Unternehmen auf dem Weg in Teufels Küche?
Spätestens seit der Corona-Pandemie ist die Nachfrage nach dem (kurzfristigen) mobilen Arbeiten aus dem Ausland groß. Immer mehr Beschäftigte arbeiten vom ausländischen Wohnort aus oder verbinden Urlaub und Beruf, indem sie vorübergehend aus dem Ausland tätig sind.
Allgemein ist bekannt, dass auch im Home- oder Mobile-Office die Vorgaben der Datenschutzgrundverordnung einzuhalten sind. Daten und Unterlagen müssen vor der Einsichtnahme durch Dritte geschützt werden. Verrichten Arbeitnehmende eines Unternehmens ihre Arbeit in unsicheren Drittländern, das heißt in Ländern außerhalb der EU, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt, verarbeiten sie in der Regel regelmäßig personenbezogene Daten oder greifen auf diese zu. Somit muss hier ein besonderes Augenmerk auf dem Schutz der Daten liegen.
Sind geeignete Garantien notwendig?
In den Fällen, in denen Arbeitnehmende im Drittland Daten verarbeiten, könnten die strengen Vorgaben der Art. 44 ff. DSGVO („Übermittlung personenbezogener Daten an Drittländer“) Anwendung finden. Diese Vorgaben sehen unter anderem vor, dass verantwortliche Unternehmen beim Fehlen eines EU-Angemessenheitsbeschlusses geeignete Garantien für Drittlandübermittlungen beachten müssen.
Nach Art. 44 DSGVO ist „Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, [ist] nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]“
Die Vorschrift und damit das Erfordernis von geeigneten Garantien kommen jedoch nur dann zur Geltung, wenn die Datenübermittlung an den eigenen Mitarbeitenden als „Übermittlung“ im Sinne des Art. 44 DSGVO einzustufen ist.
Liegt eine Drittland „Übermittlung“ vor?
Der Begriff der Übermittlung ist nicht in der DSGVO definiert. Generell wird der Begriff sehr weit gefasst, sodass eine Datenübermittlung bereits bei der Zugänglichmachung oder Abrufbarkeit von Daten aus dem Drittland bejaht wird. Es kommt nicht darauf an, ob die Daten tatsächlich bearbeitet werden. Es ist ausreichend, wenn dem Mitarbeitenden Zugriffrechte eingeräumt wurden.
Die Datenübermittlung an die eigenen Arbeitnehmenden könnte jedoch deshalb ausgenommen sein, weil nach dem Wortlaut des Art. 44 DSGVO lediglich der „Verantwortliche und der Auftragsverarbeiter“ die strengen Vorgaben der Art. 44 ff. DSGVO einhalten müssen. Allerdings gelten nach dem Erwägungsgrund 101 S. 3 die allgemeinen Grundsätze der Datenübermittlung neben Verantwortlichen und Auftragsverarbeiter auch für „andere Empfänger“.¹
Doch sind die eigenen Mitarbeitenden „andere Empfänger“?
Die DSGVO enthält in Art. 4 Nr. 9 eine Definition des „Empfängers“. Nach dieser Definition ist „Empfänger:in“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden. Generell kann also jede Person „Empfänger:in“ sein. Ob auch die eigenen Mitarbeitenden „Empfänger“ im Sinne der DSGVO sind, ist höchst umstritten und noch nicht abschließend geklärt.
Arbeitnehmer:in als Empfänger: Es herrscht Uneinigkeit
Einerseits wird vertreten, dass Mitarbeitende eines Unternehmens keine Empfänger seien. Der Wortlaut der Definition lässt vermuten, dass eine gewisse Eigenständigkeit verlangt wird. Einem:r Mitarbeiter:in fehle es gegenüber dem Unternehmen als verantwortliche Stelle an dieser datenschutzrechtlichen Eigenständigkeit. Dieser Ansicht hat sich jüngst der EU-Generalanwalt Sanchez-Bordona in seinen Schlussanträgen am 15.12.2022 im Verfahren C-579/21 angeschlossen. In dem zugrundeliegenden Verfahren ging es zwar um den Umfang des Auskunftsrechts nach Art. 15 DSGVO. Allerdings wurde auch die Rolle der eigenen Mitarbeiters nach der DSGVO beim verantwortlichen Unternehmen thematisiert. Der EU-Generalanwalt Sanchez-Bordona vertrat die Ansicht, dass „ […] der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“ ² Werden die Beschäftigten also unter der unmittelbaren Verantwortung des verantwortlichen Unternehmens tätig, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten.
Nach anderer Auffassung verlange die Definition des „Empfängers“ keine rechtliche Eigenständigkeit. Das folge aus dem Umkehrschluss zu dem Begriff des Dritten (also weder Verantwortlicher noch Auftragsverarbeiter) nach Art. 4 Nr. 10 DSGVO, wonach Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, keine Dritten sind. In Konsequenz dieser Ansicht wären Mitarbeitende als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO anzusehen.
Empfehlung für Unternehmen – Teufels Küche vermeiden
Die zuletzt genannte Ansicht zugrunde gelegt, ist der Zugriff des Mitarbeiters aus einem Drittstaat als Drittlandübermittlung zu werten. Da derzeit weder eine gerichtliche Entscheidung noch eine behördliche Stellungnahme vorliegen, empfiehlt valvisio, Zugriffe der Beschäftigten auf Daten aus einem Drittland (vorsorglich) als Drittlandübermittlung einzustufen.
Beim Fehlen eines EU-Angemessenheitsbeschlusses im entsprechenden Drittland muss das Unternehmen daher zwingend geeignete Garantien für die Drittlandübermittlungen vorweisen. Ein Rückgriff auf die in der Praxis sehr beliebten Standardschutzklauseln dürfte wohl ausscheiden. Diese sind zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern konzipiert – nicht jedoch zwischen Verantwortlichen und dessen Mitarbeitende.
Bei unverzichtbaren Drittlandaufenthalten sollten deshalb zwingend – je nach den Umständen des Aufenthalts und der Verarbeitung – ergänzende Maßnahmen ergriffen und umgesetzt werden, um datenschutzrechtliche Risiken bei Auslandsaufenthalten von Beschäftigten zu minimieren. Dabei kann die Datenverarbeitung in besonderem Maße durch technisch und organisatorische Maßnahmen abgesichert werden, beispielsweise durch Einsatz ausreichend verschlüsselter Verbindungen für Zugriffe auf und den Abruf von Daten (z. B. per VPN) oder der Beschränkung von Zugriffsberechtigungen auf den während des Aufenthalts in Drittländern absolut erforderlichen Umfang bzw. Anpassung nach Bedarf auf Anforderung.
Auch die Pseudonymisierung von Daten kann eine geeignete technische Maßnahme darstellen. Vorsicht ist jedoch bei der Verschlüsselung von lokal gespeicherten Daten geboten. Diese stellt zwar grundsätzlich eine effektive Maßnahme zum Schutz der personenbezogenen Daten dar, in einigen Ländern gibt es jedoch besondere Zoll-Vorschriften hinsichtlich der Ein- und Ausfuhr von Geräten mit verschlüsselten Daten. Die sicherste Variante ist daher, vollständig auf eine lokale Speicherung zu verzichten und die Daten ausschließlich über den (gesicherten) Fernzugriff auf das Unternehmensnetzwerk zugänglich zu machen. Abschließend sollten Mitarbeitende hinsichtlich der datenschutzrechtlichen Besonderheiten bei Auslandsaufenthalten geschult werden. Ergänzend hierzu können die einzuhaltenden Anforderungen, beispielsweise die Vermeidung unsicherer öffentlicher WLAN-Verbindungen, verbindlich in einer unternehmensinternen Datenschutz-Richtlinie für mobiles Arbeiten festgehalten werden.
