HR-Daten vs. Non-HR-Daten: Wenn die DPF-Zertifizierung zur Haftungsfalle für Arbeitgeber wird

Wer US‑Dienstleister beauftragen will und bereits mit dem Begriff des EU‑US Data Privacy Framework (DPF) und der dazugehörigen Suchseite umgehen kann, ist im Nerdwissen des Datenschutzes schon ziemlich weit vorn. Die „Wer wird Millionär?“-Frage könnte dann lauten: Was ist der Unterschied zwischen HR‑ und Non‑HR‑Daten bei der Selbstzertifizierung nach dem DPF – und warum kann der Unterschied Arbeitgebern richtig weh tun?

Dieser Artikel soll eine Hilfestellung geben, um die „Million“ bei Günther Jauch zu gewinnen – und vor allem, um in der Praxis nicht über die HR-/Non‑HR‑Falle zu stolpern. Er knüpft an unseren Beitrag „HR Data und Non-HR Data im Rahmen des EU-US Data Privacy Frameworks“ an, legt den Fokus aber stärker auf die praktische Umsetzung und die aktuelle Sicht der Aufsichtsbehörden, insbesondere auf die des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA, Tätigkeitsbericht 2025, Ziff. 14.1).

Aus Sicht europäischer Arbeitgeber ist die entscheidende Frage: Darf ich meine Beschäftigtendaten auf DPF stützen, wenn der US‑Dienstleister nur als „Non‑HR“ zertifiziert ist?

Das DPF unterscheidet zwischen den Datenkategorien „HR Data“ (Human Resources Data) und „Non-HR Data“. Diese Unterscheidung ist alles andere als akademisch. Für HR-Daten gelten nämlich zusätzliche Anforderungen an Zertifizierungsumfang, Beschwerdemechanismen und Zusammenarbeit mit europäischen Datenschutzaufsichtsbehörden.

Nach dem DPF versteht man unter HR‑Daten personenbezogene Daten von (ehemaligen oder aktuellen) Mitarbeitende, die im Kontext des Beschäftigungsverhältnisses erhoben wurden. Dieses Verständnis greift auch der Europäische Datenschutzausschuss (EDSA) auf.

„HR Data“ – die Personalakte und darüber hinaus

Rechtsdogmatisch lässt sich das an Art. 88 Abs. 1 DSGVO anschließen, der einen weiten „Beschäftigungskontext“ voraussetzt, ohne selbst den Beschäftigtenbegriff abschließend zu definieren. Erfasst werden in dem Absatz nicht nur die Beschäftigten, die ein Arbeitsverhältnis eingegangen sind, sondern auch Bewerbende („Einstellung“) oder bereits Ausgeschiedene („Beendigung“).

Wie das BayLDA in seinem Tätigkeitsbericht betont, gibt es noch immer kein gemeinsames Verständnis von HR‑Daten zwischen US‑Seite und europäischer Aufsicht. Während EU‑Aufsichtsbehörden (einschließlich BayLDA) den Begriff eigenständig europäisch auslegen, neigt die US-Seite dazu, die Kategorie enger oder anders zu verstehen.

Für Arbeitgeber bedeutet das, dass sie sich nicht darauf verlassen können, dass US‑Dienstleister den Begriff „HR Data“ so verstehen, wie europäische Behörden ihn anwenden.

Was bedeutet dies für die Praxis?

Zunächst weist der EDSA in seinen aktuellen „EU-U.S. Data Privacy Framework F.A.Q. for European businesses“ (vgl. Ziff. 3) darauf hin, dass die Übermittlung von Beschäftigtendaten an US-Unternehmen grundsätzlich eine HR-Zertifizierung erfordert. Ausnahmsweise ist eine Übermittlung von Beschäftigtendaten auch an US‑Unternehmen mit nur Non‑HR‑Zertifizierung möglich, wenn die betreffende Kategorie der Beschäftigtendaten von der Zertifizierung umfasst ist (also nicht bewusst ausgeschlossen wird) und sich das US‑Unternehmen in seiner Privacy Policy ausdrücklich zur Zusammenarbeit mit den EU‑Aufsichtsbehörden verpflichtet. Das BayLDA macht aber deutlich, dass dies das Grundproblem des fehlenden gemeinsamen Verständnisses nicht löst. Es ist eher ein technischer Workaround, um die praktische Zusammenarbeit sicherzustellen.

Für Arbeitgeber bleibt daher ein Restrisiko, dass Aufsichtsbehörden eine Übermittlung an einen „Non‑HR‑Only“-Dienstleister später anders bewerten, insbesondere wenn die Privacy Policy missverständlich oder zu allgemein formuliert ist oder der US‑Dienstleister intern davon ausgeht, dass bestimmte Daten keine HR‑Daten sind, die Aufsicht aber schon.

Fazit

Der BayLDA‑Bericht (Ziff. 14.1) und die EDSA‑FAQ (Ziff. 3) machen deutlich, dass die Verantwortung beim Datenexporteur in der EU liegt.

Europäische Arbeitgeber müssen daher insbesondere prüfen, ob die aktive DPF‑Zertifizierung des US‑Empfängers die relevanten HR‑Daten explizit abdeckt oder zumindest die betreffenden Beschäftigtendaten umfasst, ob in der Privacy Policy des US‑Unternehmens die erforderliche Kooperation mit EU‑Datenschutzbehörden klar zugesagt ist und den US‑Empfänger ausdrücklich darauf hinweisen, dass die Übermittlung HR‑Daten enthält.

Unterbleibt eine dieser Maßnahmen, wird es im Fall einer Beschwerde schwer, gegenüber der Aufsicht zu begründen, dass die Übermittlung auf DPF‑Basis sauber umgesetzt wurde.