt haben, müssen nun auf andere Weise sicherstellen, dass bei den Unternehmen, an die die Daten übertragen werden, ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann bedeuten, dass diese Anbieter nun ihre IT-Infrastruktur umstellen müssen und neue unabhängige Strukturen in der Europäischen Union aufbauen werden. Das betrifft beispielsweise Datenspeicherung, Back-up, Call Center etc.
Diese Anforderungen nicht zu erfüllen, ist kein Kavaliersdelikt. Zum einen verstößt eine Missachtung gegen nun geltendes Recht. Zum anderen geben Unternehmen wichtige wettbewerbsrelevante Information preis. Aus der unsäglichen NSA-Diskussion in Deutschland wissen wir, dass die US-Regierung nicht nur terroristische Bedrohungen verfolgt, sondern auch handfeste eigene Wirtschaftsinteressen. Im Ergebnis des besagten EuGH-Urteils kann nun jede Mitarbeiterin und jeder Mitarbeiter von Unternehmen mit Sitz in Europa verlangen, dass außerhalb Europas liegende Daten unverzüglich zu löschen sind.
Wie können Sie aktiv werden?
Fragen Sie Ihren Vergütungsdatenprovider und andere HR-Dienstleister – zum Beispiel im Fall von Mitarbeiterbefragungen – wo Ihre Daten lagern und werden Sie aktiv, bevor Ihre Mitarbeiter oder der Betriebsrat es tun!
Was tut die hkp/// group?
Die hkp/// group speichert und verarbeitet alle im Zusammenhang mit Projekten oder Vergütungstudien vorliegenden Daten in Europa – auf Wunsch auch im eigenen Land.
Zudem scheint sich ein weiteres Unwesen Bahn zu brechen: Wettbewerbsfähige Vergütungen sind zentral, um Mitarbeiter zu gewinnen und zu halten. Daher überlassen Unternehmen Anbietern Vergütungsinformationen. Dies dient dem Unternehmensinteresse. Aber Mitarbeiter und Unternehmen sind auch Vertragsparteien. Jede Vertragspartei hat ein legitimes Interesse, proprietäre Informationen exklusiv zu nutzen. Was heißt das konkret? Wenn Anbieter, die Vergütungsinformationen von Unternehmen erhalten, diese an B2C-Anbieter wie zum Beispiel Social-Media-Plattformen weitergeben, mag dies im engen rechtlichen Sinn nicht gegen Nutzungsvereinbarungen verstoßen. Es stellt jedoch einen klaren Interessenskonflikt dar und ist nicht im Sinne der Kunden. Gerüchteweise haben schon erste Anbieter die ihnen treuhändisch überlassenen Vergütungsinformationen sekundären Verwendungszwecken zugeführt, indem sie die Daten anonymisiert weiter verkauft haben.
Wie können Sie aktiv werden?
Fragen Sie Ihren Vergütungsdatenprovider und andere HR-Dienstleister, ob Ihre Daten (auch anonymisiert) weitergegeben bzw. verkauft werden – und werden Sie aktiv, bevor Ihre Mitarbeiter oder der Betriebsrat es tun!
Was tut die hkp/// group?
Die hkp/// group gibt keine Informationen an Dritte weiter und verkauft insbesondere keine Daten an B2C-oder P2P-Anbieter.
Die aktuelle Diskussion zeigt, wie sensibel der Umgang mit persönlichen Daten ist. Neben dem Datenschutz ist noch ein weiterer Rechtsbereich betroffen: das Kartellrecht. Regelmäßig treffen sich Unternehmen und tauschen sich – meist moderiert und anonymisiert durch Beratungsunternehmen – zu Best Practices im Personalmanagement und insbesondere zur Vergütung aus. Das ist grundsätzlich unproblematisch, solange wesentliche Grundprinzipien beachtet werden.
- Es werden keine unternehmensindividuellen Vergütungsinformationen geteilt: Man stelle sich vor, dass sich Unternehmen einer Industrie träfen und in gemütlicher Runde Balkengraphiken de-anonymisieren. De facto handelt es sich dabei um einen Verstoß gegen das Kartellrecht, da Kostenstrukturen gemeinsam besprochen werden. Die astronomischen Vergleichssummen für den Fall im Silicon Valley, in dem sich IT-Unternehmen informell gegenseitigen Abwerbungsschutz garantiert hatten, sind vielen noch ebenso gut in Erinnerung wie für die österreichischen Banken, die über Jahre ihre Konditionen abgestimmt und sorgsam protokoliert hatten.
- Es werden keine zukunftsgerichteten unternehmensindividuellen Informationen ausgetauscht: Man stelle sich vor, dass sich Unternehmen in gemütlicher Runde über ihre individuellen Pläne zu Vergütungsanpassungen im oberen Management austauschen.
- Es erfolgen keine faktisch de-anonymisierenden Übergewichtungen einzelner Unternehmen in Vergütungsvergleichen: Einzig in den USA bestehen hierzu aktuell konkrete Vorgaben. In Vergütungsvergleichen dürfen bei Auswertungen Daten eines Unternehmens nicht mehr als 25% der Gesamtdaten ausmachen.
Wie können Sie aktiv werden?
Überprüfen Sie Ihren Vergütungsdatenprovider ob in Meetings individualisierte und/oder zukunftsgerichtete individualisierte Informationen ausgetauscht werden – und werden Sie aktiv, bevor es das Bundeskartellamt tut!
Was tut die hkp/// group?
Die hkp/// group achtet in allen Meetings darauf, dass keine wettbewerbsrelevanten unternehmensindividuellen Informationen ausgetauscht werden und stellt in allen Auswertungen sicher, dass auch US-kartellrechtliche Vorgaben zur Datengewichtung eingehalten werden.
Grundsätzlich hat die Entscheidung des Europäischen Gerichtshofs die Allgemeinheit noch stärker für das Thema Sicherheit im Umgang mit persönlichen Informationen sensibilisiert. Auch wenn im Prozess der Urteilsfindung Mitarbeiterinformationen nicht im Fokus gestanden haben, sind die Auswirkungen gerade auf diesen Bereich sehr deutlich und erfordern entsprechende Reaktionen der Unternehmen – zeitnah und umfassend.