Datenverarbeitung im Ausland durch Beschäftigte

Die Datenverarbeitung im Ausland ist, wenn es um Geschäftsdaten geht, ein wichtiges Thema für Unternehmen, bei dem auch der Datenschutz beachtet werden muss. Praxistaugliche Hilfestellungen finden sich hierzu jedoch kaum. Vor allem, wenn Beschäftigte in unsicheren Drittländern* personenbezogene Daten verarbeiten, etwa auf Geschäftsreisen bzw. bei Auslandsaufenthalten, gilt erhöhte Vorsicht. Wir zeigen Ihnen, worauf Sie achten müssen.
 

Datenverarbeitung Ausland: Beschäftigte müssen gebrieft werden

Ist Beschäftigten die Verarbeitung personenbezogener Daten auch außerhalb der betrieblichen Räumlichkeiten gestattet, muss das verantwortliche Unternehmen sicherstellen, dass die Verarbeitung nach den Vorgaben der DSGVO erfolgt. Ist die Datenverarbeitung außerhalb dieses Rahmens dagegen nicht gestattet, sind Maßnahmen umzusetzen, die die nicht zulässige Verarbeitung außerhalb des Betriebs wirksam ausschließen. Da Verantwortliche ihre Beschäftigten außerhalb des Betriebs, im Homeoffice und Mobileoffice, allenfalls unter erschwerten Bedingungen beaufsichtigen können, müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Diese Maßnahmen sind unabhängig vom geografischen Aufenthaltsort der Beschäftigten umzusetzen:

• Sensibilisierung und Schulung Beschäftigter für Tätigkeiten im Homeoffice und Mobileoffice,
• Abschluss einer Vereinbarung mit allen Beschäftigten (Homeoffice-/Mobileoffice-Vereinbarung),
• Geeignete technische Maßnahmen zur Sicherstellung des Datenschutzes und der Datensicherheit (z. B. bevorzugter Einsatz betrieblicher Hardware, Trennung privater und geschäftlicher Daten, Verschlüsselung von Daten und verschlüsselte Verbindungen z. B. per VPN, bevorzugt keine lokale Speicherung von Daten).

Datenverarbeitung Auslandsaufenthalt: Was es bereits im Vorfeld zu klären gibt

Sofern Beschäftigte in Drittländern* außerhalb der EU / des EWR, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt, Daten verarbeiten, etwa bei Auslandsaufenthalten bzw. Geschäftsreisen, sind zusätzlich die Vorgaben der Art. 44 ff. DSGVO („Übermittlung personenbezogener Daten an Drittländer“) in den Blick zu nehmen. Diese Vorgaben sehen u. a. vor, dass verantwortliche Unternehmen beim Fehlen eines solchen EU-Angemessenheitsbeschlusses geeignete Garantien für Drittlandübermittlungen beachten müssen.

Dabei sind auch Beschäftigte eines Unternehmens, das der DSGVO unterliegt, nach aktueller rechtswissenschaftlicher Auffassung als Empfänger zu sehen – womit Art. 44 ff DSGVO grundsätzlich anwendbar wird. Wenn personenbezogene Daten jedoch bei einem Zugriff durch berechtigte Beschäftigte aus Drittländern den Verfügungsbereich der Verantwortlichen nicht verlassen und die Beschäftigten weiterhin wie im Inland dessen Aufsicht und Weisung unterstehen, ist umstritten, ob insoweit eine Übermittlung im Sinne der DSGVO überhaupt vorliegt bzw. ob der Schutzzweck der entsprechenden Vorgaben zur Drittlandübermittlung berührt ist.

Da hierzu noch keine belastbaren Entscheidungen oder behördliche Stellungnahmen vorliegen, empfiehlt es sich, vorsorglich Zugriffe auf Daten aus einem Drittland als Übermittlung einzustufen und zur Risikominimierung je nach den Umständen des Aufenthalts und der Verarbeitung passende Maßnahmen vorzusehen.

Sofern bei Aufenthalten von Beschäftigten in unsicheren Drittländern durch das Unternehmen ein hoher datenschutzrechtlicher Schutzstandard sichergestellt wird, sollte das datenschutzrechtliche Risiko zumeist nicht wesentlich erhöht sein. Im Kontext der Drittlandübermittlung verfügbare Garantien, wie etwa verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, sind allerdings nicht für den Abschluss zwischen Arbeitgeber:in und Beschäftigten vorgesehen, weshalb sie als Lösung häufig nicht infrage kommen. Zudem sind insbesondere für kleinere Unternehmen aufgrund des Erfordernisses von behördlichen Genehmigungen andere Maßnahmen häufig kaum mit vertretbarem Aufwand umsetzbar.
 

TOM schützen personenbezogene Daten im Ausland

Nach alledem sollten bei erforderlichen Drittlandsaufenthalten von Beschäftigten, die für viele Unternehmen nicht verzichtbar sind, Datenverarbeitungen in besonderem Maße technisch und organisatorisch abgesichert werden. Hierbei ist zu berücksichtigen, dass bei Aufenthalten in Drittländern das Risiko unbefugter Zugriffe durch Behörden, Geheimdienste oder Hacker:innen signifikant erhöht sein kann. Möglich sind je nach Land zudem erzwungene Zugriffe bei der Einreise oder die unbemerkte Installation von Spionagesoftware auf Endgeräten.

Vor allem bei nicht nur kurzfristigen Aufenthalten von Beschäftigten in unsicheren Drittländern, z. B. in unselbstständigen Niederlassungen, oder bei Zugriffen auf umfangreiche Datenbestände (z. B. in Form einer Fernwartung) oder besonders sensible Daten, sollte die Erforderlichkeit passender Garantien sowie ggf. einer Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde individuell geprüft werden.

Unabhängig davon sollten stets jedenfalls die nachfolgend aufgelisteten besonderen bzw. ergänzenden Maßnahmen geprüft und umgesetzt werden, um datenschutzrechtliche Risiken bei Auslandsaufenthalten von Beschäftigten zu minimieren:

• Berücksichtigung der besonderen Risiken bei Aufenthalten in unsicheren Drittländern bei Schulungs- und Sensibilisierungsmaßnahmen sowie Ergänzung von spezifischen Regelungen zu Drittlandsaufenthalten in Vereinbarungen zum Homeoffice und Mobileoffice entsprechend den nachfolgenden Hinweisen.
• Keine lokale Speicherung von personenbezogenen Daten auf Endgeräten, die Beschäftigte bei Auslandsaufenthalten mit sich führen. Wenn möglich direkte Zugriffe auf zentral gespeicherte Daten über Schnittstellen (z. B. Webinterfaces) und Pseudonymisierung von Daten. Hierbei ist auch zu berücksichtigen, dass Zollbestimmungen verschiedener Länder das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können, untersagen und sanktionieren.
• Einsatz ausreichend verschlüsselter Verbindungen für Zugriffe auf und den Abruf von Daten (z. B. per VPN).
• Ausschluss der Nutzung öffentlicher und sonstiger potentiell unsicherer Verbindungen zum Abruf oder Versand personenbezogener Daten.
• Beschränkung von Zugriffsberechtigungen auf den während des Aufenthalts in Drittländern absolut erforderlichen Umfang bzw. Anpassung nach Bedarf auf Anforderung.
• Beschränkung von auf Endgeräten angelegten Zugängen auf die erforderliche Anzahl. Durch nicht angelegte Zugänge kann der missbräuchliche oder erzwungene Zugriff auf Daten wirksam ausgeschlossen werden. 
• Einsatz einer Zwei-Faktor-Authentisierung (2FA) für Zugriffe auf Schnittstellen und Daten.
• Mit Blick auf das Risiko erzwungener Zugriffe etwa bei der Einreise kann sich für Länder wie China spezielle Hardware für Beschäftigte anbieten, auf der keine Zugänge angelegt sind und Zugriffe nur nach Bedarf vor Ort erfolgen. Zudem sollte bei Auslandsaufenthalten in Ländern mit hohem Risiko eine Zwei-Faktor-Authentisierung eingesetzt werden, bei denen der zweite Faktor durch den Arbeitgeber kontrolliert und übermittelt wird bzw. der Zugriff auf Daten sollte in erforderlichem Umfang nur nach persönlicher Abstimmung und Plausibilitätskontrolle freigegeben werden.
• Achtung: Personenbezogene Daten können auch bei Zugriffen über Schnittstellen ggf. unbemerkt im Cache oder als Kopie lokal auf Endgeräten gespeichert bzw. zwischengespeichert werden. Bitte klären Sie mit Ihrem IT-Administrator, ob diesbezüglich Anpassungen erforderlich sind.
• Auch Aspekte der Wirtschaftsspionage und des Schutzes von Geschäftsgeheimnissen sollten bei Reisen in Länder wie China auch unabhängig von datenschutzrechtlichen Anforderungen beachtet werden. Hierzu stimmen Sie sich bei Bedarf bitte mit einem Rechtsberater ab.

----
* Die DSGVO gilt unmittelbar in allen EU-Ländern und in den EWR-Ländern Norwegen, Island und Liechtenstein. Angemessenheitsbeschlüsse liegen für die Länder Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay vor. Für alle anderen Ländern sind bei Datenübermittlungen besondere Garantien nach den Art. 44 ff. DSGVO sicherzustellen.