Nach dem Ende von Safe Harbor: Wie man Risiken bei der Übermittlung von Arbeitnehmerdaten in die USA oder andere Drittstaaten vermeidet

Transkript

1 FEBRUAR 2015 OKTOBER 2015 Newsletter Arbeitsrecht: Sonderheft: Safe Harbor Oktober 2015 Nach dem Ende von Safe Harbor: Wie man Risiken bei der Übermittlung von Arbeitnehmerdaten in die USA oder andere Drittstaaten vermeidet Inhalt Das Interview 0 2 Nach dem Ende von Safe Harbor: Wie man Risiken bei der Übermittlung von Arbeitnehmerdaten in die USA oder andere Drittstaaten vermeidet 3 Aktuelles Urteil Arbeitsrecht 10 Aktuelles Urteil betriebliche Altersversorgung 12 Veranstaltungskalender 13 Newsletterarchiv 15 Hogan Lovells e-newsletter 16 Ihre Ansprechpartner 17

2 Newsletter Arbeitsrecht Oktober Editorial Liebe Leserin, lieber Leser, der Monat Oktober sorgte aus arbeitsrechtlicher Sicht für einige Überraschungen: Zunächst erklärte der Europäische Gerichtshof (EuGH) in einer spektakulären Entscheidung das Safe Harbor-Abkommen für unwirksam. Mittlerweile liegt auch eine erste Stellungnahme der deutschen Datenschutzbehörden vor, deren Folgen wir in dem vorliegenden Sonderheft Safe Harbor unseres Newsletters besprechen. Aber auch ein weiteres aktuelles Thema wird Personaler und Arbeitsrechtler demnächst intensiv beschäftigen: Die Bundesarbeitsministerin will in dieser Woche (endlich) ihre lang erwarteten Pläne für die Reform bei Leiharbeit und Werkverträgen vorlegen. Dieses Gesetzesvorhaben wird sich voraussichtlich gravierend auf die bislang bekannte und bewährte Praxis der Überlassung von Arbeitskräften und die Ausgestaltung von Werkverträgen auswirken. Daher nehmen wir den nun für diese Woche angekündigten Gesetzentwurf zum Anlass, die Agenda unserer Veranstaltungsreihe "Update Arbeitsrecht Herbst 2015", die an allen vier deutschen Hogan Lovells Standort stattfinden wird (Einzelheiten s. Seite 13), zu aktualisieren und geben Ihnen in diesem Rahmen einen ersten Überblick über die geplanten Neuregelungen und deren Folgen. Wir freuen uns, Ihre Fragen rund um den Gesetzentwurf mit Ihnen im Rahmen unserer Veranstaltungsreihe persönlich erörtern zu können. Diejenigen von Ihnen, die leider nicht an einer der Veranstaltungen teilnehmen können, möchten wir schon jetzt informieren, dass sich die kommende November-Ausgabe des Newsletters Arbeitsrecht dieser Thematik auch noch einmal im Detail widmen wird. Die Oktober-Ausgabe unseres Newsletters Arbeitsrecht steht dagegen ganz im Zeichen des "Untergangs" von Safe Harbor. Die Entscheidung des EuGH hat weitreichende Folgen insbesondere mit Blick auf die Übermittlung von Arbeitnehmerdaten. Das Urteil stellt Unternehmen vor Herausforderungen, die Daten aus der EU in die USA übertragen. Beispiele hierfür sind u.a. globale Mitarbeiterinformationssysteme, international zugängliche digitale Personalakten, Bewertungsund Bonussysteme sowie Datenübermittlungen bei internen Ermittlungen oder E-Discovery-Verfahren. Daher befassen sich in dieser Ausgabe sowohl das Interview als auch der Hauptbeitrag mit dieser für die Praxis so bedeutsamen Entscheidung. Im Interview stellt Ihnen Tim Wybitul aus dem Frankfurter Büro von Hogan Lovells die Entscheidung noch einmal im Detail vor und erläutert deren praktischen Auswirkungen für die Übermittlung personenbezogener Daten in die USA. Im Hauptbeitrag widmet er sich dann ersten Reaktionen der Datenschutzaufsichtsbehörden zu dieser EuGH-Entscheidung. Dabei werden insbesondere die diesbezüglichen Aussagen der Art. 29 Gruppe und die Stellungnahme der deutschen Datenschutzbehörden vom 26. Oktober 2015 zusammengefasst. Der Beitrag zeigt auch, welche konkreten Zwangsmittel den Datenschützern in diesem Zusammenhang zur Verfügung stehen. Zudem werden Handlungsempfehlungen für Unternehmen zur Vermeidung unnötiger rechtlicher Risiken bei der Übermittlung von personenbezogenen Daten in die USA gegeben. Eine Checkliste verdeutlicht die einzelnen Ablaufschritte, bevor abschließend die Vor- und Nachteile der einzelnen rechtlichen Möglichkeiten zur Übermittlung personenbezogener Daten in die USA oder andere Drittstaaten bewertet und ihre Einsatzmöglichkeiten in der Praxis beschrieben werden. In der Rubrik Aktuelles Urteil Arbeitsrecht stellt Ihnen Dr. Wolf-Tassilo Böhm, ebenfalls aus unserem Frankfurter Büro, eine Entscheidung des Landesarbeitsgerichts Berlin- Brandenburg vor, mit der erstmals ein Instanzgericht ein Beweisverwertungsverbot gegen einen Betriebsrat wegen Datenschutzverstößen angenommen hat. In der Vergangenheit hatte sich die Rechtsprechung insbesondere auch das Bundesarbeitsgericht zwar schon mehrfach mit der Verwertbarkeit datenschutzrechtswidrig erlangter Informationen befasst; diesen Entscheidungen lagen jedoch bisher immer Datenschutzverstöße des Arbeitgebers zugrunde. Unser bav-experte Dr. Thomas Frank aus dem Münchener Büro beschäftigt sich in dieser Newsletterausgabe mit einer aktuellen Entscheidung des Bundesarbeitsgerichts zum Haftungsregime bei Rentnergesellschaften und der Frage, in welchem Umfang Schadensansprüche der Rentner bestehen, wenn eine Rentnergesellschaft keine Rentenanpassungen vornehmen kann. Eine interessante Lektüre wünscht Ihnen Ihre Praxisgruppe Arbeitsrecht

3 2 Newsletter Arbeitsrecht Oktober 2015 Interview Tim Wybitul Partner, Frankfurt am Main T +49 (69) tim.wybitul@hoganlovells.com Herr Wybitul, der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 das Safe Harbor-Abkommen für unwirksam erklärt. Worum ging es in dieser Entscheidung? Tim Wybitul: Das Urteil der Luxemburger Richter hat für die Praxis enorme Bedeutung. Bei dem konkret vom EuGH entschiedenen Fall ging es eigentlich um die Frage, ob nationale Datenschutzbehörden in einzelnen Mitgliedstaaten der EU Datenübermittlungen auf der Grundlage des Safe Harbor- Abkommens kontrollieren müssen und dürfen. Bei ihrer Entscheidung beurteilten die Richter nicht nur, dass nationale Datenschutzbehörden umfassende Kontrollbefugnisse haben. Vielmehr bewertete der EuGH das Safe Harbor-Abkommen zur Übermittlung personenbezogener Daten in die USA als unzulässig. Welchen Zweck hatte das Safe Harbor-Abkommen? Tim Wybitul: Das deutsche Bundesdatenschutzgesetz (BDSG) stellt hohe Anforderungen an die Übermittlung personenbezogener Daten an Empfänger außerhalb der EU. Unternehmen dürfen Daten nur unter sehr engen Voraussetzungen in die USA oder andere Staaten übermitteln, deren Datenschutzniveau nicht mit dem der EU vergleichbar ist. Das Safe Harbor-Abkommen bot bislang einen der wenigen rechtssicheren Wege für die Übermittlung personenbezogener Daten an Unternehmen in den USA. Wie funktionierte das genau? Tim Wybitul: US-Unternehmen konnten sich nach dem Safe Harbor-Abkommen zertifizieren lassen. Hierfür mussten sie eine Reihe von Anforderungen beim Datenschutz umsetzen - die so genannten Safe-Harbor Principles. Diese Grundsätze umfassen eine Reihe von Vorgaben, um beim Unternehmen ein angemessenes Datenschutzniveau herzustellen. Sofern US-Unternehmen diese Vorgaben umsetzten, konnten sie sich bei der Federal Trade Commission registrieren und von dieser überwachen lassen. Im Gegenzug konnten Datenexporteure in der EU und dem EWR personenbezogene Daten an solche registrierten Unternehmen unter erleichterten Bedingungen übermitteln. Welche Folgen hat die Entscheidung des EuGH nun für europäische Unternehmen? Tim Wybitul: Die Übermittlung personenbezogener Daten in die USA wird deutlich schwieriger. Der EuGH hat das Safe Harbor-Abkommen für unwirksam erklärt. Unternehmen dürfen allein auf der Basis von Safe Harbor keine Daten mehr in die USA übermitteln. Sie müssen also nach anderen Erlaubnistatbeständen zur Übermittlung personenbezogener Daten suchen. Hier stellen sich für deutsche Firmen einige Probleme. Denn die gesetzlichen Erlaubnistatbestände zur Übermittlung von Daten in die USA sind ausgesprochen eng gefasst. Danach ist beispielsweise die Übermittlung von Informationen für Gerichtsverfahren zwar möglich. Dies soll aber nach Ansicht vieler Datenschutzbehörden noch nicht einmal die so genannten Pre-Trial Discoveries umfassen, einer vor US Gerichten entscheidenden Prozessphase. Betrifft die Entscheidung des EuGH auch Arbeitnehmerdaten? Tim Wybitul: Ja, obwohl es bei dem von den Luxemburger Richtern entschiedenen Fall eigentlich um ein bekanntes soziales Netzwerk ging, betrifft die Entscheidung gerade Arbeitnehmerdaten in ganz erheblicher Weise. Schließlich müssen Unternehmen gerade in Konzernstrukturen für eine effektive Zusammenarbeit auch Personaldaten austauschen können. Dies betrifft etwa Personalinformationssysteme, Datenbanken, aber auch Aktienoptionsprogramme oder globale Programme zur Altersversorgung. Das sind aber nur die direkten Folgen. Viele Unternehmen lagern Beschäftigtendaten auch auf Dienstleister aus, die ihnen bei der Datenverarbeitung helfen sollen. Viele dieser IT-Dienstleister sitzen in den USA oder anderen Drittstaaten. Gerade am "Arbeitsplatz 4.0" oder auch bei anderen Formen der mobilen Arbeit ist aber der Einsatz externer Dienstleister unumgänglich. Daher sind die Folgen dieser Entscheidung auch für den Arbeitnehmerdatenschutz massiv. In dem nachstehenden Überblick zeigen wir die Risiken von Verstößen gegen die Vorgaben des Datenschutzes und praxisgerechte Möglichkeiten, um diese Risiken belastbar auszuschließen.

4 Newsletter Arbeitsrecht Oktober Nach dem Ende von Safe Harbor: Wie man Risiken bei der Übermittlung von Arbeitnehmerdaten in die USA oder andere Drittstaaten vermeidet Der Datenschutz nimmt im Personalbereich eine immer größere Rolle ein. Dies gilt nicht nur bei der Einführung digitaler Personalakten, dem Betrieb von globalen HR-Datenbanken oder der Nutzung von IT am Arbeitsplatz. Arbeitgeber müssen beim Umgang mit personenbezogenen Daten ihrer Beschäftigten auch sicherstellen, dass beteiligte externe Dienstleister die Vorgaben des Datenschutzes einhalten. Nach einer Aufsehen erregenden Entscheidung des Europäischen Gerichtshofs (EuGH) kommen nun neue Herausforderungen auf Arbeitgeber zu, die bislang Daten auf der Grundlage des Safe Harbor-Abkommens zur Übermittlung von Daten in die USA weitergegeben haben. Denn am 6. Oktober 2015 hat der EuGH das Safe-Harbor Abkommen für unwirksam erklärt (Maximilian Schrems v. Data Protection Commissioner Az. C-362/14). Das Safe Harbor-Abkommen entfällt damit als Rechtfertigung für die Übermittlung personenbezogener Daten aus der EU in die USA. Auch die Datenschutzaufsichtsbehörden haben bereits auf das Urteil reagiert. Die Art. 29 Datenschutzgruppe will prüfen, ob Daten künftig noch auf der Grundlage von EU-Standardvertragsklauseln oder verbindlichen Unternehmensrichtlinien (Binding Corporate Rules BCRs) in die USA übermittelt werden dürfen. Zudem kündigen die Datenschützer ein hartes Vorgehen gegen die Übermittlung von Daten an, sofern sich die EU und die USA nicht zeitnah auf rechtssichere Vorgaben für die transatlantische Übermittlung personenbezogener Daten einigen sollten. Nachfolgend werden neben den praktischen Auswirkungen der EuGH-Entscheidung insbesondere die Aussagen der Art. 29 Gruppe zusammengefasst und aufgezeigt, welche Zwangsmittel den Datenschützern zur Verfügung stehen. Zudem werden Handlungsempfehlungen für Unternehmen zur Vermeidung unnötiger rechtlicher Risiken bei der Übermittlung von personenbezogenen Daten in die USA gegeben. Eine Checkliste verdeutlicht die einzelnen Ablaufschritte. Abschließend werden die Vor- und Nachteile der einzelnen rechtlichen Möglichkeiten zur Übermittlung personenbezogener Daten in die USA oder andere Drittstaaten bewertet und ihre Einsatzmöglichkeiten in der Praxis beschrieben. Dabei berücksichtigen wir auch das Positionspaper der deutschen Datenschutzbehörden vom 26. Oktober 2015 und dessen Folgen für die Praxis. 1. Was sind die praktischen Auswirkungen der Entscheidung? Übermittlungen personenbezogener Daten aus der EU in die USA, welche derzeit auf Safe Harbor gestützt werden, werden unzulässig, soweit sie nicht von den Datenschutzaufsichtsbehörden genehmigt werden oder unter die gesetzlichen Ausnahmetatbestände fallen (vgl. etwa 4c Abs. 2 Bundesdatenschutzgesetz BDSG). International tätige Konzerne, welche sich auf Safe Harbor als Mittel zur Rechtfertigung der Datenübermittlung von EU-Tochterunternehmen an die US- Muttergesellschaft oder andere Unternehmen mit Sitz in den USA verlassen haben, müssen nun nach Alternativen suchen. Hier kommen nach derzeitiger Rechtslage insbesondere Binding Corporate Rules (BCRs) oder die von der EU-Kommission vorgegebenen Standardvertragsklauseln in Frage. Dabei können Unternehmen Verträge mit Standardvertragsklauseln schnell abschließen, um so auch kurzfristig bestehende Risiken zu verringern. Dienstleister mit Sitz in den USA, welche nach Safe Harbor zertifiziert sind, um personenbezogene Daten von ihren Kunden aus der EU erhalten zu dürfen, sollten Kunden z.b. alternative Garantien anbieten, um ihre Dienstleistungen weiterhin rechtmäßig erbringen zu können. 2. Stellungnahme der Art. 29 Gruppe Die Art. 29 Gruppe hat am 16. Oktober 2015 eine Reihe von Vorgaben dazu gemacht, wie Unternehmen auf das Urteil des EuGH reagieren sollen. Die Gruppe wurde auf der Grundlage von Art. 29 der EU-Datenschutzrichtlinie 95/46/EG eingesetzt und dient der europaweiten Koordination der Arbeit der Aufsichtsbehörden für den Datenschutz. Sie ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Die Stellungnahme der Gruppe unterstreicht die Notwendigkeit einer einheitlichen, geschlossenen und belastbaren Position der EU zur Umsetzung der Entscheidung des EuGH. Sie stellt zunächst fest, dass die Übermittlung personenbezogener Daten nicht mehr auf die Entscheidung 2000/520/EC der EU-Kommission und das Safe Harbor-Abkommen gestützt werden kann. Die Datenschützer betrachten Datentransfers, die zeitlich nach dem Urteil des EuGH stattfinden, als rechtswidrig. Die Entscheidung, mit der der EuGH Safe Harbor für ungültig erklärt, hat für Unternehmen in der Praxis folgende Konsequenzen:

5 4 Newsletter Arbeitsrecht Oktober Stellungnahme der deutschen Datenschutzbehörden Auch die deutsche Datenschutzkonferenz hat am 26. Oktober 2015 eine umfassende Stellungnahme abgegeben. 1 Die Datenschutzkonferenz dient der Abstimmung zwischen den Datenschutzbeauftragten des Bundes und der Länder und ist somit ein zentrales Abstimmungsgremium der Datenschutzbehörden. Das Positionspapier der Datenschutzkonferenz umfasst unter anderem folgende Punkte: Safe Harbor: Auch die deutschen Aufsichtsbehörden beurteilen Datenübermittlungen auf der Grundlage von Safe Harbor als unzulässig. EU-Standardvertragsklauseln und Binding Corporate Rules: Die deutschen Datenschutzbehörden sehen auch die Zulässigkeit von Datentransfers auf der Grundlage von EU-Standardvertragsklauseln oder von Binding Corporate Rules infrage gestellt. Allerdings werden sie bis zum 31. Januar 2016 voraussichtlich keine umfassenden Zwangsmaßnahmen umsetzen. EU-Standardvertragsklauseln: Auch vor dem 31. Januar 2016 werden die deutschen Datenschutzbehörden die Übermittlung von personenbezogenen Daten auf der Grundlage von EU- Standardvertragsklauseln in Einzelfällen gründlich prüfen. Dabei werden die Datenschützer die vom EuGH aufgestellten Standards anwenden. Binding Corporate Rules: Die Datenschutzaufsichtsbehörden vertreten den Standpunkt, dass sie Datenübermittlungen auf der Grundlage von Binding Corporate Rules jeweils genehmigen müssen, damit diese zulässig sind. Sie kündigen an, bis auf weiteres keine weiteren Übermittlungen personenbezogener Daten auf der Grundlage von Binding Corporate Rules oder Datenübermittlungsverträgen zu genehmigen. Einwilligungen: Nach Ansicht der Datenschutzkonferenz sollen Übermittlungen personenbezogener Daten in die USA oder andere Drittstaaten nur in Ausnahmefällen auf Einwilligungen gestützt werden können. Dies soll insbesondere bei der Übermittlung von Beschäftigtendaten gelten. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. Folgen für Unternehmen: Die Datenschutzaufsichtsbehörden rufen Unternehmen auf, "unverzüglich Ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten." Dabei ist es etwas bedauerlich, dass die Datenschützer davon absehen, Unternehmen hierfür auch Hilfestellungen an die Hand zu geben. Die in dem Positionspapier vom 26. Oktober 2015 genannten Veröffentlichungen der Daten- schutzkonferenz zu elektronischer Kommunikation und zu Cloud Computing bieten hier wenig Unterstützung. 4. Folgen von Verstößen für Unternehmen Sowohl die Entscheidung des EuGH als auch die Stellungnahme der Art. 29 Gruppe haben erhebliche Folgen für Unternehmen, die Daten in die USA übermitteln. Derzeit können die Datenschutzbehörden Bußgelder von bis zu Euro pro Fall verhängen. Mit Inkrafttreten der EU-Datenschutz- Grundverordnung können sogar Bußgelder von 100 Millionen Euro oder mehr verhängt werden. Eine Aufzählung über weitere Zwangsmittel und Sanktionen, die den Datenschutzaufsichtsbehörden zur Verfügung stehen, finden Sie nachstehend als Überblick (siehe S. 5). Die Arbeitsgruppe fordert Aufsichtsbehörden, EU-Institutionen Mitgliedsstaaten sowie Unternehmen auf, nachhaltige Lösungen zur Umsetzung der Entscheidung des EuGH zu finden. Dabei sollten Unternehmen die Risiken unzulässiger Datentransfers gründlich gegen mögliche Vorteile abwägen. Daher fordert die Art. 29 Gruppe europäische Unternehmen nachdrücklich auf, EU-Datenschutzvorschriften zu beachten und sofort rechtliche und technische Lösungen zur Vermeidung von Datenschutzverletzungen umzusetzen. Vor dem Hintergrund der großen Aufmerksamkeit, die die Entscheidung des EuGH nach sich gezogen hat, sind Unternehmen gut beraten, bestehende Datenschutzstrukturen und einzelne Übermittlungen zu überprüfen, um rechtliche Risiken zu verringern oder auszuschließen. 5. Welche Folgen hat das Urteil des EuGH für EU- Standardvertragsklauseln und Binding Corporate Rules? Bis auf weiteres aber nach Ankündigung der EU- Datenschützer nicht länger als bis Ende Januar 2016 prüft die Arbeitsgruppe, ob personenbezogene Daten weiterhin auf der Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules in die USA übermittelt werden dürfen. Diese vieldeutige Aussage zeigt, dass die Art. 29 Gruppe derzeit analysiert, ob die Begründung der EuGH-Entscheidung auch nahelegt, dass andere Rechtsgrundlagen für die Übermittlung personenbezogener Daten in die USA nicht mehr angewendet werden dürfen. Dabei betont die Arbeitsgruppe, dass die einstweilige Aussetzung koordinierter Zwangsmaßnahmen bis Ende Januar 2016 Datenschutzaufsichtsbehörden nicht davon abhalten soll, in möglichen Verdachtsfällen auch bereits während der Verhandlungen zwischen EU und den USA Ermittlungen anzustellen. Insbesondere bei Beschwerden von Betroffenen sind die Behörden gehalten, ihre Befugnisse zum Schutz einzelner Personen einzusetzen. Dies erlaubt es einzelnen Aufsichtsbehörden, auch vor Februar 2016 gegen Unternehmen vorzugehen, die die strikten Vorgaben des EuGH nicht erfüllen. 1 Fachthemen, Europa.

6 Newsletter Arbeitsrecht Oktober Weitere Verhandlungen zwischen der EU und den USA Derzeit verhandeln die EU und die USA über eine Neufassung des Safe Harbor-Abkommens. Die Art. 29 Gruppe wird während dieser Verhandlungen weiter prüfen, welche Folgen die Entscheidung des EuGH nach sich zieht. Die Art. 29 Gruppe betrachtet unverhältnismäßige Überwachungsmaßnahmen als unvereinbar mit dem Recht der EU. Sie betrachtet derzeit bereits bestehende Transfermechanismen nicht als eine Lösung dieses Problems. Die Arbeitsgruppe sieht Drittstaaten, in denen Behörden einen Zugriff auf Informationen haben, der über das unbedingt erforderliche Maß hinausgeht, nicht als sichere Ziele von Datenübermittlungen. Jede Entscheidung über ein angemessenes Datenschutzniveau müsse mit einer umfassenden Analyse der in dem Drittstaat geltenden Gesetze und internationalen Verpflichtungen einhergehen. Auch diese Aussage legt nahe, dass die Datenschutzbehörden die Folgen des EuGH-Urteils auch für EU- Standardvertragsklauseln und Binding Corporate Rules genau analysieren werden. Die Art. 29 Gruppe fordert die EU auf, die derzeit laufenden Gespräche mit US-Behörden fortzusetzen. Dabei sollen grundrechtskonforme Lösungen für die Datenübermittlung gefunden werden. Dies könnte beispielsweise durch eine zwischenstaatliche Vereinbarung ermöglicht werden, die Grundrechtsträgern in der EU stärkere Rechte einräumt. Der derzeitige Dialog über ein neues Safe Harbor-Abkommen könnte nach Ansicht der Arbeitsgruppe ein Teil dieser Lösung sein. 7. Forderungen zu Kernpunkten künftiger Abkommen zur Datenübermittlung Die EU-Datenschützer verlangen für künftige Abkommen zur Übermittlung personenbezogener Daten entsprechende klare und verbindliche Regelungsmechanismen zum Schutz der Rechte von Betroffenen. Nach Auffassung der Art. 29 Gruppe müssen derartige Regelungen jedenfalls Verpflichtungen zu den folgenden Punkten enthalten: Überwachung von Zugriffen auf übermittelte Daten durch öffentliche Behörden, Transparenz, Zwangsmaßnahmen vor Februar 2016 jedoch unwahrscheinlich. Nachstehend finden Sie einen kurzen Überblick darüber, welche Befugnisse deutschen Datenschutzbehörden zur Durchsetzung des BDSG im Einzelnen zur Verfügung stehen. Überblick: Zwangsmittel und Sanktionen der Datenschutzbehörden Kontrolle der Einhaltung von Vorschriften über den Datenschutz, 38 Abs. 1 Satz 1 BDSG; Auskunftsverlangen, 38 Abs. 3 Satz 1 BDSG; Prüfung und Besichtigung, 38 Abs. 3 Satz 1 BDSG; Einsicht in geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme, 38 Abs. 3 Satz 2 BDSG; Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße, 38 Abs. 5 Satz 1 BDSG, also z.b. Verbote einzelner Datenverarbeitungen bzw. -übermittlungen; Verhängung eines Zwangsgelds nach 38 Abs. 5 Satz 2 BDSG; Untersagung einzelner Verfahren bzw. Übermittlungen gemäß 38 Abs. 5 Satz 2 BDSG; Androhung von Bußgeldern im Sinne von 43 Abs. 2 BDSG; Unterrichtung der Betroffenen, 38, Abs. 1 Satz 6 BDSG; Anordnung der Abberufung des betrieblichen Datenschutzbeauftragten Verhängung von Bußgeldern nach 43 Abs. 2 BDSG; Abschöpfung von durch Datenschutzverstöße gezogenen gewinnen, 43 Abs. 3 S. 3 BDSG Verhältnismäßigkeit, Strafanträge nach 44 Abs. 2 BDSG; Gewährleistung von Mechanismen zur Geltendmachung von Rechtsbehelfen und Datenschutzrechte Einzelner. Veröffentlichungen von Pressemeldungen über festgestellte Verstöße. 8. Handlungsempfehlungen für Unternehmen Sollten sich EU und USA bis Ende 2016 nicht auf eine Lösung zur Übermittlung personenbezogener Daten verständigt haben, sind die europäischen Datenschutzbehörden gehalten, alle notwendigen unverhältnismäßigen Maßnahmen zur Durchsetzung der Vorgaben des europäischen Datenschutzrechts umzusetzen. Laut Arbeitsgruppe kann dies insbesondere umfassende koordinierte Zwangsmaßnahmen beinhalten. Vor dem Hintergrund der bis Ende Januar 2016 festgesetzten Prüfperiode der Art. 29 Gruppe sind umfassende Die derzeitige Rechtslage ist eine erhebliche Herausforderung für Unternehmen. Nur wenige Unternehmen können es sich leisten, darauf zu verzichten, personenbezogene Daten in die USA zu übermitteln. Die nachstehende Checkliste zeigt, wie Unternehmen am besten mit der gegenwärtigen Situation umgehen können. Sie enthält eine Reihe von Vorschlägen, wie man die Übermittlung personenbezogener Daten in die USA nach dem EuGH-Urteil möglichst datenschutzkonform und rechtssicher umsetzen kann.

7 6 Newsletter Arbeitsrecht Oktober 2015 Checkliste: Übermittlung von Arbeitnehmerdaten in die USA Verantwortlichkeiten: Identifizieren Sie die geeigneten Beteiligten und stellen Sie deren Verfügbarkeit sicher; neben den Bereichen Datenschutz, Recht, IT, Revision, Personal und Compliance können durchaus auch weitere Funktionen im Unternehmen betroffen sein. Datenschutzbeauftragter: Der betriebliche Datenschutzbeauftragte sollte in sämtliche Vorgänge eingebunden werden. Betriebsrat: Denken Sie rechtzeitig an die Kommunikation mit dem Betriebsrat. Bei Fragen des Datenschutzes hat er Kontrollrechte nach 80 Abs. 1 Nr. 1 BetrVG sowie Auskunfts- und Einsichtsrechte nach 80 Abs. 2 BetrVG. Sind IT-Systeme zur Kontrolle von Arbeitnehmern geeignet, steht dem Betriebsrat sogar ein Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG zu. Auch Betriebsräten ist die öffentliche Debatte um die Safe Harbor Entscheidung des EuGH nicht entgangen. Sie sollten sich auf entsprechende Fragen Ihres Betriebsrats vorbereiten. Bestandsaufnahme: Prüfen Sie bestehende IT- Systeme, Prozesse und Berichtslinien daraufhin, ob sie die Übermittlung von Arbeitnehmerdaten oder sonstigen Daten umfassen; hierzu sollte auch das intern geführte Verfahrensverzeichnis Informationen enthalten, vgl. 4e Satz 1 Nr. 8 BDSG. Reporting: Denken Sie bei der Überprüfung einzelner Übermittlungen auch an künftige Reportingstrukturen. Gegebenenfalls muss das System für entsprechende Meldungen durch System- oder Prozessverantwortliche verbessert oder angepasst werden. Dabei sollten Sie besonders auf die Einbindung zusätzlicher Module und Funktionen (Plug-Ins, Skripte etc.) achten, die bislang nicht angemessen dokumentiert wurden. Hier sollten Sie nicht nur an direkte Dienstleister, sondern auch an Unterauftragnehmer denken, also in der Leistungskette auch nachfolgende Empfänger personenbezogener Daten in Ihren Prozessen berücksichtigen. Zweckbindung: Stellen Sie fest, zur Verwirklichung welcher Zwecke personenbezogene Daten jeweils übermittelt werden. Der Zweck der Verarbeitung von Daten entscheidet über deren Zulässigkeit. Bewertung: Staffeln Sie die Datenübermittlungen nach ihrer Wichtigkeit sowie ihrer Sensitivität; je maßgeblicher der Transfer von Daten oder je kritischer die übermittelten Daten sind, desto eher sollte ein rechtssicherer Weg zu ihrer Übermittlung festgelegt werden. Erforderlichkeit: Bei jeder Übermittlung personenbezogener Daten ist auf einer ersten Stufe zu prüfen, ob eine Weitergabe an Dritte überhaupt zulässig ist. In der Regel ist hierfür die Erforderlichkeit nach 28 Abs. 1 Satz 1 Nr. 2, 28 Abs. 6 oder 32 Abs. 1 Satz 1 oder 2 BDSG entscheidend. Transparenz: Nach der Rechtsprechung des BAG ist Transparenz entscheidend für die Zulässigkeit des Umgangs mit Arbeitnehmerdaten; Übermittlungen ohne Kenntnis der betroffenen Mitarbeiter sind demnach oftmals unzulässig. Übermittlung: Die Weitergabe von personenbezogenen Daten an Empfänger in Drittstaaten wie den USA unterliegt gesteigerten Anforderungen. Diese Vorgaben können nach dem BDSG insbesondere durch EU-Standardvertragsklauseln oder Binding Corporate Rules erfüllt werden. Dabei sollten Unternehmen dringend beachten, dass die Datenschutzaufsichtsbehörden derzeit auch die Zulässigkeit der Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln o- der Binding Corporate Rules auf den Prüfstand stellen. In Einzelfällen können aber z.b. auch Einwilligungen oder die Verwirklichung von Rechtsansprüchen eine Übermittlung erlauben, vgl. 4c Abs. 1 und Abs. 2 BDSG. Häufig werden Standardvertragsklauseln ein Mittel sein, um kurzfristig auf das Urteil des EuGH zu reagieren. Mittel- bis langfristig sind Datenübermittlungsverträge oder Binding Corporate Rules sicherer und flexibler (siehe hierzu die nachstehende Bewertung). Kontrolle: Prüfen Sie auch künftig in regelmäßigen Abständen, ob Übermittlungen den aktuellen Vorgaben entsprechen; zum einen kann sich die Sachlage (Zweckbestimmung) ändern, zum anderen die künftige rechtliche Bewertung; es ist mit weiteren Stellungnahmen deutscher Datenschutzbehörden zu rechnen 9. Bewertung einzelner Mittel zur Übermittlung personenbezogener Daten Nach der Entscheidung des EuGH und der Stellungnahme der Art. 29 Arbeitsgruppe steht fest, dass es derzeit keinen uneingeschränkt zu empfehlenden Weg zur Übermittlung personenbezogener Daten in die USA gibt. Sowohl die Luxemburger Richter wie auch die europäischen Datenschützer haben in Bezug auf mögliche Zugriffe US-amerikanischer Behörden klare und restriktive Position bezogen. Vor diesem Hintergrund haben alle zur Verfügung stehenden Optionen ihre Vor- und Nachteile. Der vorliegende Abschnitt zeigt, welche Vorgehensweise sich für welche Übermittlungen eignet. Aus Unternehmenssicht ist es empfehlenswert, sich daran zu orientieren, wie man Beeinträchtigungen und Risiken möglichst wirksam vermeiden kann. Eine wesentliche Überlegung ist hierbei, welche Optionen die Gefahr von Bußgeldern effektiv ausschließen. Der nachstehende Überblick beschreibt, welche Möglichkeiten zur Rechtfertigung der Übermittlung von personenbezogenen Daten Unternehmen zur Verfügung stehen und welche Chancen und Risiken diese Möglichkeiten bergen. 9.1 Einwilligungen Einzelne Datenschutzaufsichtsbehörden vertreten die Auffassung, dass Einwilligungen eine Übermittlung personenbezo-

8 Newsletter Arbeitsrecht Oktober gener Daten in die USA nicht ermöglichen können. 2 Auch die Datenschutzkonferenz hält in ihrem Positionspapier vom 26. Oktober 2015 Einwilligungen nicht zur Rechtfertigung wiederholter, massenhafter oder routinemäßiger Datentransfers für zulässig. Diese Rechtsauffassung dürfte in Anbetracht des klaren Wortlauts von 4c Abs. 1 S. 1 Nr. 1 BDSG allerdings nicht zwingend sein. Für die Praxis empfiehlt es sich, abzuwarten, wie sich Gerichte künftig in dieser Frage positionieren werden. Eine Rechtfertigung allein über Einwilligungen wird dauerhaft voraussichtlich jedoch keine flächendeckenden Datentransfers legitimieren können. Zudem müssen gerade Einwilligungen in die Übermittlung personenbezogener Daten ein hohes Maß an Transparenz gewährleisten. In diesem Zusammenhang müssen Unternehmen Betroffene, insbesondere auch ihre Arbeitnehmer, präzise darüber informieren, was mit den übermittelten personenbezogenen Daten in den USA geschieht. Pauschaleinwilligungen, die diesen hohen Transparenzanforderungen nicht genügen, sind unwirksam. Bereits aus diesem Grund sind Einwilligungen in der Praxis oftmals nicht das geeignete Mittel, um Datentransfers zu legitimieren. Hinzu kommt, dass Arbeitnehmer einmal abgegebene Einwilligungen auch widerrufen können. In diesem Fall müssen Unternehmen sicherstellen, dass sie in der Lage sind, dafür zu sorgen, dass übermittelte Daten unverzüglich gelöscht werden. Auch die Kritik der Datenschutzkonferenz vom 26. Oktober 2015 spricht gegen die umfassende Rechtfertigung von Datentransfers auf der Grundlage von Einwilligungen. Bewertung: Im Ergebnis sind Einwilligungen allenfalls in Einzelfällen ein geeignetes Mittel, um die Zulässigkeit der Übermittlung personenbezogener Daten in die USA zu gewährleisten. 9.2 EU-Standardvertragsklauseln Eine naheliegende Lösung ist der Einsatz der von der EU- Kommission vorgegebenen Standardvertragsklauseln. Der Abschluss entsprechender Vereinbarungen stellt Unternehmen vor geringe Herausforderungen. Daher kommen sie gerade kurz-und mittelfristig als logische Alternative zu Safe Harbor in Frage. Allerdings haben die Standardvertragsklauseln auch Nachteile. Zunächst sind sie auf bilaterale Übermittlungen von Daten zwischen zwei Vertragsparteien ausgelegt. Sie enthalten strenge inhaltliche Vorgaben, die erfahrungsgemäß nicht von allen Datenempfängern auch tatsächlich umgesetzt werden. Bereits vor der Entscheidung des EuGH war die Übermittlung personenbezogener Daten auf der Grundlage von EU- Standardvertragsklauseln mit einigen Beeinträchtigungen verbunden. 2 Europaeischen-Union-erklaert-Safe-Harbor-fuer-ungueltig-was- muessen-unternehmen-und-oeffentliche-stellen-in-schleswig- Holstein-nun-beachten.html Zum einen erlauben die Klauseln keine Anpassungen oder Flexibilität. Zum anderen sind sie administrativ mit einigem Aufwand verbunden. Die rechtssichere Übermittlung personenbezogener Daten in die USA auf der Basis von Standardvertragsklauseln setzt voraus, dass die jeweiligen Übermittlungszwecke und die übermittelten personenbezogenen Daten recht genau beschrieben werden. Zudem müssen beide Vertragsparteien sicherstellen, dass die Regelungen aus den Standardvertragsklauseln in der Praxis auch tatsächlich umgesetzt werden. Auch dies erfordert einigen Aufwand. Zudem lassen sich viele Kritikpunkte des EuGH an Safe Harbor auch auf EU-Standardvertragsklauseln übertragen. Es bleibt abzuwarten, wie die Art. 29 Gruppe, nationale Datenschutzbehörden und Gerichte diese Frage letztlich bewerten werden. Jedenfalls sollte man sich durch das Positionspapier der Datenschutzkonferenz vom 26. Oktober 2015 nicht davon abhalten lassen, Standardvertragsklauseln als Option zu prüfen. Zumindest bis zu einer endgültigen Entscheidung des EuGH auch über diesen Übermittlungsmechanismus bleiben sie eine gültige Rechtsgrundlage. Bewertung: Standardvertragsklauseln sind schnell abgeschlossen, aber es bleibt abzuwarten, wie Gerichte künftig ihre Wirksamkeit bewerten. Sie sind zudem nicht sehr flexibel und erfordern in der Handhabung etwas Aufwand. In jedem Fall sind sie eine schnell implementierte Übergangslösung zur Absicherung von Übermittlungen, die beispielsweise zuvor auf Safe Harbor gestützt wurden. 9.3 Datenübermittlungsverträge Die zuständige Aufsichtsbehörde kann Übermittlungen personenbezogener Daten genehmigen, wenn das übermittelnde Unternehmen ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Derartige Garantien können sich insbesondere aus Vertragsklauseln ergeben, 4c Abs. 2 S. 1 BDSG. Man könnte hier von "BCRs light" sprechen. Derartige Datenübermittlungsverträge bieten ein größeres Maß an Flexibilität als EU-Standardvertragsklauseln. Sie müssen aber vor ihrem Einsatz von der jeweils zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Die Erstellung entsprechender Vertragsklauseln erfordert in der Praxis einen nicht unerheblichen Aufwand. Auch die Abstimmung mit der Datenschutzbehörde erfordert Zeit und Einsatzbereitschaft. Hinzu kommt das Risiko, dass die zuständige Datenschutzbehörde die notwendige Genehmigung ablehnt. Diese Gefahr dürfte bereits mit der Entscheidung des EuGH und der Stellungnahme der Art. 29 Gruppe erheblich gestiegen sein. Nach der Stellungnahme der Datenschutzkonferenz vom 26. Oktober 2015 ist klar, dass die deutschen Datenschutzbehörden bis auf weiteres hier eine Blockadehaltung einnehmen. Damit sind Datenübermittlungsverträge derzeit nicht das Mittel der Wahl. Bewertung: Datenübermittlungsverträge nach 4c Abs. 2 S. 1 BDSG bleiben ein rechtssicherer Weg zur Übermittlung personenbezogener Daten in Drittstaaten. Sie bieten Flexibilität, erfordern aber ein hohes Maß an Abstimmung mit den Datenschutzbehörden. Deutsche Datenschutzaufsichtsbehörden haben angekündigt, zunächst keine weiteren Übermitt-

9 8 Newsletter Arbeitsrecht Oktober 2015 lungen auf der Grundlage von Datenübermittlungsverträgen zu genehmigen. 9.4 Safe Harbor 2.0 Derzeit verhandeln die EU und die USA über den Abschluss eines neuen Safe Harbor-Abkommen. Ob und wann es hier zu einer Einigung kommt, ist derzeit nicht abzusehen. Die Entscheidung des EuGH dürfte zwar einige Bewegung in die Debatte über eine Neuauflage von Safe Harbor gebracht haben. Ob sie aber eine schnellere Einigung wahrscheinlich macht, darf bezweifelt werden. Bewertung: Kaum ein europäisches Unternehmen wird es sich leisten können, abzuwarten, bis sich EU und die USA möglicherweise auf Safe Harbor 2.0 verständigen werden. Warten ist daher sicherlich keine Lösung. 9.5 Binding Corporate Rules Zwar hat die Art. 29 Gruppe angekündigt, auch die Zulässigkeit von Binding Corporate Rules im Hinblick auf die Entscheidung des EuGH zu überprüfen. Auch im Rahmen von verbindlichen Unternehmensrichtlinien können Firmen Rechtspflichten nach US-Gesetzen nicht außer Kraft setzen. Allerdings können Unternehmen im Rahmen von Binding Corporate Rules Verpflichtungen nach US-Recht transparent beschreiben und festlegen, bei der Erfüllung solcher nationaler US-Pflichten möglichst verhältnismäßig und datensparsam vorzugehen. Soweit das US-Recht dies erlaubt, können Binding Corporate Rules auch vorsehen, dass Arbeitnehmer von einem Zugriff auf ihre personenbezogenen Daten informiert werden. Binding Corporate Rules erlauben ein hohes Maß an Flexibilität und Rechtssicherheit. Sie sind als ein ausgesprochen hoher Standard an Datenschutz-Compliance anerkannt. Gerade im Rahmen von Binding Corporate Rules können Unternehmen Arbeitnehmern letztlich auch Möglichkeiten einräumen, ihre Rechte vor nationalen Gerichten geltend zu machen. So lässt sich bei Binding Corporate Rules einer der wesentlichen Kritikpunkte des EuGH an Safe Harbor ausräumen. Binding Corporate Rules sind primär dafür gedacht, den Transfer von Informationen zwischen Konzernunternehmen zu erlauben. Wenn US-Unternehmen aber im Rahmen von Binding Corporate Rules Datenschutzstrukturen einführen, die einem EU-Niveau entsprechen, so kann dies auch eine zulässige Übermittlung von konzernfremden Unternehmen rechtfertigen. Diesen Punkt sollte man im Rahmen der Abstimmung mit den zuständigen Datenschutzaufsichtsbehörden klären. Auch Binding Corporate Rules sind nicht ohne Nachteile. Unternehmen müssen nicht unerhebliche Ressourcen zur Einführung und Umsetzung von Binding Corporate Rules zur Verfügung stellen. Ähnlich wie bei Datenübermittlungsverträgen besteht auch hier das Risiko, dass die Datenschutzbehörden eine Genehmigung letztendlich verweigern. Die Abstimmung mit den Datenschutzaufsichtsbehörden kann ebenfalls durchaus Aufwand und vor allem einige Zeit erfordern. Es bleibt zu hoffen, dass sich die Datenschutzbehörden auf Wege verständigen, datenschutzbewussten Unternehmen den Weg zu Binding Corporate Rules zu erleichtern. Die deutschen Datenschutzbehörden haben sich in ihrem Positionspapier vom 26. Oktober 2015 gegenüber Binding Corporate Rules zunächst kritisch positioniert. Es bleibt abzuwarten, ob die Behörden und damit befasste Gerichte diese Position dauerhaft beibehalten bzw. übernehmen werden. Bis auf weiteres haben die deutschen Datenschutzbehörden angekündigt, keine weiteren Datenübermittlungen auf der Grundlage von Binding Corporate Rules zu genehmigen. In jedem Falle ist jedenfalls das Risiko der Verhängung von Bußgeldern wegen Datentransfers in die USA während einer laufenden Einführung von Binding Corporate Rules ausgesprochen gering. Bewertung: Langfristig nach wie vor die "Deluxe-Lösung". Binding Corporate Rules erfordern Aufwand und Abstimmungen mit der Datenschutzbehörde. Dafür sind sie aber flexibel und rechtssicher. Von den derzeit für die Übermittlung von personenbezogenen Daten in die USA zur Verfügung stehenden Optionen sind solche verbindliche Unternehmensrichtlinien für viele Unternehmen sicherlich der beste Weg. Wegen der Blockadehaltung der deutschen Datenschutzaufsichtsbehörden sind sie aber derzeit kein geeignetes Mittel, um kurzfristig Übermittlungen zu rechtfertigen. 10. Ergebnis und Zusammenfassung Eine einfache Lösung für die Übermittlung personenbezogener Daten gibt es nach dem Urteil des EuGH vom 6. Oktober 2015 nicht. Unternehmen sollten abwägen, welche Übermittlungen für ihren Geschäftsbetrieb nötig sind und wie sie diese rechtlich am besten absichern. Dabei geht es in allererster Linie um die Vermeidung von Bußgeldern und anderen Nachteilen. Bevor man auf wichtige Datenübermittlungen wegen Bedenken einzelner Landesdatenschutzbehörden verzichtet, sollte man auch die Aussichten eines möglichen Rechtsstreits prüfen. Ein kompletter Verzicht auf Übermittlungen in die USA ist den allermeisten Unternehmen nicht zuzumuten und wäre somit unverhältnismäßig. Im Kern geht es zunächst darum, die Persönlichkeitsrechte der von der Übermittlung ihrer Daten betroffenen Arbeitnehmer angemessen zu schützen. Dies kann man vor allem durch vertragliche Regelungen sicherstellen. Unternehmen können etwa entsprechende Regelungen in Datenübermittlungsverträgen und Binding Corporate Rules vereinbaren. Möglich sind aber auch zusätzliche Garantien des Empfängers bei EU-Standardvertragsklauseln. Das Safe Harbor-Abkommen bietet keine Rechtsgrundlage mehr für die Weitergabe von Daten. Einwilligungen können allenfalls in Einzelfällen weiterhelfen, sind aber keine flächendeckende Lösung. Aus Unternehmenssicht ist es dabei entscheidend, das Risiko von Bußgeldern, anderen Sanktionen oder Zwangsmitteln und sonstigen Nachteilen möglichst gering zu halten. Hierfür ist es zunächst notwendig, Datentransfers auf das wirklich erforderliche Maß zu begrenzen. Zum anderen müssen Firmen nach einer Alternative zu Safe Harbor suchen. Auch wenn beispielsweise EU-Standardvertragsklauseln nicht zwingend langfristige Rechtssicherheit bieten, können Sie kurz- oder mittelfristig Risiken belastbar mindern oder sogar ausschließen.

10 Newsletter Arbeitsrecht Oktober EU-Standardvertragsklauseln sind wenig flexibel und erfordern einigen administrativen Aufwand. Zudem treffen wesentliche Kritikpunkte des EuGH an Safe Harbor auch auf Standardvertragsklauseln zu. Somit ist nicht ausgeschlossen, dass die Luxemburger Richter künftig auch über die Zulässigkeit von EU-Standardvertragsklauseln zu entscheiden haben. Man kann nicht ausschließen, dass sie auch die Standardvertragsklauseln für unwirksam erklären werden. Jedenfalls bis zu einer solchen möglichen Entscheidung bleiben die EU- Standardvertragsklauseln ein zulässiges Mittel, um die Übermittlung personenbezogener Daten in die USA zu erlauben. Das macht sie für viele Sachverhalte zu einer zweckmäßigen Übergangslösung, gerade für Unternehmen, die mittelfristig Datenübermittlungsverträge oder Binding Corporate Rules einführen wollen. Beim Einsatz der EU-Standardvertragsklauseln sollten Unternehmen allerdings genau darauf achten, wie sich die für sie zuständige deutsche Datenschutzaufsichtsbehörde künftig in dieser Frage positioniert. Auch Datenübermittlungsverträge können die Weitergabe von Informationen in die USA weiterhin erlauben. Sie müssen allerdings mit der zuständigen Datenschutzaufsichtsbehörde abgestimmt werden und von ihr genehmigt. Die flexibelste und rechtlich sicherste Lösung bleiben Binding Corporate Rules. Der mit ihrer Einführung verbundene Aufwand wird durch die Vorteile derartiger verbindlicher Unternehmensregelungen mehr als aufgewogen. Es bleibt auch abzuwarten, ob die deutschen Datenschutzaufsichtsbehörden ihre derzeit kritische Grundhaltung gegenüber Binding Corporate Rules und Datenübermittlungsverträgen beibehalten werden. Informieren Sie sich auch online über das Thema auf dem Hogan Lovells Blog: Tim Wybitul Partner, Frankfurt am Main T +49 (69) tim.wybitul@hoganlovells.com

11 10 Newsletter Arbeitsrecht Oktober 2015 Aktuelles Urteil Arbeitsrecht Datenschutzverstoß durch Betriebsrat Beweisverwertungsverbot rechtswidrig erlangter Informationen im arbeitsgerichtlichen Beschlussverfahren Das LAG Berlin-Brandenburg hat mit Beschluss vom 15. Mai 2014 entschieden, dass Erkenntnisse, die ein Betriebsrat unter Verstoß gegen Vorgaben des Bundesdatenschutzgesetzes (BDSG) erlangt hat, in einem arbeitsgerichtlichen Verfahren einem Beweisverwertungsverbot unterliegen können (LAG-Berlin-Brandenburg v. 15. Mai TaBV 828/12, 18 TaBV 830/12). DER FALL Die Arbeitgeberin hatte mit ihrem Betriebsrat eine Betriebsvereinbarung zur Arbeitszeit geschlossen. Diese legte einen "Buchungsrahmen" für die betriebliche Arbeitszeit fest. In der Folgezeit sendeten nach Erkenntnis des Betriebsrats Mitarbeiter, von denen nur ein Teil dieser Betriebsvereinbarung unterlag, s außerhalb des vereinbarten Buchungsrahmens an andere Mitarbeiter, auf die die Betriebsvereinbarung zur Arbeitszeit anwendbar war. Diese Information hatte der Betriebsrat unter anderem aus Screenshots von - Postfächern gewonnen, an die der Betriebsrat ohne Kenntnis oder Zustimmung der betroffenen Mitarbeiter gelangt war. Der Betriebsrat machte daraufhin einen Verstoß der Arbeitgeberin gegen ihre Durchführungspflicht nach 77 Abs. 1 BetrVG geltend, da sie Arbeitsleistungen außerhalb der in der Betriebsvereinbarung geregelten Arbeitszeit entgegengenommen bzw. geduldet habe. Er forderte von der Arbeitgeberin, es zukünftig zu unterlassen, Arbeitsleistungen außerhalb der Arbeitszeit entgegenzunehmen oder zu dulden. Die Arbeitgeberin hingegen bestritt, dass s außerhalb der Arbeitszeit versendet wurden. Sie vertrat außerdem die Auffassung, die vom Betriebsrat als Beweismittel eingereichten Screenshots der s seien im Prozess nicht verwertbar. Diese habe der Betriebsrat ohne vorherige Kenntnis, Rücksprache und vor allem ohne Zustimmung der betroffenen Mitarbeiter ausgeforscht und deshalb rechtswidrig erlangt. Das Arbeitsgericht hatte dem Unterlassungsantrag des Betriebsrats stattgegeben. Gegen diese Entscheidung hatte die Arbeitgeberin Beschwerde beim LAG Berlin-Brandenburg eingelegt. DIE ENTSCHEIDUNG Das LAG Berlin-Brandenburg wies den Antrag des Betriebsrats zurück. Das Gericht gelangte zu der Erkenntnis, dass der Betriebsrat die Screenshots und die darin enthaltenen personenbezogenen Mitarbeiterdaten nur unter Verstoß gegen 32 Abs. 2 BDSG erlangt haben kann. Der Betriebsrat habe diese Informationen somit rechtswidrig erlangt. Eine Verwertung der datenschutzwidrig erlangten Screenshots als Beweismittel lehnte das Gericht ab. Ein ausdrückliches Verwendungs- bzw. Verwertungsverbot für rechtswidrig erlangte Informationen, kenne die Zivilprozessordnung zwar nicht. Nach Ansicht des LAG Berlin-Brandenburg können sich allerdings aus materiellen Grundrechten wie Art. 2 Abs. 1 GG Anforderungen an das gerichtliche Verfahren ergeben, wenn es um die Offenbarung und Verwertung von persönlichen Daten geht, die grundrechtlich vor der Kenntnis durch Dritte geschützt sind. Das Gericht müsse daher prüfen, ob die Verwertung von heimlich beschafften personenbezogenen Daten mit dem allgemeinen Persönlichkeitsrecht des Betroffenen vereinbar ist. Wenn sich eine Prozesspartei Erkenntnisse durch Eingriffe in das allgemeine Persönlichkeitsrecht verschafft hat, kommt es nach Ansicht der Landesarbeitsrichter auf eine Abwägung der Belange der Beteiligten an. Das Interesse an einer Verwertung der Beweismittel müsse trotz damit einhergehender Rechtsverletzung das Interesse am Schutz der Daten überwiegen. Hierfür bedürfe es über das allgemeine Beweisführungsinteresse hinaus zusätzlicher Umstände. Solche Umstände könnten darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Dies war nach Auffassung des LAG Berlin-Brandenburg vorliegend allerdings nicht der Fall. Denn der Betriebsrat hätte seinen allgemeinen Auskunftsanspruch gegenüber der Arbeitgeberin geltend machen können, was dieser aber unterlassen hatte. Das Gericht führte weiter aus, dass zum Auskunftsrecht des Betriebsrats nicht spiegelbildlich ein Zugriffsrecht gehört, welches die Verwertung rechtfertigen könnte. Das LAG Berlin-Brandenburg berücksichtigte bei der Interessenabwägung auch, dass der Betriebsrat bei der Beschaffung der rechtswidrig erlangten Informationen die Rechte derjenigen Mitarbeiter verletzt hat, deren Interessen er vertritt. Im Ergebnis kam das Gericht zu der Auffassung, dass das Interesse des Betriebsrats an der Verwertung der Screenshots das Interesse der betroffenen Mitarbeiter am Schutz der personenbezogenen Daten nicht überwog. Es schloss somit die Verwertung der rechtswidrig erlangten Daten aus. Der Betriebsrat konnte somit den behaupteten Verstoß der Arbeitgeberin gegen die Betriebsvereinbarung Arbeitszeit nicht beweisen. FAZIT Die Entscheidung ist aus mehreren Gründen bemerkenswert. In dem entschiedenen Fall hat erstmals ein Instanzgericht ein Beweisverwertungsverbot gegen einen Betriebsrat wegen Datenschutzverstößen angenommen. In der Vergangenheit hatte sich die Rechtsprechung zwar schon mehrfach mit der Verwertbarkeit datenschutzrechtswidrig erlangter Informationen befasst. Diesen Entscheidungen lagen jedoch bisher

12 Newsletter Arbeitsrecht Oktober immer Datenschutzverstöße des Arbeitgebers zugrunde, während vorliegend ein Betriebsrat die Vorgaben des BDSG missachtet hat. Die Entscheidung des LAG Berlin-Brandenburg macht zudem deutlich, dass Betriebsräte bei der Erfüllung ihrer gesetzlichen Aufgaben die Vorgaben des BDSG zu beachten haben. Das ist folgerichtig, zumal der Betriebsrat dazu berufen ist, die Interessen der von ihm vertretenen Mitarbeiter zu wahren. Hierzu zählt auch der Schutz des Rechts der Mitarbeiter auf informationelle Selbstbestimmung beim Umgang mit ihren personenbezogenen Daten. Der vorliegende Beschluss bestätigt zudem erneut, dass die heimliche Informationsbeschaffung eine besonders hohe Eingriffsintensität hat. Heimliche Ermittlungsmaßnahmen greifen demnach stärker in das Recht der Betroffenen auf informationelle Selbstbestimmung ein als offene Maßnahmen in Kenntnis, mit Zustimmung oder im Beisein der betroffenen Mitarbeiter. Diesen Grundsatz müssen Arbeitgeber und Betriebsräte gleichermaßen beachten. Einem Datenschutzverstoß muss zwar nicht zwingend ein Beweisverwertungsverbot folgen. Jedoch legt die Rechtsprechung strenge Maßstäbe an, um eine Verwertbarkeit der rechtswidrig erlangten Daten zu rechtfertigen. Der Beweisführer muss sich beispielsweise in einer Beweisnotlage oder notwehrähnlichen Lage befinden, die es rechtfertigt, die Informationen zu verwerten. Unklar bleibt nach dem Beschluss aber, wann genau bzw. unter welchen Voraussetzungen eine solche Notwehrlage im Einzelnen anzunehmen ist. In dem vorliegenden Fall hatte das LAG Berlin-Brandenburg eine Beweisnotlage zu Recht abgelehnt, da der Betriebsrat einen Auskunftsanspruch nach 80 Abs. 2 BetrVG gegen die Arbeitgeberin hätte geltend machen können, dies aber unterlassen hat. Richtigerweise darf sich ein Betriebsrat aber auch dann Informationen nicht eigenmächtig verschaffen, wenn der Arbeitgeber ein berechtigtes Auskunftsverlangen abgelehnt hat. Ein "Selbsthilferecht" des Betriebsrats besteht nicht. In solchen Fällen ist der Betriebsrat darauf verwiesen, seinen Auskunftsanspruch in einem arbeitsgerichtlichen Beschlussverfahren geltend zu machen. Denn nur das Arbeitsgericht kann verbindlich entscheiden, ob ein geltend gemachter Auskunftsanspruch dem Betriebsrat tatsächlich zusteht. Es bleibt festzuhalten, dass Beweisverwertungsverbote jede Prozesspartei treffen können, die sich auf datenschutzwidrig erlangte Informationen berufen möchte. Die Entscheidung verdeutlicht einmal mehr die Bedeutung eines rechtssicheren Umgangs mit personenbezogenen Daten im Arbeitsumfeld. Dr. Wolf-Tassilo Böhm Senior Associate, Frankfurt am Main T +49 (69) wolf.boehm@hoganlovells.com

13 12 Newsletter Arbeitsrecht Oktober 2015 Aktuelles Urteil betriebliche Altersversorgung Haftungsregime bei Rentnergesellschaften Das Bundesarbeitsgericht (BAG v. 14. Juli AZR 252/14) hat eine weitere Entscheidung zu der Frage getroffen, in welchem Umfang Schadensansprüche der Rentner bestehen, wenn eine Rentnergesellschaft keine Rentenanpassungen vornehmen kann. DER FALL Der ehemalige Arbeitgeber hatte seine Pensionsverpflichtungen gegenüber Rentnern sowie u.a. Ansprüche aus Rückdeckungsversicherungen und das für die Erfüllung der Versorgungsverbindlichkeiten gebildete Barvermögen im Wege der Abspaltung auf eine neu gegründete Gesellschaft übertragen. Die Gesellschaft unterhält kein eigenes operatives Geschäft. Sie finanziert sich im Wesentlichen aus den Zinserträgen ihres Vermögens. Sie ist eine reine Rentnergesellschaft. In den Jahren 2009 bis 2011 wiesen die Jahresabschlüsse der Rentnergesellschaft jeweils einen Fehlbetrag auf. Daher wurden die Betriebsrenten der Rentner zum 1. Juli 2012 von der Rentnergesellschaft nicht angepasst. Ein Rentner klagte hiergegen und forderte eine Erhöhung mit Wirkung ab dem 1. Juli DIE ENTSCHEIDUNG Nach 16 Abs. 1 BetrAVG ist der Versorgungsschuldner verpflichtet, alle drei Jahre eine Anpassung der laufenden Leistungen der betrieblichen Altersversorgung zu prüfen und hierüber nach billigem Ermessen zu entscheiden. Infolge der Abspaltung ist die Rentnergesellschaft Versorgungsschuldner geworden, so dass sie diese Pflicht trifft. Die wirtschaftliche Lage der Rentnergesellschaft stand einer Anpassung zum 1. Juli 2012 jedoch entgegen. Die wirtschaftliche Lage des Versorgungsschuldners rechtfertigt die Ablehnung einer Betriebsrentenanpassung insoweit, als das Unternehmen dadurch übermäßig belastet und seine Wettbewerbsfähigkeit gefährdet würde. Das BAG betont, dass dies entsprechend auch für Rentnergesellschaften gelte. Auch diese seien nicht verpflichtet, die Kosten für die Betriebsrentenanpassung aus ihrer Vermögenssubstanz aufzubringen. Wenn die Anpassung zu Recht unterblieben ist, besteht auch kein Anspruch auf Schadensersatz gegen die Rentnergesellschaft. Das Gericht hat dargelegt, dass es insoweit keine Rolle spiele, wenn offenbar der frühere Arbeitgeber die Rentnergesellschaft nicht mit genügend finanziellen Mitteln ausgestattet habe. Hintergrund dieser Schadensersatzforderung ist eine Entscheidung des BAG aus dem Jahr 2008 (v. 11. März AZR 358/06). Damals hatte das Gericht entschieden, dass der Arbeitgeber eine Rentnergesellschaft so ausstatten müsse, dass sie die laufenden Betriebsrenten zahlen könne und zu den gesetzlich vorgesehenen Anpassungen in der Lage sei. Erfolge dies nicht, bestehe ein Schadensersatzanspruch gegenüber dem (früheren) Arbeitgeber. Die Rentnergesellschaft ist hinsichtlich ihrer Ausstattung dagegen nicht Handelnde, sondern lediglich Handlungsobjekt. Sie stattet sich nicht selbst unzureichend aus; vielmehr wird sie vom früheren Arbeitgeber nur unzureichend ausgestattet. Mangels eines schadensverursachenden Verhaltens der Rentnergesellschaft scheiden damit Schadensersatzansprüche gegen die Rentnergesellschaft aus. FAZIT Rentnergesellschaften werden regelmäßig dazu genutzt, Pensionsverpflichtungen im Rahmen von M&A-Transaktionen zu übertragen. Werden die Anteile an der Rentnergesellschaft von einem Konzern auf eine Gesellschaft eines anderen Konzerns übertragen, kann der abgebende Konzern von diesen Verpflichtungen loskommen. Der aufnehmende Konzern hat regelmäßig die Gewähr, dass die Rentnergesellschaft ausreichend ausgestattet wurde. Eine weitergehende Haftung wegen Schadensersatz ist nach den Grundsätzen der hier besprochenen Entscheidung nicht zu befürchten. Zu beachten ist, dass diese Haftungsgrundsätze nicht gelten, wenn die Rentnergesellschaft dadurch entsteht, dass das gesamte operative Geschäft verkauft wird (BAG v. 17. Juni AZR 298/13). In diesem Fall gehen zwar alle aktiven Arbeitnehmer im Rahmen eines Betriebsübergangs auf den Erwerber über und die veräußernde Gesellschaft verbleibt als Rentnergesellschaft. Ein Wechsel des Versorgungsschuldners erfolgt hier jedoch nicht, so dass nach der Rechtsprechung nicht zu befürchten sei, dass die Interessen der Versorgungsberechtigten bewusst beeinträchtigt würden. Es ist zudem darauf hinzuweisen, dass nicht zwangsläufig aus einem Fehlbetrag bei der Rentnergesellschaft der Schluss hergeleitet werden kann, der frühere Arbeitgeber hätte die Rentnergesellschaft nicht mit ausreichenden Mitteln ausgestattet. Das BAG hat in der hier besprochenen Entscheidung diese Frage ausdrücklich offen gelassen, was es nicht hätte tun müssen, wenn der Fehlbetrag zwangsläufig die Folge der unzureichenden Ausstattung gewesen wäre. Dr. Thomas Frank Senior Associate, München T +49 (89) thomas.frank@hoganlovells.com

14 Newsletter Arbeitsrecht Oktober Veranstaltungskalender Update Arbeitsrecht Herbst 2015 Die Veranstaltung In gewohnter Art und Weise bringen wir Sie mit unserer Veranstaltungsreihe "Update Arbeitsrecht" an allen deutschen Hogan Lovells-Standorten auf den neuesten Stand von Rechtsprechung und Gesetzgebung. Sie erhalten komprimierte Informationen und Handlungsempfehlungen für die betriebliche Praxis u.a. zu folgenden Themen: NEU: Eine neue Zeitrechnung bei Leiharbeit und Werkverträgen? Überblick über die geplanten Neuregelungen des Gesetzgebers EU-Datenschutzgrundverordnung Wie geht es weiter mit dem Beschäftigtendatenschutz in deutschen Betrieben? / EuGH kippt Safe Harbor erste Handlungsempfehlungen für Arbeitgeber Fremd-Geschäftsführer = Arbeitnehmer? Das müssen Sie wissen! Aktuelles aus der Rechtsprechung Neues aus der betrieblichen Altersversorgung Teilnehmerkreis Unsere Veranstaltungsreihe richtet sich an Geschäftsführer, Vorstände und deren Mitarbeiter, Leiter und Mitarbeiter von Personal-, Stabs- und Rechtsabteilungen sowie Führungskräfte mit Personalverantwortung. Je nach Ihrer zeitlichen und lokalen Präferenz können Sie unsere Veranstaltung in Düsseldorf, München, Hamburg und Frankfurt besuchen: Datum und Veranstaltungsbeginn Ort Veranstaltungsort Donnerstag, 5. November 2015, Uhr Düsseldorf Hogan Lovells, Kennedydamm 24, Düsseldorf Montag, 9. November 2015, Uhr Hamburg Hogan Lovells, Alstertor 21, Hamburg Mittwoch, 18. November 2015, Uhr Frankfurt Hogan Lovells, Untermainanlage 1, Frankfurt Montag, 30. November 2015, Uhr München Hogan Lovells, Karl-Scharnagl-Ring 5, München Im Anschluss an den Vortrag laden wir Sie ab ca Uhr zu einem Get-Together ein, bei dem es die Gelegenheit zum Austausch mit anderen Teilnehmern und den Referenten geben wird. Teilnahme und Anmeldung Die Teilnahme ist selbstverständlich kostenlos. Bitte melden Sie sich spätestens bis fünf Tage vor Beginn der jeweiligen Veranstaltung unter arbeitsrecht@hoganlovells.com (bitte unter Hinweis, dass Ihre Anmeldung über den Newsletter erfolgt) oder mit dem beigefügten Formular an. Bitte geben Sie dabei an, in welchem unserer Büros Sie an der Veranstaltung teilnehmen möchten. Eine Anmeldung per Newsletter erfordert keine weitere Anmeldung per Einladungskarte, sofern Ihnen eine solche in den nächsten Wochen zugehen sollte. Wir behalten uns ausdrücklich vor, Anmeldungen zurückzuweisen, etwa weil das maximale Fassungsvermögen unserer Räumlichkeiten erreicht ist.

15 14 Newsletter Arbeitsrecht Oktober 2015 UPDATE ARBEITSRECHT HERBST 2015 Ich nehme gerne teil und melde mich hiermit über den Newsletter für folgende Veranstaltung an: Düsseldorf: Donnerstag, 5. November 2015 Hamburg: Montag, 9. November 2015 Frankfurt: Mittwoch, 18. November 2015 München: Montag, 30. November 2015 Absender (bitte angeben): Name, Vorname: Firma: Straße: Position/Abteilung: PLZ/Ort: Ich kann leider nicht teilnehmen. Statt meiner wird/werden teilnehmen: Ich werde begleitet von: Name: Firma: Straße: Position/Abteilung: Antwort an: Hogan Lovells International LLP Sebastian Müller Karl-Scharnagl-Ring München F: 089 /

16 Newsletter Arbeitsrecht Oktober Newsletterarchiv 2014 Schwerpunktthema Januar Die arbeitsrechtliche Agenda des Koalitionsvertrags Februar März April Mai Juni Juli August September Oktober November Dezember Bring Your Own Device Schulungen, Freistellungen, Sachmittel Umgang mit der "Wunschliste" des (neu gewählten) Betriebsrats Gesundheitsschutz am Arbeitsplatz Betriebliches Gesundheitsmanagement "Obstkorb" oder doch Return on Investment? Der "neue Datenschutz" des BAG Vorgaben zum Umgang mit Beschäftigtendaten und Handlungsempfehlungen zur Umsetzung Teilzeit und Elternteilzeit zwischen Altbekanntem und den Plänen der Großen Koalition Gestaltung von Arbeitsverträgen wichtige Klauseln im Überblick Fremdpersonaleinsatz quo vadis? Die Reformvorhaben der Großen Koalition im Überblick Arbeitsmedizinische Eignungsuntersuchungen Beraten Sie noch oder begutachten Sie schon? Das neue Mindestlohngesetz Allgemeines Gleichbehandlungsgesetz (AGG) Update zur allgemeinen Rechtsprechung Betriebsrentenanpassung BAG eröffnet neue Spielräume für Rentnergesellschaften 2015 Schwerpunktthema Januar Februar März April Mai Juni Juli August September Sicherheit bei -Kontrollen: Einwilligung von Mitarbeitern und Betriebsvereinbarungen zur Durchführung von -Kontrollen Vom Plan zur Realität: Neue Spielregeln für die (Familien-) Pflegezeit Neues vom Gesetzgeber: Mindestlohn, Frauenquote und Tarifeinheit BEEG-Reform: Das neue Recht zu Elternzeit und Elterngeld Worauf sich Arbeitgeber einstellen müssen Die Ferien stehen vor der Tür: Fragen rund um den Urlaub Reform des Betriebsrentenrechts zur Umsetzung der Mobilitätsrichtlinie Flexibler Übergang in den Ruhestand und Beschäftigung von Rentnern ein Überblick Compliance und Betriebsrat typische Konfliktfelder und praktische Lösungen Datenschutz am Arbeitsplatz Was sind die aktuellen Vorgaben der Rechtsprechung?

17 16 Newsletter Arbeitsrecht Oktober 2015 Hogan Lovells e-newsletter Wenn Sie oder Ihre Mitarbeiter anderer Fachabteilungen an weiteren, kostenlosen e-newslettern von Hogan Lovells interessiert sind, bitten wir um kurze Mitteilung per Fax oder eine an unseren Client Service: Hogan Lovells International LLP Sebastian Müller F: / E: sebastian.mueller@hoganlovells.com Bitte senden Sie mir den e-newsletter* Wie sind Sie auf uns aufmerksam geworden? Arbeitsrecht Automotive Capital Markets Chemicals and Project Finance Commercial (IP) Compliance Corporate Energy Financial Services Immobilienrecht Infrastructure, Public Intellectual Property Public Sector TMT Empfehlung durch Kollegen Veranstaltung von Hogan Lovells Newsletter anderer Praxisgruppen Internetseite von Hogan Lovells Eigene Online-Recherche Andere, welche Firma Name Position Straße PLZ/Ort (zwingend) (Bitte in Druckbuchstaben ausfüllen) *Diese Newsletter von Hogan Lovells International LLP erscheinen kostenlos in regelmäßigen Abständen per in deutscher Sprache. Wenn Sie am Weiterbezug eines e-newsletters nicht mehr interessiert sein sollten, können Sie jederzeit eine an Ihren Ansprechpartner bei Hogan Lovells oder die Absenderadresse des jeweiligen Newsletter-Versenders schicken. Sie werden dann umgehend aus den Verteilerlisten genommen.

18 Newsletter Arbeitsrecht Oktober Ihre Ansprechpartner Düsseldorf Kennedydamm Düsseldorf T +49 (0) F +49 (0) Dr. Kerstin Neighbour kerstin.neighbour@hoganlovells.com Dr. Tim Gero Joppich tim.joppich@hoganlovells.com Stefan Richter stefan.richter@hoganlovells.com Charlotte Heckmann charlotte.heckmann@hoganlovells.com Frankfurt Untermainanlage Frankfurt am Main T +49 (0) F +49 (0) Dr. Kerstin Neighbour kerstin.neighbour@hoganlovells.com Tim Wybitul tim.wybitul@hoganlovells.com Dr. Wolf-Tassilo Böhm wolf.boehm@hoganlovells.com Dr. Sabrina Gäbeler sabrina.gaebeler@hoganlovells.com Hamburg Alstertor Hamburg T +49 (0) F +49 (0) Dr. Eckard Schwarz eckard.schwarz@hoganlovells.com Matthes Schröder matthes.schroeder@hoganlovells.com

19 18 Newsletter Arbeitsrecht Oktober 2015 Hamburg Dr. Leif Hansen Henning Abraham Marco Neugeboren Dr. Claus Asbeck Dr. Sven Schulze München Karl-Scharnagl-Ring München T +49 (0) F +49 (0) Dr. Ingrid Ohmann ingrid.ohmann@hoganlovells.com Dr. Hendrik Kornbichler hendrik.kornbichler@hoganlovells.com Bernd Klemm bernd.klemm@hoganlovells.com Dr. Lars Mohnke lars.mohnke@hoganlovells.com Dr. Thomas Frank thomas.frank@hoganlovells.com Dr. Silvia Lang silvia.lang@hoganlovells.com Florian Aulbach florian.aulbach@hoganlovells.com Dr. Johannes Wedekind johannes.wedekind@hoganlovells.com Moritz Langemann moritz.langemann@hoganlovells.com Werner Thienemann werner.thienemann@hoganlovells.com

20 Hogan Lovells hat Büros in: Alicante Amsterdam Baltimore Brüssel Budapest* Caracas Colorado Springs Denver Dschidda* Dubai Düsseldorf Frankfurt am Main Hamburg Hanoi Ho Chi Minh Stadt Hongkong Houston Jakarta* Johannesburg London Los Angeles Luxemburg Madrid Mailand Mexiko-Stadt Miami Monterrey Moskau München New York Northern Virginia Paris Peking Perth Philadelphia Riad* Rio de Janeiro Rom San Francisco São Paulo Schanghai Silicon Valley Singapur Sydney Tokio Ulaanbaatar Warschau Washington DC Zagreb* "Hogan Lovells" oder die "Sozietät" ist eine internationale Anwaltssozietät, zu der Hogan Lovells International LLP und Hogan Lovells US LLP und ihnen nahestehende Gesellschaften gehören. Die Bezeichnung "Partner" beschreibt einen Partner oder ein Mitglied von Hogan Lovells International LLP, Hogan Lovells US LLP oder einer der ihnen nahestehenden Gesellschaften oder einen Mitarbeiter oder Berater mit entsprechender Stellung. Einzelne Personen, die als Partner bezeichnet werden, aber nicht Mitglieder von Hogan Lovells International LLP sind, verfügen nicht über eine Qualifikation, die der von Mitgliedern entspricht. Weitere Informationen über Hogan Lovells, die Partner und deren Qualifikationen, finden Sie unter Sofern Fallstudien dargestellt sind, garantieren die dort erzielten Ergebnisse nicht einen ähnlichen Ausgang für andere Mandanten. Anwaltswerbung. Hogan Lovells Alle Rechte vorbehalten. *Kooperationsbüros