Datenverarbeitung im Ausland durch Beschäftigte

Letztes Update:
01
.
12
.
2022
Lesezeit:
0
Min
Die Datenverarbeitung im Ausland ist ein wichtiges Thema. Was ist zu beachten, wenn Beschäftigte eines Unternehmens bei Aufenthalten in unsicheren Drittländern personenbezogene Daten verarbeiten bzw. auf solche Daten zugreifen?
Datenverarbeitung im Ausland durch Beschäftigte
Die wichtigsten Erkenntnisse
  • Beschäftigte müssen für Datenverarbeitung im Ausland DSGVO-konform geschult werden.
  • Art. 44 ff. DSGVO bei Datenverarbeitung in unsicheren Drittländern beachten.
  • Technische Maßnahmen: VPN, Verschlüsselung, keine lokale Speicherung.
  • Zwei-Faktor-Authentisierung und risikoangepasste Zugriffsberechtigungen einsetzen.
  • Individuelle Prüfung und Behördenabstimmung bei langfristigen Auslandsaufenthalten.

Die Datenverarbeitung im Ausland ist, wenn es um Geschäftsdaten geht, ein wichtiges Thema für Unternehmen, bei dem auch der Datenschutz beachtet werden muss. Praxistaugliche Hilfestellungen finden sich hierzu jedoch kaum. Vor allem, wenn Beschäftigte in unsicheren Drittländern* personenbezogene Daten verarbeiten, etwa auf Geschäftsreisen bzw. bei Auslandsaufenthalten, gilt erhöhte Vorsicht. Wir zeigen Ihnen, worauf Sie achten müssen.
 

Datenverarbeitung Ausland: Beschäftigte müssen gebrieft werden

Ist Beschäftigten die Verarbeitung personenbezogener Daten auch außerhalb der betrieblichen Räumlichkeiten gestattet, muss das verantwortliche Unternehmen sicherstellen, dass die Verarbeitung nach den Vorgaben der DSGVO erfolgt. Ist die Datenverarbeitung außerhalb dieses Rahmens dagegen nicht gestattet, sind Maßnahmen umzusetzen, die die nicht zulässige Verarbeitung außerhalb des Betriebs wirksam ausschließen. Da Verantwortliche ihre Beschäftigten außerhalb des Betriebs, im Homeoffice und Mobileoffice, allenfalls unter erschwerten Bedingungen beaufsichtigen können, müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Diese Maßnahmen sind unabhängig vom geografischen Aufenthaltsort der Beschäftigten umzusetzen:

  • Sensibilisierung und Schulung Beschäftigter für Tätigkeiten im Homeoffice und Mobileoffice,
  • Abschluss einer Vereinbarung mit allen Beschäftigten (Homeoffice-/Mobileoffice-Vereinbarung),
  • Geeignete technische Maßnahmen zur Sicherstellung des Datenschutzes und der Datensicherheit (z. B. bevorzugter Einsatz betrieblicher Hardware, Trennung privater und geschäftlicher Daten, Verschlüsselung von Daten und verschlüsselte Verbindungen z. B. per VPN, bevorzugt keine lokale Speicherung von Daten).

Datenverarbeitung Auslandsaufenthalt: Was es bereits im Vorfeld zu klären gibt

Sofern Beschäftigte in Drittländern* außerhalb der EU / des EWR, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt, Daten verarbeiten, etwa bei Auslandsaufenthalten bzw. Geschäftsreisen, sind zusätzlich die Vorgaben der Art. 44 ff. DSGVO („Übermittlung personenbezogener Daten an Drittländer“) in den Blick zu nehmen. Diese Vorgaben sehen u. a. vor, dass verantwortliche Unternehmen beim Fehlen eines solchen EU-Angemessenheitsbeschlusses geeignete Garantien für Drittlandübermittlungen beachten müssen.

Dabei sind auch Beschäftigte eines Unternehmens, das der DSGVO unterliegt, nach aktueller rechtswissenschaftlicher Auffassung als Empfänger zu sehen – womit Art. 44 ff DSGVO grundsätzlich anwendbar wird. Wenn personenbezogene Daten jedoch bei einem Zugriff durch berechtigte Beschäftigte aus Drittländern den Verfügungsbereich der Verantwortlichen nicht verlassen und die Beschäftigten weiterhin wie im Inland dessen Aufsicht und Weisung unterstehen, ist umstritten, ob insoweit eine Übermittlung im Sinne der DSGVO überhaupt vorliegt bzw. ob der Schutzzweck der entsprechenden Vorgaben zur Drittlandübermittlung berührt ist.

Da hierzu noch keine belastbaren Entscheidungen oder behördliche Stellungnahmen vorliegen, empfiehlt es sich, vorsorglich Zugriffe auf Daten aus einem Drittland als Übermittlung einzustufen und zur Risikominimierung je nach den Umständen des Aufenthalts und der Verarbeitung passende Maßnahmen vorzusehen.

Sofern bei Aufenthalten von Beschäftigten in unsicheren Drittländern durch das Unternehmen ein hoher datenschutzrechtlicher Schutzstandard sichergestellt wird, sollte das datenschutzrechtliche Risiko zumeist nicht wesentlich erhöht sein. Im Kontext der Drittlandübermittlung verfügbare Garantien, wie etwa verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, sind allerdings nicht für den Abschluss zwischen Arbeitgeber:in und Beschäftigten vorgesehen, weshalb sie als Lösung häufig nicht infrage kommen. Zudem sind insbesondere für kleinere Unternehmen aufgrund des Erfordernisses von behördlichen Genehmigungen andere Maßnahmen häufig kaum mit vertretbarem Aufwand umsetzbar.
 

TOM schützen personenbezogene Daten im Ausland

Nach alledem sollten bei erforderlichen Drittlandsaufenthalten von Beschäftigten, die für viele Unternehmen nicht verzichtbar sind, Datenverarbeitungen in besonderem Maße technisch und organisatorisch abgesichert werden. Hierbei ist zu berücksichtigen, dass bei Aufenthalten in Drittländern das Risiko unbefugter Zugriffe durch Behörden, Geheimdienste oder Hacker:innen signifikant erhöht sein kann. Möglich sind je nach Land zudem erzwungene Zugriffe bei der Einreise oder die unbemerkte Installation von Spionagesoftware auf Endgeräten.

Vor allem bei nicht nur kurzfristigen Aufenthalten von Beschäftigten in unsicheren Drittländern, z. B. in unselbstständigen Niederlassungen, oder bei Zugriffen auf umfangreiche Datenbestände (z. B. in Form einer Fernwartung) oder besonders sensible Daten, sollte die Erforderlichkeit passender Garantien sowie ggf. einer Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde individuell geprüft werden.

Unabhängig davon sollten stets jedenfalls die nachfolgend aufgelisteten besonderen bzw. ergänzenden Maßnahmen geprüft und umgesetzt werden, um datenschutzrechtliche Risiken bei Auslandsaufenthalten von Beschäftigten zu minimieren:

  • Berücksichtigung der besonderen Risiken bei Aufenthalten in unsicheren Drittländern bei Schulungs- und Sensibilisierungsmaßnahmen sowie Ergänzung von spezifischen Regelungen zu Drittlandsaufenthalten in Vereinbarungen zum Homeoffice und Mobileoffice entsprechend den nachfolgenden Hinweisen.
  • Keine lokale Speicherung von personenbezogenen Daten auf Endgeräten, die Beschäftigte bei Auslandsaufenthalten mit sich führen. Wenn möglich direkte Zugriffe auf zentral gespeicherte Daten über Schnittstellen (z. B. Webinterfaces) und Pseudonymisierung von Daten. Hierbei ist auch zu berücksichtigen, dass Zollbestimmungen verschiedener Länder das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können, untersagen und sanktionieren.
  • Einsatz ausreichend verschlüsselter Verbindungen für Zugriffe auf und den Abruf von Daten (z. B. per VPN).
  • Ausschluss der Nutzung öffentlicher und sonstiger potentiell unsicherer Verbindungen zum Abruf oder Versand personenbezogener Daten.
  • Beschränkung von Zugriffsberechtigungen auf den während des Aufenthalts in Drittländern absolut erforderlichen Umfang bzw. Anpassung nach Bedarf auf Anforderung.
  • Beschränkung von auf Endgeräten angelegten Zugängen auf die erforderliche Anzahl. Durch nicht angelegte Zugänge kann der missbräuchliche oder erzwungene Zugriff auf Daten wirksam ausgeschlossen werden. 
  • Einsatz einer Zwei-Faktor-Authentisierung (2FA) für Zugriffe auf Schnittstellen und Daten.
  • Mit Blick auf das Risiko erzwungener Zugriffe etwa bei der Einreise kann sich für Länder wie China spezielle Hardware für Beschäftigte anbieten, auf der keine Zugänge angelegt sind und Zugriffe nur nach Bedarf vor Ort erfolgen. Zudem sollte bei Auslandsaufenthalten in Ländern mit hohem Risiko eine Zwei-Faktor-Authentisierung eingesetzt werden, bei denen der zweite Faktor durch den Arbeitgeber kontrolliert und übermittelt wird bzw. der Zugriff auf Daten sollte in erforderlichem Umfang nur nach persönlicher Abstimmung und Plausibilitätskontrolle freigegeben werden.
  • Achtung: Personenbezogene Daten können auch bei Zugriffen über Schnittstellen ggf. unbemerkt im Cache oder als Kopie lokal auf Endgeräten gespeichert bzw. zwischengespeichert werden. Bitte klären Sie mit Ihrem IT-Administrator, ob diesbezüglich Anpassungen erforderlich sind.
  • Auch Aspekte der Wirtschaftsspionage und des Schutzes von Geschäftsgeheimnissen sollten bei Reisen in Länder wie China auch unabhängig von datenschutzrechtlichen Anforderungen beachtet werden. Hierzu stimmen Sie sich bei Bedarf bitte mit einem Rechtsberater ab.

----
* Die DSGVO gilt unmittelbar in allen EU-Ländern und in den EWR-Ländern Norwegen, Island und Liechtenstein. Angemessenheitsbeschlüsse liegen für die Länder Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay vor. Für alle anderen Ländern sind bei Datenübermittlungen besondere Garantien nach den Art. 44 ff. DSGVO sicherzustellen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!