Datenschutz und Arbeiten aus dem Ausland: Neue Regelungen gemäß DSGVO

Der Umgang mit personenbezogenen Daten in Bezug auf Arbeitnehmer, die im Ausland für ein in der EU ansässiges Unternehmen tätig sind, war bisher eine komplexe Angelegenheit. Gemäß den strengen Kriterien der Datenschutz-Grundverordnung (DSGVO) müssen personenbezogene Daten bei Übermittlungen in sogenannte Drittländer ein vergleichbares Datenschutzniveau wie in der EU aufweisen. Dieses Konzept findet sich im Kapitel V der DSGVO. Eine Möglichkeit, ein angemessenes Datenschutzniveau zu gewährleisten, sind vertragliche Regelungen wie Standardvertragsklauseln. Es bestand jedoch Unsicherheit darüber, wie Arbeitnehmer personenbezogene Daten während einer Geschäftsreise oder eines längeren Aufenthalts im Ausland verarbeiten können.

Früher scheiterte der Abschluss von Standardvertragsklauseln zwischen dem in der EU ansässigen Unternehmen und dem Mitarbeiter, der im Ausland auf personenbezogene Daten zugreifen wollte, aufgrund der Kontrollmöglichkeiten des Arbeitnehmers. Die Arbeitnehmer konnten keine geeigneten Maßnahmen ergreifen, um das erforderliche Datenschutzniveau gemäß DSGVO zu gewährleisten. Daher konnten Datenaustauschregelungen zwischen dem in der EU ansässigen Unternehmen und seinen im Ausland tätigen Mitarbeitern in der Regel nicht vereinbart werden. Das Arbeiten aus dem außereuropäischen Ausland konnte vom Arbeitgeber normalerweise nicht gestattet werden.

Neue Einschätzung des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss (EDSA), ein unabhängiges europäisches Gremium, hat in seinen 2023 veröffentlichten Leitlinien "Adopted 1 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR" (abrufbar unter https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf) eine klare Stellungnahme zu diesem Thema abgegeben. Diese Leitlinien erläutern insbesondere, wann eine "Übermittlung" personenbezogener Daten im Sinne von Kapitel V der DSGVO vorliegt.

Der EDSA ist dafür verantwortlich, sicherzustellen, dass die Bestimmungen der DSGVO einheitlich angewandt werden und die Zusammenarbeit der nationalen Datenschutzbehörden im Europäischen Wirtschaftsraum gewährleistet ist.

Gemäß den Leitlinien des EDSA wird nicht von einer "Übermittlung" personenbezogener Daten ausgegangen, wenn sich ein Mitarbeiter vorübergehend in einem Drittland befindet und dort auf die Unternehmensinfrastruktur des in der EU ansässigen Arbeitgebers zugreift, wobei personenbezogene Daten nur auf dem Bildschirm des Mitarbeiters im Drittland angezeigt werden. Daher sind gemäß diesen Ausführungen keine Maßnahmen gemäß Kapitel V der DSGVO (z. B. Standardvertragsklauseln) erforderlich, wenn ein Mitarbeiter in einem Drittland tätig ist. Damit ist die datenschutzrechtliche Frage beantwortet, ob Mitarbeiter eines in der EU ansässigen Unternehmens im Ausland arbeiten dürfen, ohne dass der Arbeitgeber gegenüber den Datenschutzaufsichtsbehörden oder dem Verantwortlichen angreifbar wird.

Begleitende Maßnahmen und Datensicherheit

Unabhängig von den Leitlinien des EDSA sollten dennoch Maßnahmen ergriffen werden, um sicherzustellen, dass Behörden in Drittländern keinen Zugriff auf personenbezogene Daten des in der EU ansässigen Unternehmens erhalten. Hierzu kann beispielsweise sichergestellt werden, dass keine personenbezogenen Daten auf dem mitgeführten mobilen Endgerät gespeichert sind und diese nur über eine verschlüsselte VPN-Verbindung von einem im Ausland arbeitenden Mitarbeiter auf dem Server des Arbeitgebers abgerufen werden können. Darüber hinaus sollten geeignete Sicherheitsmaßnahmen wie sichere Passwörter und Verschlüsselung des Endgeräts implementiert werden, um einen unbefugten Zugriff auf die Daten zu verhindern.

Es ist auch wichtig, dass der aus dem Ausland arbeitende Mitarbeiter ähnliche Maßnahmen wie beim Arbeiten im Home-Office ergreift, um zu verhindern, dass unberechtigte Dritte Zugriff auf die personenbezogenen Daten erhalten. Dies kann während eines Urlaubs mit Familienangehörigen im gleichen Hotelzimmer eine Herausforderung darstellen. Der Arbeitnehmer muss sicherstellen, dass andere Familienmitglieder im Hotelzimmer keinen Zugriff auf die geschützten personenbezogenen Daten haben.
Unabhängig von diesen gesetzlichen Bestimmungen sollte insbesondere bei Auftragsverarbeitern gemäß Artikel 28 der DSGVO sichergestellt werden, dass das Arbeiten aus Drittländern für die Mitarbeiter nicht untersagt ist.

Datenschutzgerechtes Arbeiten aus dem Ausland

Unter Berücksichtigung der genannten Maßnahmen und einer sorgfältigen Überprüfung der bestehenden Verträge gibt es grundsätzlich keine Bedenken mehr, die das Arbeiten aus dem außereuropäischen Ausland betrifft. Bei Unsicherheiten empfiehlt sich eine enge Abstimmung zwischen Mitarbeiter, Arbeitgeber, dem Datenschutzbeauftragten und einem auf IT-Recht spezialisierten Anwalt, insbesondere im Hinblick auf konkret geplante Auslandsaufenthalte.