Mobiles Arbeiten in Drittstaaten? - Der Landesbeauftragte für Datenschutz und Informationssicherheit konkretisiert die Anforderungen

Ein Drittstaatentransfer, auch als grenzüberschreitender Datentransfer bezeichnet, tritt auf, wenn personenbezogene Daten von einem Mitgliedstaat der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) in ein Drittland oder von einem Drittland in die EU/EWR übertragen werden. Ein Drittland ist ein Staat außerhalb der EU und des EWR. Die DSGVO legt in den Art. 44 ff strenge Anforderungen für solche Drittstaatentransfers fest, um den Schutz personenbezogener Daten auch außerhalb der EU/EWR sicherzustellen.

Ein solcher Transfer kann auf verschiedene Weisen geschehen, wie beispielsweise bei der Übertragung von Daten an internationale Unternehmen, Cloud-Provider oder Dienstleister, die ihren Sitz außerhalb der EU haben. Neben diesen eindeutigen Fällen gibt es jedoch auch Datenverarbeitungsvorgänge, bei denen nicht eindeutig feststeht, ob mit diesen ein Transfer personenbezogener Daten in einen Drittstaat verbunden ist.

Umstritten ist insbesondere die Frage, ob auch dann ein Drittstaatentransfer vorliegt, wenn personenbezogene Daten zwar über die Grenzen der EU/ EWR hinaus übermittelt werden, die übermittelnde Stelle und der Empfänger aber Teil desselben Verantwortlichen sind. Relevant wird diese Frage zum Beispiel dann, wenn Mitarbeiter auf Dienstreisen, oder auch dauerhafter im Homeoffice, außerhalb der EU/EWR ihrer Tätigkeit nachgehen und dabei personenbezogene Daten des europäischen Unternehmens nutzen.

Relevant ist diese Frage speziell deswegen, da europäische Unternehmen dann gegebenenfalls neben den bereits angesprochenen Sicherheitsmaßnahmen auch die Anforderungen des Art. 44 ff DSGVO erfüllen müssten, sobald ihre Mitarbeiter im Rahmen der mobilen Arbeit außerhalb der EU/EWR tätig werden.

Zu dieser für viele Unternehmen relevanten Sachfrage nahm nun der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg in seinem Tätigkeitsbericht für das Jahr 2022 Stellung (https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/).

Zur Einordnung des Sachverhaltes führte der Landesbeauftragte aus, dass die Definition des Transferbegriffs umstritten sei und die EDSA derzeit an einer neuen Definition arbeite, die insbesondere für Zweifelsfälle wie rechtlich unselbständige Niederlassungen eines Verantwortlichen oder Dienstreisen Rechtsklarheit bringen solle.

Zur Beurteilung des Transferbegriffes in Deutschland führt der Landesbeauftragte aus, dass „Ein vollständiger Ausschluss aller Datenbewegungen innerhalb ein und desselben Verantwortlichen oder Auftragsverarbeiters von den Vorgaben über den Drittstaatentransfer wird zumindest von den deutschen Datenschutzaufsichtsbehörden mehrheitlich nicht geteilt, weil dies zur Folge hätte, dass personenbezogene Daten in Drittstaaten speziellen Risiken unterworfen werden könnten, ohne dass beispielsweise der Betroffene hierüber gemäß Artikel 13 beziehungsweise 14 DS-GVO ausreichend informiert werden müsste, sodass er faktisch keine Möglichkeit zum Widerspruch hätte.“ (LfDI BW I 38. Tätigkeitsbericht I 2022 S. 94). Derzeit würde daher, so der Landesbeauftragte, auch bei mobilem Arbeiten von dem Vorliegen eines Datentransfers ausgegangen. Dies gelte zumindest dann, „wenn dieses über einen längeren Zeitraum mit einer gewissen Regelmäßigkeit am selben Ort im Drittstaat erfolgt und sobald ein Zugriff auf personenbezogene Daten aus der EU durch den Mitarbeiter im Drittstaat tatsächlich stattfindet (beispielsweise durch Abruf / Fernzugriff) beziehungsweise wenn solche Daten auf Geräten im Drittstaat gespeichert sind oder in sonstiger Weise verarbeitet werden“ (LfDI BW I 38. Tätigkeitsbericht I 2022 S. 94).

Bis zu einer endgültigen Klärung der genauen Definition des Begriffes des Datentransfers ist deutschen Unternehmen zu empfehlen, der Ansicht des Landesbeauftragens Baden-Württemberg zu folgen. Dies hat zur Folge, dass in entsprechenden Situationen der mobilen Arbeit, aber beispielsweise auch im Bereich der Dienstreisen, die Vorgaben der Art. 44 ff DSGVO einzuhalten sind.

Ihr Datenschutzbeauftragter berät Sie gerne bei allen Fragen rund um den Datentransfer und wie die Einhaltung der Art. 44 DSGVO in Bezug auf den konkreten Drittstaat gewährleistet werden kann.

Falls Sie Fragen zum geschilderten Thema haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.