Die Datenverarbeitung in anderen Ländern ist ein heißes Thema. Was ist zu beachten, wenn Firmenmitarbeiter bei Besuchen in gefährlichen Drittländern personenbezogene Daten verarbeiten oder Zugang zu solchen Daten haben?
Wenn es um Unternehmensdaten geht, ist die Datenverarbeitung im Ausland für Unternehmen ein wichtiges Thema, und die Datensicherheit muss berücksichtigt werden. Allerdings gibt es in diesem Bereich nur sehr wenig tatsächliche Unterstützung.
Wenn Mitarbeiter in gefährlichen Drittländern personenbezogene Daten verarbeiten, etwa bei Geschäftsreisen oder Auslandsaufenthalten, ist besondere Vorsicht geboten. Wir zeigen Ihnen, worauf Sie achten müssen.
Die Mitarbeiter müssen über die Datenverarbeitung in anderen Ländern informiert werden.
Wenn Mitarbeiter personenbezogene Daten außerhalb des Büros verarbeiten dürfen, muss die verantwortliche Organisation sicherstellen, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt.
Da die Verantwortlichen ihre Mitarbeiter außerhalb der Firma, im Homeoffice und im mobilen Büro, allenfalls unter erschwerten Bedingungen überwachen können, müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit getroffen werden. Diese Maßnahmen können unabhängig vom Standort des Personals angewendet werden:
Was sollte im Vorfeld über die Datenverarbeitung auf Reisen geklärt werden?
Die Arbeitnehmer müssen die Anforderungen von Art. 44 et seq. DSGVO („Übermittlung personenbezogener Daten in Drittländer“) einhalten, wenn sie in Drittländern* außerhalb der EU/des EWR, für die die EU-Kommission kein Angemessenheitsurteil erlassen hat, mit Daten umgehen, etwa bei Auslandsaufenthalten oder Geschäftsreisen. Zu diesen Anforderungen gehören die folgenden: Liegt kein Angemessenheitsbeschluss der EU vor, müssen die verantwortlichen Unternehmen sicherstellen, dass die Übermittlung in Drittländer geschützt ist.
Nach herrschender Rechtsauffassung sind auch die Mitarbeiter eines Unternehmens, das der DSGVO unterliegt, als Begünstigte anzusehen, so dass Art. 44 ff DSGVO generell einschlägig sind.
Personenbezogene Daten verlassen hingegen nicht die Kontrolle des Verantwortlichen, wenn sie von autorisierten Mitarbeitern aus Drittländern eingesehen werden können, solange diese Mitarbeiter unter dessen Aufsicht und Anweisungen stehen.
In den meisten Fällen dürfte sich das Datensicherheitsrisiko nicht wesentlich erhöhen, wenn das Unternehmen einen strengen Datenschutzstandard gewährleistet, wenn Mitarbeiter in gefährliche Drittländer reisen.
Die im Zusammenhang mit der Übermittlung von Daten in Drittländer verfügbaren Garantien, wie verbindliche interne Datenschutzrichtlinien oder Standarddatenschutzklauseln, sind jedoch nicht für Vereinbarungen zwischen einem Arbeitgeber und einem Arbeitnehmer gedacht, weshalb sie selten genutzt werden. Darüber hinaus sind andere Schritte aufgrund der erforderlichen behördlichen Genehmigungen häufig nicht mit vertretbarem Aufwand durchführbar, insbesondere für kleinere Unternehmen.
Zum Schutz personenbezogener Daten im Ausland
Nach alledem sollte die Datenverarbeitung sowohl technisch als auch organisatorisch hoch abgesichert sein, wenn sich das Personal in Drittländern aufhalten muss, worauf viele Organisationen nicht verzichten können. Es ist zu beachten, dass Reisen in fremde Länder das Risiko eines unrechtmäßigen Zugriffs durch Regierungen, Geheimdienste oder Hacker erhöhen. Auch ein gewaltsamer Zutritt oder die unbemerkte Installation von Überwachungssoftware auf Endgeräten ist je nach Land denkbar.
Insbesondere bei nicht nur kurzfristigen Besuchen von Personal in gefährlichen Drittstaaten, wie z. B. in abhängigen Niederlassungen, oder beim Zugriff auf große Datenbestände (z. B. in Form von Fernwartung) oder sehr sensible Daten sollte die Notwendigkeit entsprechender Schutzmaßnahmen und ggf. die Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde im Einzelfall geprüft werden.
Unabhängig davon sollten die folgenden spezifischen oder ergänzenden Maßnahmen immer geprüft und ergriffen werden, um Datenschutzrisiken zu vermeiden, wenn Mitarbeiter ins Ausland reisen: