Wenn HR-Daten in den USA verarbeitet werden sollen, sind folgende Schritte zu durchlaufen:

1. Prüfen, ob eine Rechtsgrundlage zur Verarbeitung der Daten nach Art. 6 oder 9 DSGVO vorhanden ist?
2. Abwägung der Verantwortlichen nötig, ob Tool zwingend eingesetzt werden muss
3. Falls ja: genaue Dokumentation der Gründe für die Verwendung des Tools
4. Wird die Datenübermittlung auf den Angemessenheitsbeschluss von Juli 2023 oder eine andere Schutzmaßnahme (z.B. Standardvertragsklauseln) gestützt?

•   Falls Angemessenheitsbeschluss --> „HR“ oder „Non-HR“ zertifiziert? 
•   Falls Standardvertragsklauseln --> prüfen und abschließen

5. Datenschutzerklärung vollständig und hinsichtlich der Rechtsgrundlage aktualisiert? Z.B. müssen bisher genutzte datenschutzrechtlichen Garantien überprüft und ggf. durch den Angemessenheitsbeschluss ersetzt werden.
6. ggf. Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
7. Abschluss eines AV-Vertrags

Im Rahmen der Zertifizierung können US-Unternehmen entscheiden, ob sie sich für den Empfang von Mitarbeiterdaten (HR) und/oder für den Empfang anderer personenbezogener Daten (Non-HR) zertifizieren lassen. Solange der neue Angemessenheitsbeschluss in Kraft ist, sind Datenübermittlungen an zertifizierte US-Unternehmen aus datenschutzrechtlicher Sicht nicht zu beanstanden, sofern die Zertifizierung die jeweilige Datenkategorie (hier HR) abdeckt.

Auf Grundlage des EU-US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US-Organisationen, die aufgrund ihrer Zertifizierung zum EU-US DPF in der EU-US-Data Privacy Framework -Liste gelistet sind, erfolgen.

Wenn sich ein Unternehmen auf den Data Privacy Framework berufen möchte, um aus der EU übermittelte Personaldaten zur Verwendung im Rahmen eines Beschäftigungsverhältnisses zu erfassen, muss sie sich zur Zusammenarbeit mit der betreffenden EU-Behörde verpflichten und deren Rat befolgen. Die Organisation muss zudem eine Kopie ihrer Datenschutzpolitik für Beschäftigtendaten vorlegen und angeben, wo dies für betroffene Mitarbeiter einsehbar ist.

Seit dem Inkrafttreten des EU-US Data Privacy Frameworks, ist es erlaubt, personenbezogenen Daten im HR-Umfeld auch über Microsoft zu verarbeiten, da Microsoft als zertifizierter Partner sowohl für Nicht-HR als auch für HR-Daten angegeben wird.

Speziell bei Microsoft 365 sollte zudem der Grundsatz des Privacy by Design und der Datenminimierung noch etwas genauer bearbeitet werden:

• Auf welche Art der Datenübertragung kann ohne (wesentliche) Funktionseinschränkung verzichtet werden?
• Einstellungen --> Datenschutz (Zugriffe ausschalten)
• Verschlüsselungsmöglichkeiten nutzen (z.B. Boxcryptor)

Stand: 29.11.2023