Magazin
Datenverarbeitung im Ausland durch Beschäftigte

Datenverarbeitung im Ausland durch Beschäftigte

Letztes Update:
01
.
12
.
2022
Lesezeit:
0
Min
Die Datenverarbeitung im Ausland ist ein wichtiges Thema. Was ist zu beachten, wenn Beschäftigte eines Unternehmens bei Aufenthalten in unsicheren Drittländern personenbezogene Daten verarbeiten bzw. auf solche Daten zugreifen?
Datenverarbeitung im Ausland durch Beschäftigte
Die wichtigsten Erkenntnisse
  • Beschäftigte müssen für Datenverarbeitung im Ausland DSGVO-konform geschult werden.
  • Art. 44 ff. DSGVO bei Datenverarbeitung in unsicheren Drittländern beachten.
  • Technische Maßnahmen: VPN, Verschlüsselung, keine lokale Speicherung.
  • Zwei-Faktor-Authentisierung und risikoangepasste Zugriffsberechtigungen einsetzen.
  • Individuelle Prüfung und Behördenabstimmung bei langfristigen Auslandsaufenthalten.

Die Datenverarbeitung im Ausland ist, wenn es um Geschäftsdaten geht, ein wichtiges Thema für Unternehmen, bei dem auch der Datenschutz beachtet werden muss. Praxistaugliche Hilfestellungen finden sich hierzu jedoch kaum. Vor allem, wenn Beschäftigte in unsicheren Drittländern* personenbezogene Daten verarbeiten, etwa auf Geschäftsreisen bzw. bei Auslandsaufenthalten, gilt erhöhte Vorsicht. Wir zeigen Ihnen, worauf Sie achten müssen.
 

Datenverarbeitung Ausland: Beschäftigte müssen gebrieft werden

Ist Beschäftigten die Verarbeitung personenbezogener Daten auch außerhalb der betrieblichen Räumlichkeiten gestattet, muss das verantwortliche Unternehmen sicherstellen, dass die Verarbeitung nach den Vorgaben der DSGVO erfolgt. Ist die Datenverarbeitung außerhalb dieses Rahmens dagegen nicht gestattet, sind Maßnahmen umzusetzen, die die nicht zulässige Verarbeitung außerhalb des Betriebs wirksam ausschließen. Da Verantwortliche ihre Beschäftigten außerhalb des Betriebs, im Homeoffice und Mobileoffice, allenfalls unter erschwerten Bedingungen beaufsichtigen können, müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Diese Maßnahmen sind unabhängig vom geografischen Aufenthaltsort der Beschäftigten umzusetzen:

  • Sensibilisierung und Schulung Beschäftigter für Tätigkeiten im Homeoffice und Mobileoffice,
  • Abschluss einer Vereinbarung mit allen Beschäftigten (Homeoffice-/Mobileoffice-Vereinbarung),
  • Geeignete technische Maßnahmen zur Sicherstellung des Datenschutzes und der Datensicherheit (z. B. bevorzugter Einsatz betrieblicher Hardware, Trennung privater und geschäftlicher Daten, Verschlüsselung von Daten und verschlüsselte Verbindungen z. B. per VPN, bevorzugt keine lokale Speicherung von Daten).

Datenverarbeitung Auslandsaufenthalt: Was es bereits im Vorfeld zu klären gibt

Sofern Beschäftigte in Drittländern* außerhalb der EU / des EWR, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt, Daten verarbeiten, etwa bei Auslandsaufenthalten bzw. Geschäftsreisen, sind zusätzlich die Vorgaben der Art. 44 ff. DSGVO („Übermittlung personenbezogener Daten an Drittländer“) in den Blick zu nehmen. Diese Vorgaben sehen u. a. vor, dass verantwortliche Unternehmen beim Fehlen eines solchen EU-Angemessenheitsbeschlusses geeignete Garantien für Drittlandübermittlungen beachten müssen.

Dabei sind auch Beschäftigte eines Unternehmens, das der DSGVO unterliegt, nach aktueller rechtswissenschaftlicher Auffassung als Empfänger zu sehen – womit Art. 44 ff DSGVO grundsätzlich anwendbar wird. Wenn personenbezogene Daten jedoch bei einem Zugriff durch berechtigte Beschäftigte aus Drittländern den Verfügungsbereich der Verantwortlichen nicht verlassen und die Beschäftigten weiterhin wie im Inland dessen Aufsicht und Weisung unterstehen, ist umstritten, ob insoweit eine Übermittlung im Sinne der DSGVO überhaupt vorliegt bzw. ob der Schutzzweck der entsprechenden Vorgaben zur Drittlandübermittlung berührt ist.

Da hierzu noch keine belastbaren Entscheidungen oder behördliche Stellungnahmen vorliegen, empfiehlt es sich, vorsorglich Zugriffe auf Daten aus einem Drittland als Übermittlung einzustufen und zur Risikominimierung je nach den Umständen des Aufenthalts und der Verarbeitung passende Maßnahmen vorzusehen.

Sofern bei Aufenthalten von Beschäftigten in unsicheren Drittländern durch das Unternehmen ein hoher datenschutzrechtlicher Schutzstandard sichergestellt wird, sollte das datenschutzrechtliche Risiko zumeist nicht wesentlich erhöht sein. Im Kontext der Drittlandübermittlung verfügbare Garantien, wie etwa verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, sind allerdings nicht für den Abschluss zwischen Arbeitgeber:in und Beschäftigten vorgesehen, weshalb sie als Lösung häufig nicht infrage kommen. Zudem sind insbesondere für kleinere Unternehmen aufgrund des Erfordernisses von behördlichen Genehmigungen andere Maßnahmen häufig kaum mit vertretbarem Aufwand umsetzbar.
 

TOM schützen personenbezogene Daten im Ausland

Nach alledem sollten bei erforderlichen Drittlandsaufenthalten von Beschäftigten, die für viele Unternehmen nicht verzichtbar sind, Datenverarbeitungen in besonderem Maße technisch und organisatorisch abgesichert werden. Hierbei ist zu berücksichtigen, dass bei Aufenthalten in Drittländern das Risiko unbefugter Zugriffe durch Behörden, Geheimdienste oder Hacker:innen signifikant erhöht sein kann. Möglich sind je nach Land zudem erzwungene Zugriffe bei der Einreise oder die unbemerkte Installation von Spionagesoftware auf Endgeräten.

Vor allem bei nicht nur kurzfristigen Aufenthalten von Beschäftigten in unsicheren Drittländern, z. B. in unselbstständigen Niederlassungen, oder bei Zugriffen auf umfangreiche Datenbestände (z. B. in Form einer Fernwartung) oder besonders sensible Daten, sollte die Erforderlichkeit passender Garantien sowie ggf. einer Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde individuell geprüft werden.

Unabhängig davon sollten stets jedenfalls die nachfolgend aufgelisteten besonderen bzw. ergänzenden Maßnahmen geprüft und umgesetzt werden, um datenschutzrechtliche Risiken bei Auslandsaufenthalten von Beschäftigten zu minimieren:

  • Berücksichtigung der besonderen Risiken bei Aufenthalten in unsicheren Drittländern bei Schulungs- und Sensibilisierungsmaßnahmen sowie Ergänzung von spezifischen Regelungen zu Drittlandsaufenthalten in Vereinbarungen zum Homeoffice und Mobileoffice entsprechend den nachfolgenden Hinweisen.
  • Keine lokale Speicherung von personenbezogenen Daten auf Endgeräten, die Beschäftigte bei Auslandsaufenthalten mit sich führen. Wenn möglich direkte Zugriffe auf zentral gespeicherte Daten über Schnittstellen (z. B. Webinterfaces) und Pseudonymisierung von Daten. Hierbei ist auch zu berücksichtigen, dass Zollbestimmungen verschiedener Länder das Mitführen von Geräten mit verschlüsselten Inhalten, die nicht auf Aufforderung des Zolls entschlüsselt werden können, untersagen und sanktionieren.
  • Einsatz ausreichend verschlüsselter Verbindungen für Zugriffe auf und den Abruf von Daten (z. B. per VPN).
  • Ausschluss der Nutzung öffentlicher und sonstiger potentiell unsicherer Verbindungen zum Abruf oder Versand personenbezogener Daten.
  • Beschränkung von Zugriffsberechtigungen auf den während des Aufenthalts in Drittländern absolut erforderlichen Umfang bzw. Anpassung nach Bedarf auf Anforderung.
  • Beschränkung von auf Endgeräten angelegten Zugängen auf die erforderliche Anzahl. Durch nicht angelegte Zugänge kann der missbräuchliche oder erzwungene Zugriff auf Daten wirksam ausgeschlossen werden. 
  • Einsatz einer Zwei-Faktor-Authentisierung (2FA) für Zugriffe auf Schnittstellen und Daten.
  • Mit Blick auf das Risiko erzwungener Zugriffe etwa bei der Einreise kann sich für Länder wie China spezielle Hardware für Beschäftigte anbieten, auf der keine Zugänge angelegt sind und Zugriffe nur nach Bedarf vor Ort erfolgen. Zudem sollte bei Auslandsaufenthalten in Ländern mit hohem Risiko eine Zwei-Faktor-Authentisierung eingesetzt werden, bei denen der zweite Faktor durch den Arbeitgeber kontrolliert und übermittelt wird bzw. der Zugriff auf Daten sollte in erforderlichem Umfang nur nach persönlicher Abstimmung und Plausibilitätskontrolle freigegeben werden.
  • Achtung: Personenbezogene Daten können auch bei Zugriffen über Schnittstellen ggf. unbemerkt im Cache oder als Kopie lokal auf Endgeräten gespeichert bzw. zwischengespeichert werden. Bitte klären Sie mit Ihrem IT-Administrator, ob diesbezüglich Anpassungen erforderlich sind.
  • Auch Aspekte der Wirtschaftsspionage und des Schutzes von Geschäftsgeheimnissen sollten bei Reisen in Länder wie China auch unabhängig von datenschutzrechtlichen Anforderungen beachtet werden. Hierzu stimmen Sie sich bei Bedarf bitte mit einem Rechtsberater ab.

----
* Die DSGVO gilt unmittelbar in allen EU-Ländern und in den EWR-Ländern Norwegen, Island und Liechtenstein. Angemessenheitsbeschlüsse liegen für die Länder Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay vor. Für alle anderen Ländern sind bei Datenübermittlungen besondere Garantien nach den Art. 44 ff. DSGVO sicherzustellen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutz im Unternehmen
Homeoffice
DSGVO
Personenbezogene Daten
Cloud
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

TIA – Das Transfer Impact Assessment
18
.
11
.
2022
TIA – Das Transfer Impact Assessment
Sie müssen SCC abschließen, weil Sie personenbezogene Daten an einen außereuropäischen Auftragsverarbeiter übermitteln? Dazu braucht es nun neben den SCC eine TIA. Doch was genau ist das Transfer Impact Assessment und wie wird es angefertigt? Wir klären auf.
Datenaustausch: Das regelt der Data Act
15
.
03
.
2024
Datenaustausch: Das regelt der Data Act
Damit Prozesse, Lieferketten oder der CO2-Fußabdruck besser werden, müssen Unternehmen Daten erheben – wirklich effizient können diese aber erst genutzt werden, wenn man sie teilt. Welche Vorteile und Hürden gibt es? Und welche Rolle spielen dabei Plattformen, der Data Act und Datenschutzbeauftragte?
Interner Datenschutzbeauftragter
14
.
10
.
2024
Interner Datenschutzbeauftragter
Zahlreiche Unternehmen trifft die gesetzliche Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen. Im Zuge der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) hat sich der Kreis der verpflichteten Unternehmen erweitert. Es besteht die Wahl zwischen einem internen und einem externen DSB. Auf den ersten Blick scheint einiges dafür zu sprechen, sich für den internen Datenschutzbeauftragten zu entscheiden. Ein interner DSB erweist sich allerdings aus verschiedenen Gründen nicht immer als optimale Wahl.
Datenschutz bei der Gehaltsabrechnung
07
.
09
.
2022
Datenschutz bei der Gehaltsabrechnung
Der Datenschutz spielt bei der Gehaltsabrechnung angesichts der vielen personenbezogenen Daten eine wichtige Rolle. Hier erfahren Sie was es dabei zu beachten gibt.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!