Workation in Thailand, Familienbesuch in Brasilien oder dauerhaftes Remote Work in den USA – viele Beschäftigte wollen „von überall“ arbeiten. Für Unternehmen wird es komplex, sobald der Laptop in einem Nicht-EU-Land (Drittland) steht: Dann greifen die Regeln der DSGVO zu internationalen Datentransfers und weitere rechtliche Fragen zum anwendbaren Arbeitsrecht oder Lohnsteuerpflicht im Drittland werden aufgeworfen.
Was meinen wir mit mobilem Arbeiten im Drittland?
Werfen wir zunächst einen Blick darauf, was wir unter „mobilem Arbeiten aus dem Ausland“ verstehen. Darunter fassen wir Homeoffice, Remote Work und Workation zusammen, wenn der Arbeitsort außerhalb von EU und EWR liegt. Es kann sich also um eine kurze Dienstreise nach China, um einen dreimonatigen Bali-Aufenthalt oder um die dauerhafte Verlagerung des Wohnsitzes in die USA handeln. Wichtig dabei ist, dass für das deutsche bzw. EU-Unternehmen die DSGVO in aller Regel weiter gilt – auch wenn die Mitarbeitenden physisch im Drittland sitzen. Was beim Mobile Office in Deutschland bzw. EU-Ausland zu beachten ist, haben wir bereits in diesem Blogbeitrag dargelegt.
Wann liegt eine Datenübermittlung vor?
Aus datenschutzrechtlicher Sicht muss man zunächst die Übermittlung personenbezogener Daten in Drittländer. Die Artikel 44–49 DSGVO regeln diese. Die Aufsichtsbehörden (z.B. BfDI oder Datenschutzkonferenz mit Kurzpapier Nr. 4) betonen hierbei eine Zwei-Stufen-Prüfung: Zuerst soll die „normale“ Rechtmäßigkeit der Datenverarbeitung betrachtet werden. Im Anschluss muss man einen genaueren Blick auf die besonderen Vorgaben für Drittländer werfen. Denn der bloße Online-Zugriff aus dem Ausland stellt bereits eine „Datenübermittlung“ ins Ausland dar.
Typische Risiken bei Remote Work außerhalb der EU
Neben „klassischen“ IT-Risiken, wie z.B. unsichere Netzwerken, kommen im Drittland weitere Risiken hinzu. Hierunter fallen z.B. die mögliche staatliche Überwachung der Netze und behördliche Zugriffsrechte auf personenbezogene Daten. Zusätzlich ist es dem Arbeitgeber nicht möglich, den tatsächlichen Arbeitsort des Mitarbeiters zu überprüfen. Eine lokale Speicherung sensibler Daten birgt zusätzliche Risiken ebenso wie weitreichende Berechtigungen von Admins oder Führungskräften, die im Ausland arbeiten.
Rechtsgrundlagen: Angemessenheitsbeschluss, SCC & Co.
Für manche Drittländer (z.B. Schweiz, Japan, UK, USA nach EU-US Data Privacy Framework) hat die EU-Kommission ein angemessenes Datenschutzniveau festgestellt. Datentransfers sind hier deutlich einfacher. Für andere Drittländer braucht es meist hohe technische- und organisatorische Maßnahmen (TOM) wie z.B. VPN-Nutzung, starke Authentifizierung, vollständige Festplattenverschlüsselung und eine Richtlinie für Remote Work im Drittland. Zusätzlich sind geeignete Garantien wie Standardvertragsklauseln (SCC) und in der Praxis oft ein Transfer Impact Assessment (TIA) erforderlich , um das Schutzniveau zu bewerten.
Entscheidend ist, ob Behörden oder andere Stellen in einem Drittland auf die Daten zugreifen können oder ob die Daten dort lokal gespeichert werden, zum Beispiel durch einen Download, einen Ausdruck oder die Nutzung lokaler Cloud-Dienste. Das darf aus datenschutzrechtlicher Sicht nicht passieren und die Daten müssen so geschützt sein, dass die Drittlandbehörden technisch nicht darauf zugreifen können. Daher muss man bereits im Vorfeld eine TIA, um zu prüfen, ob es solche behördlichenn Zugriffsrechte im Drittland gibt. Zum Umgang mit Behördenanfragen aus Drittländern z.B. zur Offenlegung von personenbezogenen Daten hat der EDSA kürzlich Leitlinien bereitgestellt.
Praktische Maßnahmen & Fahrplan für Unternehmen
- Bestandsaufnahme & Grundsatzentscheidung
Wo arbeiten Beschäftigte schon im Ausland – und mit welchen Daten? Erlauben Sie Remote Work im Drittland überhaupt? Wenn ja: Für welche Länder, Rollen und Zeiträume? Viele Unternehmen nutzen dafür eine Länderrisikokarte und einen Genehmigungsvorbehalt. - Richtlinie „Mobiles Arbeiten im Ausland“ erstellen
Regeln Sie Meldepflichten (Ort, Zeitraum, Tätigkeit), erlaubte Geräte, Druck- und Speichermöglichkeiten sowie Co-Working-Spaces. Binden Sie Ihren Betriebsrat und den Datenschutzbeauftragten mit ein. - Technische und organisatorische Sicherheitsmaßnahmen
Pflichtprogramm sind u.a. VPN, starke Authentifizierung, verschlüsselte Endgeräte, möglichst keine lokale Speicherung sowie – je nach Datenrisiko – virtuelle Desktops oder Remote-Umgebungen in der EU. - Dienstleister, Auftragsverarbeitung & Dokumentation
Prüfen Sie Verträge mit Cloud-Anbietern, Freelancern und anderen Auftragsverarbeitern: Wo sitzen Support-Mitarbeitende? Ist mobiles Arbeiten aus Drittländern geregelt? Ergänzen Sie Standardvertragsklauseln und dokumentieren Sie Ihre Risikoabwägung (Verarbeitungsverzeichnis, TIA, ggf. Datenschutz-Folgenabschätzung). Speziell für Unternehmen, die als Auftragsverarbeiter gemäß Art. 28 DSGVO für den Kunden tätig werden und deren Mitarbeiter teilweise im Drittland arbeiten, ist zu prüfen, welche Regelungen hierfür im AV-Vertrag mit dem Kunden bestehen und ob eine solche Drittlandübermittlung überhaupt gestattet ist. - Weitere rechtliche Baustellen im Blick behalten
Arbeitsrecht, Aufenthalts- und Visumsrecht, Sozialversicherung und Steuerrecht sollten Sie frühzeitig mit spezialisierter Beratung prüfen, da sich auch hier rechtliche Fragen stellen, die Sie beachten müssen.
Fazit: Einfache Frage, komplexe Antwort
„Darf Mitarbeiter X aus Land Y arbeiten?“ lässt sich selten spontan beantworten. Mit einer klaren Unternehmensstrategie, einer schlanken Richtlinie und technischer sowie organisatorischer Absicherung können Sie Remote Work im Drittland rechtssicher ermöglichen – und bleiben gleichzeitig für Fachkräfte attraktiv.
Haben Sie Fragen zu diesem oder anderen datenschutzrechtlichen Themen? Dann wenden Sie sich gerne an uns – wir sind Deutschlandweit tätig: info@sidit.de
