Datenschutz bei Homeoffice im Ausland

Fachbeitrag

Viele Unternehmen wollen ihren Mitarbeitern das Arbeiten aus dem Homeoffice ermöglichen. Doch was ist dabei zu beachten, wenn Mitarbeiter aus dem Ausland arbeiten wollen?

Homeoffice im EU-Ausland & Ländern mit Angemessenheitsbeschluss

Die DSGVO gilt in allen EU-Ländern und EWR-Ländern (Norwegen, Island und Liechtenstein), sodass ein Aufenthalt von Mitarbeitern im EU-Ausland unproblematisch ist. Auch ein Aufenthalt in Ländern mit Angemessenheitsbeschluss ist unproblematisch, weil die diesen Ländern ein vergleichbares Datenschutzniveau bescheinigt wurde. Es sind dann aber dennoch jenseits des Datenschutzes andere rechtliche Vorgaben zu beachten.

Homeoffice in Drittländern ohne vergleichbares Datenschutzniveau

Die Situation wird kompliziert bei einem Aufenthalt von Mitarbeitern in anderen Ländern, denn dann müssen „für jedwede“ Übermittlung zusätzliche Garantien für den Datentransfer nach den Art. 44 ff. DSGVO bestehen. Eine Übermittlung liegt auch schon bereits bei der Zugänglichmachung oder Abrufbarkeit von Daten aus dem Drittland vor.

Das gilt auch bei Übermittlungen an eigene Arbeitnehmer, denn nach dem Erwägungsgrund 101 S. 3 gelten die allgemeinen Grundsätze der Datenübermittlung neben Verantwortlichen und Auftragsverarbeiter auch für „andere Empfänger“. Arbeitnehmer werden nach aktuellem Stand auch als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO angesehen. Das folgt aus dem Umkehrschluss zu dem Begriff des Dritten (also weder Verantwortlicher noch Auftragsverarbeiter) nach Art. 4 Nr. 10 DSGVO, wonach Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, keine Dritten sind.

Garantien für Drittlandübermittlugen

Die Crux besteht nun darin, dass die Garantien zur Drittlandübermittlung wie EU-Standardvertragsklauseln sind nicht zum Abschluss zwischen Arbeitgeber und Arbeitnehmer gedacht sind. Zum Teil wird zwar vertreten, dass die Art. 44 ff DSGVO vom Rechtsgedanken her keine Anwendung finden, solange der Arbeitnehmer weiterhin der Aufsicht und den Weisungen des Arbeitgebers unterliegt. Nach den eindeutigen gesetzlichen Vorgaben muss man aber davon ausgehen, dass der Zugriff des Mitarbeiters aus einem Drittstaat als Drittlandübermittlung gewertet wird.

Fehlen Garantie zur Drittlandübermittlung liegt ein Verstoß gegen die DSGVO vor. Von Homeoffice durch Mitarbeiter in Drittländern ohne Angemessenheitsbeschluss und außerhalb der EU/EWR ist daher abzuraten. Es gibt zwar Möglichkeiten nach Art. 49 DSGVO Übermittlungen in Drittländer ausnahmsweise dennoch durchzuführen, aber die genannten Fälle werden in Beschäftigungsverhältnis regelmäßig nicht vorliegen. Zumal die Übermittlungen nicht wiederholt erfolgen und nur eine begrenzte Zahl von betroffenen Personen betreffen darf. Der Art. 49 DSGVO eignet sich also kaum als Rechtsgrundlage.

Risikominimierende Maßnahmen

Wenn sich ein Drittlandaufenthalt von Mitarbeitern in Drittländern ohne vergleichbares Datenschutzniveau nicht vermeiden lässt – z.B. für eine Dienstreise oder der längere Aufenthalt in einer ausländischen Niederlassung – sollten zumindest technische und organisatorische Maßnahmen zur Risikominimierung ergriffen werden. Vor dem Hintergrund der Schrems II-Rechtsprechung ist bei Auslandsaufenthalten neben den allgemeinen technisch organisatorischen Maßnahmen insbesondere der Zugriff durch Behörden wirksam zu verhindern. Folgende Maßnahmen sollten zusätzlich ergriffen werden:

  • Regelungen in internen Richtlinien zu Verhalten bei Drittlandsaufenthalten,
  • Nur verschlüsselte lokale Speicherung von personenbezogenen Daten auf Endgeräten, die Mitarbeiter mit sich führen, aber Achtung manche Länder untersagen das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können,
  • Pseudonymisierung von Daten,
  • Einsatz von VPN für den Zugriff und Abruf von Unternehmensressourcen,
  • Beschränkung von Zugriffsberechtigungen auf unverzichtbaren Umfang.

In die Ferne, aber nicht zu weit

Homeoffice und andere Auslandsaufenthalte in der EU oder in Ländern mit Angemessenheitsbeschluss sind datenschutzrechtlich unproblematisch. Aufenthalte in Drittländern ohne vergleichbares Datenschutzniveau sind hingegen problematisch. Man sollte also davon absehen und wenn sie unvermeidbar sind, technische und organisatorische Maßnahmen zur Risikominimierung ergreifen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. „[…]aber Achtung manche Länder untersagen das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können, […]
    Um welche Länder handelt es sich, die das Mitführen von u.a. festplattenverschlüsselten Geräten und somit verschlüsselt gespeicherter Inhalte untersagen?

    • Es gibt Länder, die eine Entschlüsselung bei der Einreisekontrolle verlangen können (z. B. USA) oder wo eine Einfuhr von Verschlüsselungssoftware – auch auf Datenträgern – generell verboten ist (z. B. China, Russland, Kasachstan, Ukraine oder Weißrussland).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.