ich würde gerne um Ihre geschätzte Meinung bitten:
Ein Mitarbeiter eines deutschen Unternehmens greift per VPN auf das eigene Firmennetz (in einem Rechenzentrum in Deutschland) aus Kanada zu. Handelt es sich hierbei um eine Datenübermittlung gemäß Art. 44 DSGVO?
a) Wenn die Datenverarbeitung auf dem Rechner des Zugreifenden statt findet?
b) Wenn die Datenverarbeitung zum Großteil im Rechenzentrum statt findet und zu kleinen Teilen auf dem Rechner des Zugreifenden statt findet?
c) Die Datenverarebeitung im Rechenzentrum statt findet und der Mitarbeiter lediglich über einen Terminalserver zugreift?
a) Ich habe vor dieser Anfrage in den Angemessenheitsbeschluss rein gesehen und festgestellt, dass Artikel 2 besagt, dass dieser nicht uneingeschränkt gilt, sondern nur für Artikels 25 Absatz 1 DSGVO. Daneben gilt der Angemessenheitsbeschluss ausschließlich für Wirtschaftunternehmen. Liege ich hier richtig?
b) Unser Fall ist vielleicht noch etwas komplizierter, als oben beschrieben. Wir (öffentliche Hochschule) haben einen Auftragsverarbeiter (Wirtschaftunternehmen), der einem Mitarbeiter aus Kanada die Möglichkeit einrichten möchte, unsere Hochschuldaten im Rahmen der Auftragsverarbeitung aus Kanada zu verarbeiten.
c) Ich konkretisiere mal meine Intention: Macht es aus Sicht der Übermittlung von Daten in ein Drittland einen Unterschied, ob die Verarbeitung der Daten auf dem Rechner des Mitarbeiters statt findet (lokal) oder auf den Servern des Rechenzentrums (Hochschule) und der Mitarbeiter lediglich einen „Live Stream“ der Daten per Terminal bekommt?
Klar ist das ein Unterschied. Aber vor allem ist es auch ein Utnerschied, ob ein Mitarbeiter eines EU-Unternehmens nach Kanada reist und dort von seinem Notebook sein VPN benutzt oder ob ein kanadischer Mitarbeiter eines Unternehmens sich in ein VPN eines eruopäischen Unternehmens einloggt.
Der erste Fall (der hier wohl nicht vorliegt) ist an sich kein Fall für den Datenschutz, sonden für die IT-Sicherheit (d.h. der Zugriff muss sicher gestaltet werden, ist aber dann rechtlich unproblematisch, und zwar egal woher, solange man nicht vermuten muss, dass das Notebook kompromittiert wurde).
Der zweite Fall ist wohl erstmal klassische AV (wenn die sonstigen Voraussetzungen vorliegen), ich verstehe das so, dass das Unternehmen in Europa sitzt und deren Mitarbeiter in Kanada? Dann müsste man das wohl im AV-Vertrag checken, ob sie das (Zugriff „außereuropäischer“ Mitarbeiter) ausreichend geregelt haben.