Dienstreisen und Home Office im Drittland – ist das eine Datenübermittlung im Sinne von Kapitel 5 DS-GVO?

Immer mehr Corona-Beschränkungen werden aufgehoben und viele Freiheiten kehren zurück. Das trifft auch auf Beschränkungen im Job zu, wie das Durchführen von Seminaren oder die Möglichkeit von Vor-Ort-Terminen bei Kunden. Insbesondere das Reisen in andere Länder wird wieder einfacher und Verbote werden zurückgenommen. Zeit, sich mit der Frage zu beschäftigen, ob Home Office oder Dienstreisen im Drittland eine Übermittlung darstellen.

Zum Thema Drittlandtransfer von Daten an eigene Beschäftigte bestehen unterschiedlichste Meinungen bis hin zu Anforderungen, dass spezielle Verträge wie die sogenannten EU-Standardverträge mit Beschäftigten geschlossen werden sollten. Diese Verträge würden Beschäftigte zu einer Mithaftung an der Datenverarbeitung verpflichten – ein Umstand, der für Unternehmen im globalen Weltmarkt nicht umsetzbar ist.

Problemstellung:

Nach Art. 44 DS-GVO müssen die Regelungen zum Schutz personenbezogener Daten aus Kapitel 5 DS-GVO eingehalten werden, wenn personenbezogene Daten an ein Drittland übermittelt werden. Die Frage dabei ist oft, ob eine Übermittlung vorliegt, wenn Mitarbeiter eines EU-Unternehmens eine Dienstreise in ein Drittland unternehmen und dabei ihre persönlichen betrieblichen Geräte (Smartphone, Tablet, Laptop etc.) mit personenbezogen Daten mitnehmen. In diesem Fall werden aufgrund der bestehenden Arbeitsaufgaben oder zu Kommunikationszwecken mit Kunden, Interessenten oder Kollegen meist auch Daten im Drittland verarbeitet.

Insbesondere durch die Konkretisierung von Erwägungsgrund 101, welcher vorsieht, dass die Regelungen zur Datenübermittlung in Drittstaaten einzuhalten sind, wenn personenbezogene Daten an Verantwortliche, Auftragsverarbeiter oder andere Empfänger übermittelt werden stellen sich dazu folgende Fragen:

Was ist ein Empfänger?

Empfänger im Sinne der DS-GVO ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“ (Art. 4 Nr. 9 DS-GVO).

Was ist unter „Offenlegung“ zu verstehen?

Eine Offenlegung ist nach Art. 4 Nr. 2 DS-GVO die „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ von personenbezogenen Daten?

Hierzu bestehen unterschiedliche Auslegungen:

Ob Beschäftigte Empfänger im Sinne der DS-GVO sind, ist derzeit ein offener Meinungsstreit. Unter der Annahme, dass natürliche Personen, die Daten bereitgestellt oder offengelegt bekommen, auch Beschäftigte sind, vertritt Veil1 eine weite Auslegung des Empfänger-Begriffs. Unter Betrachtung der bestehenden Rechtsliteratur und Lehre stellt dies Auslegung jedoch eine selten vertretene Meinung dar.

Die überwiegende Meinung geht wie Gola2 davon aus, dass Beschäftigte eines Unternehmens nicht als Empfänger zu sehen sind. Arning und Rothkegel3 beziehen in ihrer wörtlichen Auslegung mit ein, dass der Empfänger ein „gewisses Maß an Eigenständigkeit haben muss“. In ihrer teleologischen Auslegung ziehen sie insbesondere die möglichen Auswirkungen auf Beschäftigte mit ein. Wären Beschäftigte Empfänger, müssten diese namentlich gemäß Art. 19 S. 2 DS-GVO im Rahmen einer Berichtigung oder Löschung von Daten dem Betroffenen benannt werden, wenn dies der Betroffene verlangt. Arning und Rothkegel führen an, dass es Sinn und Zweck von Art. 19 S. 2 DS-GVO ist, dass der Betroffene seine Rechte gegenüber den Empfängern geltend machen kann. Beschäftigte, die Daten auf Weisung eines Verantwortlichen oder Auftragsverarbeiters verarbeiten, sind nach der DS-GVO jedoch keine Adressaten für die Geltendmachung von Betroffenenrechten. Damit kommen sie zum Schluss, das Beschäftigte nicht unter dem Begriff Empfänger zu subsumieren sind.

Eigenes Ergebnis des Meinungsstreits

Unter Betrachtung von Sinn und Zweck der DS-GVO – der darin besteht, personenbezogene Daten zu schützen und vertraulich zu behandeln – kommen wir wie Arning und Rothkegel zu dem Schluss, dass Beschäftigte eines Unternehmens nicht als Empfänger zu bewerten sind. Das Recht auf Vertraulichkeit und Zweckbindung von Daten steht nicht nur dem Betroffenen einer Datenverarbeitung zu, sondern auch Beschäftigten, die eine Datenverarbeitung vornehmen. Würden Beschäftigte als Empfänger bewertet werden, müssten diese nicht nur im Rahmen einer Anfrage nach Art. 19 S. 2 DS-GVO sondern ggf. auch im Rahmen der Informations- und Auskunftspflichten nach Art. 13 bis 15 DS-GVO namentlich benannt werden. Ein Sinn und Zweck dieser namentlichen Benennung ist jedoch nicht zu erkennen. Viel mehr steht dies dem informationellen Selbstbestimmungsrecht der Beschäftigten selbst entgegen.

Hierfür spricht auch, dass der Gesetzgeber in Art. 29 DS-GVO regelt, dass Personen, die unter der Aufsicht des Verantwortlichen oder eines Auftragsverarbeiters Zugang zu personenbezogen Daten erhalten, diese Daten nur nach Weisung des Verantwortlichen verarbeiten dürfen. Eine Erwähnung, dass es sich hierbei um Empfänger handelt oder um eine Offenlegung von Daten, hat der Gesetzgeber nicht vorgenommen. Dies spricht dafür, dass eine Trennung zwischen Verantwortlichem und einzelnen Mitarbeitern als Empfänger auch von Seiten des Gesetzgebers nicht vorgesehen ist.

Ist der Mitarbeiter kein Empfänger, sehen wir nicht, dass eine Übermittlung an ein Drittland im Sinne des Art. 44 DS-GVO vorliegt.

Gegen diese Sichtweise kann eingewendet werden, dass es Sinn und Zweck des Art. 44 DS-GVO ist, das informationelle Selbstbestimmungsrecht und die Betroffenenrechte auch in Ländern umzusetzen, die nicht direkt unter die DS-GVO fallen.

Dabei ist jedoch zu berücksichtigen, dass sich der Geltungsbereich der DS-GVO für einen Auftragsverbeiter oder Verantwortlichen nicht ändert, nur weil sich ein einzelner Beschäftigter in einem Drittland befindet. Nach Art. 3 Abs. 1 DS-GVO wird der Anwendungsbereich der DS-GVO an die Tätigkeit einer Niederlassung in der EU geknüpft, unabhängig davon, ob die Verarbeitung tatsächlich in der EU stattfindet. Das Schutzniveau und die Regelungen der DS-GVO sind damit selbstverständlich weiterhin auch im Drittland durch die Beschäftigten des Verantwortlichen oder Auftragsverarbeiters einzuhalten.

Das heißt nicht, dass Sie nun bedenkenlos eine Dienstreise in ein Drittland antreten können. Insbesondere Art. 32 DS-GVO verpflichtet die Verantwortlichen und Auftragsverarbeiter dazu Maßnahmen zu ergreifen, die sicherstellen, dass das Schutzniveau auch unter den besonderen Bedingungen des Drittlandes eingehalten und keine unzulässigen Datenverarbeitungen z.B. durch Behörden des Drittlandes ermöglicht werden.

Fazit

Werden Beschäftigte nicht als Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO angesehen, besteht kein Anhaltspunkt, dass eine Übermittlung von Daten an Beschäftigte stattfindet, wenn Sie im Rahmen einer Dienstreise Daten in einem Drittland verarbeiten. Vorgaben aus Kapitel 5 der DS-GVO finden damit keine Anwendung und es muss auch nicht die Frage gestellt werden, ob ein EU-Standardvertrag mit dem Beschäftigten abgeschlossen werden muss.

Vielmehr ist anzunehmen, dass die rechtlichen Verpflichtungen der DS-GVO zur Verarbeitung von personenbezogenen Daten auch im Rahmen der Dienstreise gelten und Anwendung finden. Dies betrifft insbesondere die Vorgaben aus Art. 32 DS-GVO, auch bei einer Dienstreise ein angemessenes Schutzniveau der verarbeiteten Daten zu gewährleisten und die Betroffenenrechte umzusetzen. Dabei sollte speziell das Risiko möglicher Vertraulichkeitsverletzungen oder unzulässiger Datenverarbeitungen durch Behörden des Drittlandes berücksichtig werden.

Nützlicher Hinweis:

Nach Rücksprach mit der Stabsstelle Europa des LfDI Baden-Württemberg hat diese bestätigt, dass auch sie keine Übermittlung von Daten im Rahmen einer Dienstreise in ein Drittland sehen, wenn ausreichende Schutzmaßnahmen bestehen.

Autor: Michael Konitzer

Bild von mohamed Hassan auf Pixabay

1: vgl. Art. 4 Nr. 9 DS-GVO Rnd. 15; Gierschmann, Schlender, Stentzel, Veil (Hrsg.): Bundesanzeiger Verlag GmbH; Köln; 2018

2: vgl. Art. 4 Nr. 9 DS-GVO Rnd. 63; Gola; C.H. Beck oHG; München, 2017

3: vgl. Art. 4 Nr. 9 DS-GVO Rnd. 238; Taeger/Gabel; Deutscher Fachverlang GmbH; Frankfurt am Main; 3. Auflage; 2019

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.