In vielen Branchen geh\u00f6ren Dienstreisen von Mitarbeitern zur Tagesordnung, aber auch die M\u00f6glichkeit des Remote Workings wird seit der Pandemie immer h\u00e4ufiger genutzt. Doch ob und welche datenschutzrechtlichen Implikationen damit m\u00f6glicherweise verbunden sein k\u00f6nnen, ist oft nicht bekannt.<\/p>\n\n\n\n
Wenn n\u00e4mlich ein Mitarbeiter von einem Drittland aus (au\u00dferhalb der EU oder des EWR) auf personenbezogene Daten von Kunden, Kollegen, Bewerbern und anderen Personen zugreift, stellt sich die Frage, ob dieser Zugriff als eine \u201eDaten\u00fcbermittlung\u201c im Sinne der DSGVO zu betrachten ist.<\/p>\n\n\n\n
Eine \u00dcbermittlung personenbezogener Daten in L\u00e4nder au\u00dferhalb der EU oder des EWR (Drittstaatentransfer<\/em>) ist n\u00e4mlich nur in den in Kapitel 5 (\u00dcbermittlungen personenbezogener Daten an Drittl\u00e4nder oder an internationale Organisationen) <\/em>der DSGVO genannten F\u00e4llen zul\u00e4ssig. Dies ist vor allem dann der Fall, wenn ein Angemessenheitsbeschluss der europ\u00e4ischen Kommission vorliegt oder Standardvertragsklauseln, verbindliche Unternehmensregeln oder Zertifizierungen verwendet werden.<\/p>\n\n\n\n Bei der Verwendung von Standardvertragsklauseln muss der Datenexporteur gemeinsam mit dem Datenimporteur \u00fcberpr\u00fcfen, ob im Drittland tats\u00e4chlich ein angemessener Schutz der personenbezogenen Daten gew\u00e4hrleistet werden kann. Es darf insbesondere kein Grund zur Annahme bestehen, \u201edass die f\u00fcr die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erf\u00fcllung seiner Pflichten gem\u00e4\u00df der Standardvertragsklauseln hindern.<\/em>\u201c<\/p>\n\n\n\n Vor kurzem hat die Belgische Datenschutzbeh\u00f6rde (kurz DPA<\/em>) die Ansicht vertreten, dass ein Mitarbeiter nicht als Verantwortlicher oder Auftragsverarbeiter gilt, da er dem Arbeitgeber direkt unterstellt ist und nur im Rahmen der Weisungen, Befugnisse und der Aufsicht des Arbeitgebers Daten verarbeiten darf. Demgem\u00e4\u00df geht die DPA davon aus, dass die Verpflichtungen im Sinne des Kapitel 5 der DSGVO nicht anwendbar sind.<\/p>\n\n\n\n Der Arbeitgeber ist somit nicht verpflichtet, die im dritten Absatz genannten Ma\u00dfnahmen zu implementieren, selbst wenn im jeweiligen Drittland, in dem sich der Mitarbeiter befindet, kein angemessenes Schutzniveau besteht. Sehr wohl hat er jedoch als Verantwortlicher oder Auftragsverarbeiter daf\u00fcr zu sorgen, dass die allgemeinen Grunds\u00e4tze der DSGVO eingehalten werden.<\/p>\n\n\n\n Das bedeutet, dass der Arbeitgeber insbesondere technische und organisatorische Ma\u00dfnahmen (kurz TOMs) implementieren muss, um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen. Solche TOMs sind beispielsweise die Verschl\u00fcsselung oder Pseudonymisierung von personenbezogenen Daten. Ferner wird empfohlen, interne Vorgaben f\u00fcr den Fall zu haben, dass ein Mitarbeiter in einem Drittland arbeitet oder eine Dienstreise in ein solches unternimmt. Dadurch k\u00f6nnen Mitarbeiter \u00fcber potentielle Risiken aufgekl\u00e4rt werden, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten in Drittl\u00e4ndern bestehen. Dazu geh\u00f6rt vor allem, dass nicht \u00fcber ungesicherte \u00f6ffentliche Internetverbindungen auf das Unternehmensnetzwerk zugegriffen werden soll.<\/p>\n\n\n\n Wir erachten die Auffassung der DPA f\u00fcr richtig, weshalb zuvor Gesagtes auch f\u00fcr \u00d6sterreich zu beachten ist. Somit sollten auch \u00f6sterreichische Arbeitgeber im Auge behalten, von wo aus Mitarbeiter Zugriff auf personenbezogene Daten haben, falls diese \u201eaus der Ferne\u201c arbeiten.<\/p>\n\n\n\n Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanw\u00e4lte GmbH \u00fcbernimmt keine Haftung f\u00fcr die Richtigkeit, Vollst\u00e4ndigkeit und Aktualit\u00e4t des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.<\/p>\n","protected":false},"excerpt":{"rendered":" In vielen Branchen geh\u00f6ren Dienstreisen von Mitarbeitern zur Tagesordnung, aber auch die M\u00f6glichkeit des Remote Workings wird seit der Pandemie immer h\u00e4ufiger genutzt. <\/p>\n","protected":false},"author":2,"featured_media":5839,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[32],"tags":[],"class_list":["post-5838","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts\/5838","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/comments?post=5838"}],"version-history":[{"count":0,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts\/5838\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/media\/5839"}],"wp:attachment":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/media?parent=5838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/categories?post=5838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/tags?post=5838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
DISCLAIMER<\/p>\n\n\n\n