Remote Work macht geografische Grenzen durchlässig und ermöglicht Beschäftigten, zeitweise oder dauerhaft aus dem Ausland zu arbeiten. Während der Datenschutz innerhalb der EU und in Ländern mit Angemessenheitsbeschluss meist gewährleistet ist, wirft die Arbeit aus unsicheren Drittländern komplexe rechtliche Fragen auf. Unternehmen müssen Risiken bewerten und geeignete Schutzmaßnahmen treffen, um Remote Work auch außerhalb der EU sicher zu gestalten.
Der Inhalt im Überblick
Remote Work aus dem Ausland: Datenschutz zwischen Sicherheit und Risiko?
Innerhalb der EU und des EWR ist das Arbeiten aus dem Ausland datenschutzrechtlich meist unkritisch. Auch Länder mit Angemessenheitsbeschluss gelten datenschutzrechtlich als sicher, weil dort ein mit der EU vergleichbares Schutzniveau angenommen werden darf. Spannend wird es, wenn Mitarbeitende aus einem sogenannten unsicheren Drittland arbeiten, also aus einem Staat außerhalb des EWR ohne Angemessenheitsbeschluss. In solchen Konstellationen greifen sie weiterhin regelmäßig auf personenbezogene Daten zu, die für die Arbeit nötig sind: Kundendaten, Beschäftigtendaten, Lieferantendaten oder Daten sonstiger Dritter.
Rechtsrahmen: Liegt ein Drittlandtransfer vor?
Es gibt Stimmen, die insbesondere bei regelmäßiger oder längerer Tätigkeit am selben Ort außerhalb der EU und der Möglichkeit lokaler Speicherung von Daten eine Übermittlung i.S.d. Art. 44 ff. DSGVO annehmen. Ein verbreiteter Ansatz geht allerdings davon aus, dass der reine Fernzugriff eines Mitarbeiters auf Systeme des eigenen EU-Unternehmens, solange er weisungsgebunden und unter Kontrolle des Arbeitgebers erfolgt, grundsätzlich keine Übermittlung darstellt. Die Daten bleiben faktisch im Einflussbereich des Verantwortlichen, der Mitarbeitende arbeitet nur ortsfern. Auch der EDPB sieht keine Übermittlung, weil der Mitarbeiter integraler Bestandteil des Verantwortlichen ist und daher nicht als Datenempfänger einzustufen ist. Je nach Destination kann mit einem Aufenthalt im Drittland dennoch ein datenschutzrechtliches Risiko verbunden sein.
Drittland-Remote-Work: Klassifizieren, bewerten, absichern
Für die Praxis hilft es, nicht dogmatisch, sondern risikobasiert vorzugehen. Unternehmen sollten das Szenario „Remote-Work aus dem Drittland“ zunächst klassifizieren:
- Handelt es sich um einen kurzfristigen, klar befristeten Aufenthalt, bei dem ausschließlich über abgesicherte Kanäle auf EU-gehostete Systeme zugegriffen wird, ohne lokale Speicherung?
- Oder um ein wiederkehrendes Arbeiten über mehrere Monate, womöglich mit Offline-Bearbeitung und Datendownloads?
- Wie kritisch ist der Einsatz und welches Risikoprofil hat der reisende Beschäftigte?
Im Zweifel ist ein Transfer Impact Assessment (TIA) sinnvoll, die rechtliche Zugriffsszenarien im Zielstaat zu bewerten. Kommen Unternehmen zum Ergebnis, dass ein Zugriff nicht sicher ausgeschlossen werden kann oder gar wahrscheinlich ist, gehören technische und organisatorische Zusatzmaßnahmen auf die To-do-Liste.
Technische Schutzmaßnahmen
Technisch sollte auf einen starken Identitäts- und Geräteschutz geachtet werden. Zugriff nur über VPN oder sichere Gateways, bestenfalls durch Multi-Faktor-Authentisierung abgesichert. Virtuelle Desktops oder Remote-Apps mit Hosting in der EU können dafür sorgen, dass Daten die EU-Infrastruktur nicht verlassen. Lokales Speichern, Download- und Exportfunktionen können eingeschränkt oder unterbunden werden. Endgeräte können voll verschlüsselt sein, um den Verlust lokaler Daten im Fall der Fälle zu erschweren. Mittels End-Point-Security können Anomalien, etwa ungewöhnliche Exporte oder der Versuch von „Bulk-Downloads“ effektiv erkannt und unterbunden werden.
Organisatorische Maßnahmen
Organisatorisch brauchen Unternehmen klare Vorgaben. Eine Remote-Work-Policy für Drittländer sollte Genehmigungsprozesse und Sicherheitsvorgaben definieren. Durch Richtlinien können Beschäftigen verbindliche Vorgaben gemacht werden je nach dem welches Risikoprofil sie angehören. Vertraulichkeitsverpflichtungen, Meldepflichten bei Incidents oder Geräteverlust sollten ohnehin zum Standartrepertoir gehören. Gezielte Mitarbeiterschulungen vor einem Auslandsaufenthalt können die dann noch vorhandenen Lücken zwischen Papier und Praxis schließen.
Vertragliche Maßnahmen?
Vertragliche Maßnahmen mit einzelnen Beschäftigten oder einer Projektgruppe, die über den Arbeitsvertrag hinausgehen erscheinen hingegen fernliegend.
Standardvertragsklauseln (SCC) werden allerdings dann relevant, wenn Beschäftigte im Drittland bestimmungsgemäß Daten an einen Auftragsverarbeiter oder eigens Verantwortlichen Dritten übermitteln oder Zugriffe gewähren. Dann liegt stets eine Drittlandübermittlung vor, mit allen Konsequenzen – also in der Regel Standardvertragsklauseln, Risikoanalyse (TIA) und entsprechend ergänzende Schutzmaßnahmen.
Remote-Work jenseits der EU sicher ermöglichen
Die klare Positionierung des EDPB hilft zwar, die rechtliche Bewertung des Mitarbeitereinsatzes aus unsicheren Drittländern ist mangels Rechtsprechung hierzu aber nicht in Stein gemeißelt. Wer aber die Weichen richtigstellt schafft ein belastbares Schutzniveau, um Einsätze in einer vernetzten Welt so sicher wie möglich zu gestalten. So wird Remote-Work auch jenseits der EU machbar, ohne die Grundprinzipien der DSGVO aus dem Blick zu verlieren.
