In einer immer stärker vernetzten Arbeitswelt sind mobile Arbeitsmodelle längst keine Ausnahme mehr. Doch gerade beim Thema Homeoffice im Drittstaat geraten viele Unternehmen datenschutzrechtlich schnell ins Schwimmen. Welche Vorschriften gelten bei der Nutzung von Auftragsverarbeitern im Ausland oder bei Zugriffen durch Mitarbeitende außerhalb der EU?
Der Europäische Datenschutzausschuss (EDSA) hat hierzu im Jahr 2024 wichtige Leitlinien veröffentlicht. Was Sie daraus für Ihre Datenschutzpraxis ableiten sollten, haben wir für Sie zusammengefasst.
Was gilt als internationaler Datentransfer?
Ein „Transfer“ im Sinne der DSGVO liegt laut aktueller Definition des EDSA nur dann vor, wenn folgende drei Voraussetzungen erfüllt sind:
- Der Datenexporteur unterliegt der DSGVO.
- Es erfolgt eine Datenoffenlegung an eine andere Stelle (z. B. Dienstleister oder Partner).
- Die Empfängerseite (Importeur) befindet sich außerhalb der EU bzw. des EWR.
Wenn alle drei Bedingungen erfüllt sind, gelten die strengen Anforderungen des Kapitel 5 DSGVO – insbesondere in Bezug auf geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln, TIA).
Homeoffice in Drittstaaten – kein Transfer, aber trotzdem relevant
Arbeitet ein Beschäftigter im Homeoffice außerhalb der EU, etwa auf Dienstreise oder im Ausland, liegt formal kein internationaler Datentransfer im Sinne von Kapitel 5 vor – sofern er nur innerhalb der gleichen verantwortlichen Stelle oder eines Auftragsverarbeiters auf die Daten zugreift.
Dennoch dürfen damit verbundene Risiken nicht ignoriert werden. Der EDSA macht deutlich:
👉 Auch ohne offiziellen Transfer müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach Art. 24 und 32 DSGVO treffen. Dazu gehört insbesondere ein Transfer Impact Assessment (TIA) – also eine Analyse der Rechtslage im jeweiligen Drittstaat.
Wie Sie sich auf Homeoffice und Drittstaatenzugriffe vorbereiten
Um datenschutzkonform zu handeln, sollten Unternehmen folgende Maßnahmen prüfen und ggf. umsetzen:
- Datenverschlüsselung, insbesondere bei Speicherung und Übertragung
- Pseudonymisierung, wenn möglich
- Backup-Lösungen, die keinen Zugriff auf Klartextdaten erfordern
- Zugriffsbeschränkungen und Rechtekontrolle
- Interne Richtlinien für mobiles Arbeiten aus Drittstaaten
Für Staaten wie Indien, Brasilien, China oder Russland gibt es vom EDSA veröffentlichte Risikoanalysen zu staatlichen Zugriffen, die eine gute Grundlage für ein TIA bilden können.
Auftragsverarbeitung und Weitergabe an Dritte – wer trägt die Verantwortung?
Besonders wichtig: Auch wenn die Datenweitergabe an Dritte über einen Dienstleister erfolgt, bleibt die Verantwortung beim beauftragenden Unternehmen. Der EDSA stellt klar:
👉 Verantwortliche Stellen müssen über alle eingesetzten Unterauftragsverarbeiter informiert sein – inklusive Name, Adresse und Kontaktperson.
Kommt es zu einem Transfer durch den Auftragsverarbeiter in ein Drittland, muss die verantwortliche Stelle:
- informiert werden,
- ein Transfer Impact Assessment erhalten,
- und die Entscheidung treffen, ob sie den Risikoeinschätzungen des Dienstleisters vertraut.
Fehlen Informationen oder bestehen Zweifel an deren Richtigkeit, besteht eine aktive Prüfungspflicht.
Handlungsempfehlungen für Unternehmen
Damit Sie im internationalen Kontext DSGVO-konform bleiben, sollten Sie:
- Ihre Verträge zur Auftragsverarbeitung auf Vollständigkeit prüfen
- Regelmäßig kontrollieren, ob Unterauftragnehmer in Drittländern einbezogen sind
- TIA-Dokumentationen zu Drittstaatenübermittlungen anfordern und bewerten
- Zugriffe aus dem Ausland in der IT-Sicherheitsstrategie berücksichtigen
- Ihre Belegschaft für das Thema Homeoffice & Datenschutz sensibilisieren
Fazit: Auch ohne „Transfer“ sind Drittstaaten ein Risiko
Der Begriff des Datentransfers wurde durch den EDSA klarer gefasst – aber nicht jede Drittstaatenverbindung ist automatisch rechtssicher. Besonders beim mobilen Arbeiten außerhalb der EU sind Unternehmen gefordert, verantwortungsvoll zu handeln und Vorkehrungen zu treffen.
Sie möchten wissen, wie sich die neuen Vorgaben auf Ihre Systeme auswirken oder ob bestehende Verarbeitungsverhältnisse angepasst werden müssen? Gern stehen wir Ihnen beratend zur Seite – kompetent, verständlich und lösungsorientiert.