"Digitale Nomaden" und der Datenschutz

Vor kurzem habe ich einen schönen Artikel mit der Überschrift „The new expats: Die ganze Welt als Arbeitsplatz“ im Digitale Welt Magazin gelesen. Für mich wäre es nix, aber für andere eine Traumvorstellung.

 

Arbeiten wo andere Urlaub machen. Mit den Möglichkeiten der digitalen Welt sein Büro dort aufschlagen, wo es einem grade gefällt.

 

Dann bekam ich gestern einen Anruf eines Kunden.

 

Einer seiner neuen Mitarbeiter ist ein solcher „digitaler Nomade“ und reist immer wieder um die Welt. Heute Iran, morgen Indien, übermorgen Thailand. Und da fragte der Kunde sich, ob es da "aus Datenschutz-Sicht irgendwas zu beachten" gäbe.

 

„Gute Frage!“ dachte ich mir und kam erstmal ins Grübeln

Es fielen mir natürlich sofort Themen wie Verarbeitung im Drittland, Zugriff staatlicher Behörden und technische & organisatorische Maßnahmen ein. 

 

Aber wie es im Datenschutz so ist – alles fragt man sich irgendwann zum ersten Mal. Und einen solchen Fall hatte ich bisher tatsächlich noch nicht gehabt.

 

Was ich aber schon hatte, waren Mitarbeiter die gelegentlich ins Ausland geschickt wurden und von dort auf Daten Zugriff nehmen mussten. Und ich fragte mich, was da eigentlich der Unterschied sein sollte.

 

Sollte das nicht eigentlich genauso bewertet werden können?

 

TOM’s

Klar, dass man „remote“ nicht ohne sichere Verbindung, also nur über z.B. VPN auf Unternehmens-Server zugreift. Ich gehe sogar noch weiter und sage, hier darf man nicht ohne 2-Faktor-Authentisierung arbeiten.

Ebenso muss der Zugriff auf den (voll verschlüsselten) Laptop mindestens mit einem starken Passwort, besser mit zusätzlichem Faktor abgesichert sein. Fernzugriff auf Laptop und Smartphone per Mobile Device Management sollte Standard sein.

 

Und zusätzlich brauchen die Mitarbeiter klare Anweisungen, was sie auf dem Rechner lokal (nicht) speichern dürfen und wie sie sich z.B. für den Fall von Zugriffs-Versuchen von ausländischen Stellen auf Unterlagen und Daten verhalten sollen (z.B. Grenzkontrolle).

 

Drittlands-Übermittlung?

Ist das jetzt eigentlich eine Drittlands-Übermittlung, wenn ein Mitarbeiter im Ausland sitzt und auf Daten zugreift, die auf einem Unternehmens-Server in Deutschland liegen?

 

Da schauen wir doch mal, was der EDSA sagt!

 

In der “Guideline 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Adopted on 18 November 2021” stellt der EDSA drei Kriterien fest, die kumulativ für eine Drittlands-Übermittlung zutreffen müssen:

 

The EDPB has identified the three following cumulative criteria that qualify a processing as a transfer:

  1.  A controller or a processor is subject to the GDPR for the given processing.
  2. This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).
  3. The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3.”

Bei Kriterium 2) sind wir eigentlich schon „aus dem Schneider“! Ein Mitarbeiter des Unternehmens ist definitiv kein „anderer Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter“.

 

Und der EDSA liefert gleich noch ein schönes Beispiel:

 

Example 5: Employee of a controller in the EU travels to a third country on a business trip

 

George, employee of A, a company based in Poland, travels to India for a meeting. During his stay in India, George turns on his computer and accesses remotely personal data on his company’s databases to finish a memo.

 

This remote access of personal data from a third country, does not qualify as a transfer of personal data, since George is not another controller, but an employee, and thus an integral part of the controller (company A).

 

Therefore, the disclosure is carried out within the same controller (A). The processing, including the remote access and the processing activities carried out by George after the access, are performed by the Polish company, i.e. a controller established in the Union subject to Article 3(1) of the GDPR.”

 

Nun ist es nicht meine Aufgabe oder gar Kompetenz, solche Dinge auszulegen, aber das hört sich für mich an, als würde ein Mitarbeiter, der vom Ausland aus arbeitet, keine „Drittlands-Übermittlung“ auslösen. Warum sollte es also ein Mitarbeiter, der ständig im Ausland unterwegs ist?

 

"Sicher" muss es trotzdem sein!

 

Allerdings öffnet sich der EDSA in Punkt 17 auch wieder ein „Hintertürchen“, indem er sagt, dass trotzdem der Verantwortliche entscheiden muss, ob er das Risiko eingehen will, dass z.B. eine Verarbeitung gegen Art. 48 verstößt, also etwa ein Gericht oder eine staatliche Stelle im Ausland z.B. Unionsrechts-widrig Zugriff auf die Daten auf dem Rechner des Mitarbeiters verlangen könnte.

 

Oder ob es gegebenenfalls zu riskant sein könnte, dass Mitarbeiter ihren Laptop in ein bestimmtes Land mitnehmen.

 

Das "virtuelle Team"

 

Ja, schon klar - typischerweise sind viele der digitalen Nomaden gar nicht bei einem Unternehmen angestellt. Sehr oft reden wir hier über Freelancer, also Expert/innen, die vielleicht sogar nur temporär in ein Projekt einsteigen oder spezielle Kundenprojekte übernehmen.

 

Die bestimmen in diesem Fall selbst über Arbeitsort (und oft auch Zeit), arbeiten auf eigenen Rechnern, etc.. Dann könnten sie durchaus als Auftragsverarbeiter eingeordnet werden und man befindet sich im Bereich des Art. 28 DSGVO und - je nachdem wo diese grade unterwegs sind -  oft auch im Bereich des Kapitel V der DSGVO, also Drittlands-Übermittlungen, die entsprechend über Garantien abgesichert werden müssen. 

 

Oder sie sind in der Ausgestaltung ihrer Tätigkeiten so unabhängig und weisungsfrei, dass man sie schon als eigenständige Verantwortliche ansehen müsste. 

 

In diesen Fällen ist also eine genaue Analyse notwendig, um hier datenschutzkonform arbeiten zu können. Und dann wird es auch etwas komplizierter. Aber dafür gibt es ja die Datenschützer, die beraten können.