INFORMATIONEN

Datenverarbeitung für im Ausland tätige Arbeitnehmer

Die Datenverarbeitung in anderen Ländern ist ein heißes Thema. Was ist zu beachten, wenn Firmenmitarbeiter bei Besuchen in gefährlichen Drittländern personenbezogene Daten verarbeiten oder Zugang zu solchen Daten haben?

Wenn es um Unternehmensdaten geht, ist die Datenverarbeitung im Ausland für Unternehmen ein wichtiges Thema, und die Datensicherheit muss berücksichtigt werden. Allerdings gibt es in diesem Bereich nur sehr wenig tatsächliche Unterstützung.

Wenn Mitarbeiter in gefährlichen Drittländern personenbezogene Daten verarbeiten, etwa bei Geschäftsreisen oder Auslandsaufenthalten, ist besondere Vorsicht geboten. Wir zeigen Ihnen, worauf Sie achten müssen.

Die Mitarbeiter müssen über die Datenverarbeitung in anderen Ländern informiert werden.

Wenn Mitarbeiter personenbezogene Daten außerhalb des Büros verarbeiten dürfen, muss die verantwortliche Organisation sicherstellen, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt.

Da die Verantwortlichen ihre Mitarbeiter außerhalb der Firma, im Homeoffice und im mobilen Büro, allenfalls unter erschwerten Bedingungen überwachen können, müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit getroffen werden. Diese Maßnahmen können unabhängig vom Standort des Personals angewendet werden:

  • Sensibilisierung und Schulung der Mitarbeiter für die Aufgaben im Home Office und im mobilen Büro
  • Abschluss einer Vereinbarung mit allen Beschäftigten (Home-Office/Mobile-Office-Vereinbarung),
  • Angemessene technische Sicherheitsvorkehrungen zur Gewährleistung des Datenschutzes und der Datensicherheit (z. B. bevorzugte Nutzung von Firmengeräten, Trennung von persönlichen und geschäftlichen Daten, Datenverschlüsselung und verschlüsselte Kommunikation, z. B. über VPN, und möglichst keine lokale Datenspeicherung).
  • Was sollte im Vorfeld über die Datenverarbeitung auf Reisen geklärt werden?

    Die Arbeitnehmer müssen die Anforderungen von Art. 44 et seq. DSGVO („Übermittlung personenbezogener Daten in Drittländer“) einhalten, wenn sie in Drittländern* außerhalb der EU/des EWR, für die die EU-Kommission kein Angemessenheitsurteil erlassen hat, mit Daten umgehen, etwa bei Auslandsaufenthalten oder Geschäftsreisen. Zu diesen Anforderungen gehören die folgenden: Liegt kein Angemessenheitsbeschluss der EU vor, müssen die verantwortlichen Unternehmen sicherstellen, dass die Übermittlung in Drittländer geschützt ist.

    Nach herrschender Rechtsauffassung sind auch die Mitarbeiter eines Unternehmens, das der DSGVO unterliegt, als Begünstigte anzusehen, so dass Art. 44 ff DSGVO generell einschlägig sind.

    Personenbezogene Daten verlassen hingegen nicht die Kontrolle des Verantwortlichen, wenn sie von autorisierten Mitarbeitern aus Drittländern eingesehen werden können, solange diese Mitarbeiter unter dessen Aufsicht und Anweisungen stehen.

    In den meisten Fällen dürfte sich das Datensicherheitsrisiko nicht wesentlich erhöhen, wenn das Unternehmen einen strengen Datenschutzstandard gewährleistet, wenn Mitarbeiter in gefährliche Drittländer reisen.

    Die im Zusammenhang mit der Übermittlung von Daten in Drittländer verfügbaren Garantien, wie verbindliche interne Datenschutzrichtlinien oder Standarddatenschutzklauseln, sind jedoch nicht für Vereinbarungen zwischen einem Arbeitgeber und einem Arbeitnehmer gedacht, weshalb sie selten genutzt werden. Darüber hinaus sind andere Schritte aufgrund der erforderlichen behördlichen Genehmigungen häufig nicht mit vertretbarem Aufwand durchführbar, insbesondere für kleinere Unternehmen.

    Zum Schutz personenbezogener Daten im Ausland

    Nach alledem sollte die Datenverarbeitung sowohl technisch als auch organisatorisch hoch abgesichert sein, wenn sich das Personal in Drittländern aufhalten muss, worauf viele Organisationen nicht verzichten können. Es ist zu beachten, dass Reisen in fremde Länder das Risiko eines unrechtmäßigen Zugriffs durch Regierungen, Geheimdienste oder Hacker erhöhen. Auch ein gewaltsamer Zutritt oder die unbemerkte Installation von Überwachungssoftware auf Endgeräten ist je nach Land denkbar.

    Insbesondere bei nicht nur kurzfristigen Besuchen von Personal in gefährlichen Drittstaaten, wie z. B. in abhängigen Niederlassungen, oder beim Zugriff auf große Datenbestände (z. B. in Form von Fernwartung) oder sehr sensible Daten sollte die Notwendigkeit entsprechender Schutzmaßnahmen und ggf. die Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde im Einzelfall geprüft werden.

    Unabhängig davon sollten die folgenden spezifischen oder ergänzenden Maßnahmen immer geprüft und ergriffen werden, um Datenschutzrisiken zu vermeiden, wenn Mitarbeiter ins Ausland reisen:

  • Berücksichtigung der besonderen Gefahren von Aufenthalten in unsicheren Drittstaaten in Ausbildungs- und Sensibilisierungsinitiativen sowie die Aufnahme spezifischer Regelungen für Aufenthalte in Drittstaaten in Home-Office- und Mobile-Office-Abkommen,
  • Es wird keine lokale Speicherung von personenbezogenen Daten auf Endgeräten geben, die Mitarbeiter auf Auslandsreisen mitbringen. Direkter Zugriff auf zentral gespeicherte Daten über Schnittstellen (z.B. Web-Schnittstellen) und Pseudonymisierung der Daten, wenn möglich, Es sollte auch erwähnt werden, dass die Zollpolitik bestimmter Länder das Mitführen von Geräten mit verschlüsselten Inhalten, die auf Verlangen des Zolls nicht entschlüsselt werden können, verbietet und bestraft.
  • Verwenden Sie für den Zugriff auf und die Abfrage von Daten entsprechend verschlüsselte Verbindungen (z. B. über VPN).
  • Die Verwendung öffentlicher und potenziell unsicherer Verbindungen zum Abrufen oder Übertragen personenbezogener Daten ist verboten.
  • Beschränkung der Zugangsberechtigungen auf das während des Aufenthalts in Drittländern unbedingt erforderliche Maß oder Anpassung nach Wunsch.
  • Dadurch wird die Anzahl der auf den Endgeräten angelegten Zugänge auf die erforderliche Anzahl begrenzt. Ein Missbrauch oder ein erzwungener Zugriff auf Daten kann effektiv ausgeschlossen werden, wenn kein Zugriff erstellt wird.
  • Verwendung der Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Schnittstellen und Daten.
  • Um die Möglichkeit des erzwungenen Zugriffs, z. B. bei der Einreise, zu reduzieren, können Länder wie China maßgeschneiderte Hardware für Mitarbeiter zur Verfügung stellen, auf der kein Zugriff aufgebaut ist und der Zugriff nur vor Ort nach Bedarf möglich ist. Darüber hinaus sollte bei Aufenthalten in Hochrisikoländern eine Zwei-Faktor-Authentifizierung eingesetzt werden, bei der der zweite Faktor vom Arbeitgeber verwaltet und übermittelt wird, oder der Zugriff auf Daten nur im notwendigen Umfang nach persönlicher Abstimmung und Plausibilitätsprüfung gewährt werden.
  • Achtung! Personenbezogene Daten können auch beim Zugriff über Schnittstellen unbemerkt im Cache oder als Kopie lokal auf Endgeräten vorgehalten oder zwischengespeichert werden. Bitte klären Sie mit Ihrem IT-Administrator, ob in diesem Bereich Änderungen erforderlich sind.
  • Unabhängig von den Datenschutzanforderungen sollten bei Reisen in Länder wie China Aspekte der Wirtschaftsspionage und des Schutzes von Betriebsgeheimnissen berücksichtigt werden. Bitte konsultieren Sie bei Bedarf einen Rechtsbeistand.
  • Whistleblower-Schutzgesetz

    Das Gesetz zum Schutz von Hinweisgebern (Whistleblower Protection Act, WPA) wurde zum Schutz von Whistleblowern erlassen. Bis zum 17. Dezember 2021 müssen die Whistleblower-Leitlinien in

    mehr »