Europarecht

In Zeiten der Niederlassungsfreiheit, des freien Warenverkehrs und EU-weiter Anerkennung ausländischer Rechtsformen von Handelsgesellschaften ist das EU-Recht nicht mehr aus dem Rechtsverkehr wegzudenken. Das EU-Recht ist schon lange keine abstrakte Größe mehr, sondern greift in alle unsere Lebensbereiche direkt ein. Das heutige Wettbewerbsrecht und die Widerrufsrechte in zivilrechtlichen Verträgen in der heutigen Form entspringen beispielsweise der Gesetzgebung Brüssels.

EU-Grundrechtecharta gewinnt an Bedeutung

Die EU-Grundrechtecharta nimmt im Alltag an Bedeutung und Präsenz zu. Der EU-Gerichtshof stützt sich in seinen Entscheidungen zunehmend auf die Charta, und auch die nationalen Gerichte werden sich der Bedeutung dieses Rechtekatalogs immer stärker bewusst und ersuchen den Europäischen Gerichtshof (EuGH) um Auslegung. Prof. Dr. Meyer, einer der Gründer unserer Kanzlei, vertrat den Bundestag im Verfassungskonvent der Europäischen Union und ist heute Herausgeber des NomosKommentars zur Charta der Grundrechte. Machen Sie sich die unmittelbaren und mittelbaren Wirkungen des Europarechts mit unserer Hilfe zunutze.

Ansprechpartner

Aktuelles

05 Jun
2019

Vertrauen ist gut, Kontrolle ist besser – Neues zur Arbeitszeit vom EuGH

Vertrauensarbeitszeit dürfte bald der Vergangenheit angehören. Der EuGH hat entschieden, dass die EU-Mitgliedsstaaten die Arbeitgeber dazu verpflichten müssen, ein objektives, verlässliches und zugängliches System einzurichten..

mehr lesen

Vertrauensarbeitszeit dürfte bald der Vergangenheit angehören. Der EuGH hat vor kurzem entschieden, dass die EU-Mitgliedsstaaten die Arbeitgeber dazu verpflichten müssen, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von jedem Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.

 

Dies ergebe sich aus der Arbeitszeitrichtlinie und der Charta der Grundrechte der Europäischen Union. Es müsse möglich sein, festzustellen, ob die wöchentliche Höchstarbeitszeit einschließlich der Überstunden sowie die täglichen und wöchentlichen Ruhezeiten eingehalten worden sind. Daher müsse die tatsächlich geleistete tägliche und wöchentliche Arbeitszeit objektiv und verlässlich bestimmt werden – das bedeutet de facto die Erfassung jeder Arbeitsstunde jedes Arbeitnehmers und nicht nur Anfang und Ende der Arbeitszeit.

 

Wie diese Vorgaben nun vom Gesetzgeber umgesetzt werden, darf mit Spannung erwartet werden, insbesondere angesichts der modernen flexiblen Arbeitswelt und der DS-GVO.

Denn wenn überprüft werden soll, ob der Arbeitnehmer tatsächlich arbeiten oder nicht – insbesondere am Computer – führt dies letztlich zu einer permanenten Kontrolle des Arbeitnehmerverhaltens. Neben der bereits verbreiteten elektronischen Stechuhr könnten der Fingerabdruck, der Iris-Scan und Tastaturüberwachungssysteme wie Keyloggersysteme bald zum Arbeitsalltag dazugehören. Aber möglicherweise könnte auch der Arbeitnehmer selbst in die Arbeitserfassung eingebunden werden.

 

Ein starres System wird es jedenfalls kaum geben. Denn Modalitäten und Form kann jeder Mitgliedsstaat selbst festlegen und dabei auch Tätigkeitsbereich sowie Eigenheiten und Größe des Unternehmens berücksichtigen. Spannend dürfte sein, ob diese Regelungen auch für leitende Angestellte – oder in Italien die „dirigenti“ – geltend werden.

 

Bis der nationale Gesetzgeber tätig geworden ist, können Arbeitgeber jedenfalls noch einmal durchatmen - sofern nicht Gerichte oder Behörden bereits jetzt die Pflichten des Arbeitgebers im Sinne des EuGH-Urteils erweiternd auslegen.  In Deutschland wurde dem Urteil große Beachtung geschenkt, in anderen Mitgliedsländern, wie zum Beispiel Italien, blieb es weitgehend eine Randnotiz.

 

EuGH, Urteil vom 14. Mai 2019 (C-55/19)

 

 

Rechtsanwältin Dr. Stefanie Lebek

 

dmp.milano@derra.it

 

Stand Juni 2019

 

Vertrauensarbeitszeit dürfte bald der Vergangenheit angehören. Der EuGH hat vor kurzem entschieden, dass die EU-Mitgliedsstaaten die Arbeitgeber dazu verpflichten müssen, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von jedem Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.

 

Dies ergebe sich aus der Arbeitszeitrichtlinie und der Charta der Grundrechte der Europäischen Union. Es müsse möglich sein, festzustellen, ob die wöchentliche Höchstarbeitszeit einschließlich der Überstunden sowie die täglichen und wöchentlichen Ruhezeiten eingehalten worden sind. Daher müsse die tatsächlich geleistete tägliche und wöchentliche Arbeitszeit objektiv und verlässlich bestimmt werden – das bedeutet de facto die Erfassung jeder Arbeitsstunde jedes Arbeitnehmers und nicht nur Anfang und Ende der Arbeitszeit.

 

Wie diese Vorgaben nun vom Gesetzgeber umgesetzt werden, darf mit Spannung erwartet werden, insbesondere angesichts der modernen flexiblen Arbeitswelt und der DS-GVO.

Denn wenn überprüft werden soll, ob der Arbeitnehmer tatsächlich arbeiten oder nicht – insbesondere am Computer – führt dies letztlich zu einer permanenten Kontrolle des Arbeitnehmerverhaltens. Neben der bereits verbreiteten elektronischen Stechuhr könnten der Fingerabdruck, der Iris-Scan und Tastaturüberwachungssysteme wie Keyloggersysteme bald zum Arbeitsalltag dazugehören. Aber möglicherweise könnte auch der Arbeitnehmer selbst in die Arbeitserfassung eingebunden werden.

 

Ein starres System wird es jedenfalls kaum geben. Denn Modalitäten und Form kann jeder Mitgliedsstaat selbst festlegen und dabei auch Tätigkeitsbereich sowie Eigenheiten und Größe des Unternehmens berücksichtigen. Spannend dürfte sein, ob diese Regelungen auch für leitende Angestellte – oder in Italien die „dirigenti“ – geltend werden.

 

Bis der nationale Gesetzgeber tätig geworden ist, können Arbeitgeber jedenfalls noch einmal durchatmen - sofern nicht Gerichte oder Behörden bereits jetzt die Pflichten des Arbeitgebers im Sinne des EuGH-Urteils erweiternd auslegen.  In Deutschland wurde dem Urteil große Beachtung geschenkt, in anderen Mitgliedsländern, wie zum Beispiel Italien, blieb es weitgehend eine Randnotiz.

 

EuGH, Urteil vom 14. Mai 2019 (C-55/19)

 

 

Rechtsanwältin Dr. Stefanie Lebek

 

dmp.milano@derra.it

 

Stand Juni 2019

 

14 Mär
2019

Der Brexit naht - Woran Sie jetzt noch denken müssen!

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen.

mehr lesen

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Der Brexit stellt deutsche Unternehmen auch beim Datenschutz vor Herausforderungen. Denn egal ob „Deal or no deal“: In beiden Fällen wird Großbritannien ab dem 30. März 2019 oder auch später zum Drittland im Sinne der DSGVO. Das zwingt Unternehmen dazu, ihre grenzüberschreitende Verarbeitung personenbezogener Daten zu prüfen, worauf jetzt der eco Verband hinweist. Die Empfehlung gilt auch für alle, die heute in irgendeiner Form Cloud-Dienste nutzen – vom E-Mail-Dienst über Online-Speicher bis hin zum Bezug von Dienstleistungen aus dem Ausland. EuroCloud Deutschland_eco e. V hat dazu einen kurzen Leitfaden erstellt, der kostenlos heruntergeladen werden kann.

Keine Karenz für Datentransfer nach UK

Die Datenschutz-Grundverordnung (DSGVO) gilt auch für die Nutzung von Cloud-Diensten. Sie erlaubt innerhalb der Europäischen Union (EU) eine grenzüberschreitende Verarbeitung personenbezogener Daten (Art. 1 Abs. 1, Artikel 44 ff. DSGVO). Durch den EU-Austritt ändert sich folglich die datenschutzrechtliche Behandlung des Datentransfers in das Vereinigte Königreich (UK). Dieser wird künftig unabhängig vom gestrigen Votum und vom Ausgang der Austrittsverhandlungen zwischen der EU und UK mit den Vorgaben für die Schweiz oder die USA vergleichbar sein.

Dies erfordert eine eigenständige zusätzliche Rechtsgrundlage für alle Datentransfers nach Groß-britannien, für deren Einhaltung jeweils das verarbeitende Unternehmen haftbar ist. Die Europäische Kommission hat zwar einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO angekündigt. Bislang ist dieser jedoch noch nicht erfolgt und wird es bei einem zeitnahen „No-Deal-Brexit“ auch nicht sein. Verschärfend kommt hinzu, dass formaljuristisch keine Karenzzeit besteht. Ab dem Wirksamwerden des Austritts ist ein Datentransfer rechtswidrig und bußgeldbewehrt, wenn nicht die Vorgaben der Artikel 44 ff. DSGVO eingehalten sind oder im Brexit-Deal eine Übergangsregelung geschaffen wird. Ob ein geregelter Brexit oder ein „No-Deal-Brexit“ kommt, ist derzeit unklar. Um die Fortführung von Cloud-Services sicherzustellen, müssen daher alternative Zulässigkeitsregelungen geschaffen werden.

Für eine kurzfristige Umsetzung kommen in erster Linie die sogenannten Standardvertragsklauseln in Betracht1. Für die typischerweise als Auftragsverarbeitung einzuordnenden Cloud-Services sind die klassifizierten „Standardvertragsklauseln (Auftragsverarbeiter)“ heranzuziehen2. Diese sind „ready to use“. Zwingend zu beachten ist allerdings, dass diese Standardvertragsklauseln nicht verändert, sondern nur ausgefüllt werden dürfen, um ihre Wirkung zu entfalten.

Auch der Europäische Datenschutzausschuss (EDPB), ein Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, weist auf den dringenden Handlungsbedarf hin. In seinem Informationspapier vom 12. Februar 2019 hat der EDPB die Verwendung der Standardvertragsklauseln ausdrücklich als „einsatzbereites Instrument“ bestätigt.3

Für Cloud-Services können sich darüber hinaus auch auf der zweiten Ebene Herausforderungen ergeben: Services, die durch den Cloud-Provider datenschutzrechtlich in UK angeboten wurden, nutzten häufig weitere Subunternehmer in Drittländern. Das Unternehmen im UK fungierte wie eine Art Brückenkopf. Der datenschutzrechtliche Grenzübertritt erfolgte erst auf der Ebene Auftragnehmer zu Subunternehmer. Nach dem Austritt ist dies bereits eine weitere Übermittlung in Drittländer. Hierfür ergeben sich aus der DSGVO und den EU-Standardverträgen unter Umständen weitere Anforderungen. Konsequenz: Die datenschutzrechtliche Neubewertung darf nicht auf die erste Auslagerungsebene beschränkt sein, sondern muss die gesamte nachfolgende Kette von Subunternehmer erfassen.

1 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de (Stand: 28.02.2019) 2 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (Stand: 28.02.2019) 3 Information note über Datentransfers im Rahmen der DSGVO im Falle eines No-Deal-Brexits https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/SonstigePapiere/EDSA_Info_NoDealBrexit_Arbeits%C3%BCbersetzung.html?nn=5217120, abgerufen 28.02.201

Autoren:

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand 03/2019

Publikationen