Viele Unternehmen wollen ihren Mitarbeitern das Arbeiten aus dem Homeoffice ermöglichen. Doch was ist dabei zu beachten, wenn Mitarbeiter aus dem Ausland arbeiten wollen?
Der Inhalt im Überblick
Homeoffice im EU-Ausland & Ländern mit Angemessenheitsbeschluss
Die DSGVO gilt in allen EU-Ländern und EWR-Ländern (Norwegen, Island und Liechtenstein), sodass ein Aufenthalt von Mitarbeitern im EU-Ausland unproblematisch ist. Auch ein Aufenthalt in Ländern mit Angemessenheitsbeschluss ist unproblematisch, weil die diesen Ländern ein vergleichbares Datenschutzniveau bescheinigt wurde. Es sind dann aber dennoch jenseits des Datenschutzes andere rechtliche Vorgaben zu beachten.
Homeoffice in Drittländern ohne vergleichbares Datenschutzniveau
Die Situation wird kompliziert bei einem Aufenthalt von Mitarbeitern in anderen Ländern, denn dann müssen „für jedwede“ Übermittlung zusätzliche Garantien für den Datentransfer nach den Art. 44 ff. DSGVO bestehen. Eine Übermittlung liegt auch schon bereits bei der Zugänglichmachung oder Abrufbarkeit von Daten aus dem Drittland vor.
Das gilt auch bei Übermittlungen an eigene Arbeitnehmer, denn nach dem Erwägungsgrund 101 S. 3 gelten die allgemeinen Grundsätze der Datenübermittlung neben Verantwortlichen und Auftragsverarbeiter auch für „andere Empfänger“. Arbeitnehmer werden nach aktuellem Stand auch als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO angesehen. Das folgt aus dem Umkehrschluss zu dem Begriff des Dritten (also weder Verantwortlicher noch Auftragsverarbeiter) nach Art. 4 Nr. 10 DSGVO, wonach Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, keine Dritten sind.
Garantien für Drittlandübermittlugen
Die Crux besteht nun darin, dass die Garantien zur Drittlandübermittlung wie EU-Standardvertragsklauseln sind nicht zum Abschluss zwischen Arbeitgeber und Arbeitnehmer gedacht sind. Zum Teil wird zwar vertreten, dass die Art. 44 ff DSGVO vom Rechtsgedanken her keine Anwendung finden, solange der Arbeitnehmer weiterhin der Aufsicht und den Weisungen des Arbeitgebers unterliegt. Nach den eindeutigen gesetzlichen Vorgaben muss man aber davon ausgehen, dass der Zugriff des Mitarbeiters aus einem Drittstaat als Drittlandübermittlung gewertet wird.
Fehlen Garantie zur Drittlandübermittlung liegt ein Verstoß gegen die DSGVO vor. Von Homeoffice durch Mitarbeiter in Drittländern ohne Angemessenheitsbeschluss und außerhalb der EU/EWR ist daher abzuraten. Es gibt zwar Möglichkeiten nach Art. 49 DSGVO Übermittlungen in Drittländer ausnahmsweise dennoch durchzuführen, aber die genannten Fälle werden in Beschäftigungsverhältnis regelmäßig nicht vorliegen. Zumal die Übermittlungen nicht wiederholt erfolgen und nur eine begrenzte Zahl von betroffenen Personen betreffen darf. Der Art. 49 DSGVO eignet sich also kaum als Rechtsgrundlage.
Risikominimierende Maßnahmen
Wenn sich ein Drittlandaufenthalt von Mitarbeitern in Drittländern ohne vergleichbares Datenschutzniveau nicht vermeiden lässt – z.B. für eine Dienstreise oder der längere Aufenthalt in einer ausländischen Niederlassung – sollten zumindest technische und organisatorische Maßnahmen zur Risikominimierung ergriffen werden. Vor dem Hintergrund der Schrems II-Rechtsprechung ist bei Auslandsaufenthalten neben den allgemeinen technisch organisatorischen Maßnahmen insbesondere der Zugriff durch Behörden wirksam zu verhindern. Folgende Maßnahmen sollten zusätzlich ergriffen werden:
- Regelungen in internen Richtlinien zu Verhalten bei Drittlandsaufenthalten,
- Nur verschlüsselte lokale Speicherung von personenbezogenen Daten auf Endgeräten, die Mitarbeiter mit sich führen, aber Achtung manche Länder untersagen das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können,
- Pseudonymisierung von Daten,
- Einsatz von VPN für den Zugriff und Abruf von Unternehmensressourcen,
- Beschränkung von Zugriffsberechtigungen auf unverzichtbaren Umfang.
In die Ferne, aber nicht zu weit
Homeoffice und andere Auslandsaufenthalte in der EU oder in Ländern mit Angemessenheitsbeschluss sind datenschutzrechtlich unproblematisch. Aufenthalte in Drittländern ohne vergleichbares Datenschutzniveau sind hingegen problematisch. Man sollte also davon absehen und wenn sie unvermeidbar sind, technische und organisatorische Maßnahmen zur Risikominimierung ergreifen.
„[…]aber Achtung manche Länder untersagen das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können, […]
Um welche Länder handelt es sich, die das Mitführen von u.a. festplattenverschlüsselten Geräten und somit verschlüsselt gespeicherter Inhalte untersagen?
Es gibt Länder, die eine Entschlüsselung bei der Einreisekontrolle verlangen können (z. B. USA) oder wo eine Einfuhr von Verschlüsselungssoftware – auch auf Datenträgern – generell verboten ist (z. B. China, Russland, Kasachstan, Ukraine oder Weißrussland).
Gibt es dazu auch eine Aussage zu Brasilien?
In den EDSA Guidelines [Link von der Redaktion korrigiert, verwies zuvor auf eine Stellungnahme zum Data Governance Act] wird in Example 5 darauf verwiesen, dass ein in ein Drittland reisender Mitarbeiter keinen Drittlandtransfer von PBD auslöst. Hier wird ein Business-Trip erwähnt, aber gibt es einen Grund, warum das nicht für eine Privatreise gelten sollte?
Vielen Dank für den Hinweis. Zunächst sei angemerkt, dass die erwähnten Guidelines zeitlich nach diesem Beitrag veröffentlicht wurden und es sich dabei nicht um eine rechtsverbindliche Auslegung der DSGVO, sondern um die Rechtsauffassung der europäischen Behörden handelt. Das eine solche zum Teil vertreten wird, hatten wir im ersten Absatz unter Garantien für Drittlandübermittlugen beschrieben.
Grundsätzlich gilt das Beispiel für eine Geschäftsreise, da der jeweilige Mitarbeiter hier als Teil der verantwortlichen Stelle agiert (die ja innerhalb der EU ihren Sitz hat).
Bei einer Privatreise reist der Mitarbeiter nicht im Auftrag des Arbeitgebers, sondern zu eigenen Zwecken, unterliegt folglich auch nicht den Richtlinien, Weisungen und Vorgaben des Arbeitgebers.
Andererseits kann auch darauf abgestellt werden, mit welchen Mitteln bzw. zu welchen Zwecken die Datenverarbeitung erfolgt. Werden bei einer Privatreise berufliche Dinge erledigt, und dafür betriebliche Arbeitsmittel (z.B. das betriebliche Notebook, VPN-Verbindungen des Arbeitgebers) genutzt, könnte eine Zugehörigkeit zum Verantwortlichen durchaus ebenfalls gegeben sein, so dass der Mitarbeiter in diesem Fall keinen Drittlandtransfer auslöst.
Schlussendlich wird es bei einer solchen Beurteilung aber auf den Einzelfall und die besonderen Gegebenheiten ankommen.
Hi, im neulich veröffentlichen Urteil des EuGH (C‑579/21) wird in Rn. 73 klargestellt, dass Arbeitnehmer des Verantwortlichen nicht als Empfänger zu betrachten sind. Liegt beim HO eines Arbeitnehmers in einem Drittland eurer Meinung nach, trotzdem eine Drittlandübermittlung vor?
In dem genannten Urteil ging es konkret um den Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO. Aus lit. c dieses Artikels ergibt sich, dass Betroffene das Recht haben, von dem Verantwortlichen Informationen über die Empfänger oder über die Kategorien von Empfängern zu verlangen, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Die Art. 44 ff. DSGVO, aus denen sich die zusätzlichen Anforderungen für Drittlandstransfers ergeben, sind jedoch einschlägig bei einer Übermittlung in ein Drittland unabhängig davon, ob die empfangende Stelle als „Empfänger“ i.S.d. DSGVO qualifiziert wird oder nicht („Jedwede Übermittlung personenbezogener Daten […] an ein Drittland“). Der Übermittlungstatbestand ist hier grundsätzlich weit zu verstehen. D.h. auch Übermittlungen an Stellen ohne eigene Rechtspersönlichkeit, z.B. Büros von Verantwortlichen oder Auftragsverarbeitern oder Zweigniederlassungen können empfangene Stelle sein. Das alte BDSG sah noch vor, dass die Übermittlung an einen „Dritten“ zu erfolgen hat, was in der DSGVO keine Voraussetzung mehr ist.
Ginge man davon aus, dass bei einer Datenübermittlung an einen im Drittland sitzenden Mitarbeiter keine Datenübermittlung in ein Drittland gem. Art. 44 ff. DSGVO vorläge, wäre es Unternehmen zudem möglich diese Vorschriften einfach zu umgehen, wenn diese Mitarbeiter in Drittländern beschäftigen sollten. Es könnte dann ein Unternehmen mit Sitz in Deutschland ganze Abteilungen (z.B. IT oder HR, welche typischerweise eine Vielzahl personenbezogener Daten verarbeiten) mit Mitarbeitern in Drittländern besetzen, ohne die Art. 44 ff. DSGVO beachten zu müssen.