Datenschutz und Auslandsreise.

Moderator: FDR-Team

Antworten
sumselkawumsel
Topicstarter
FDR-Mitglied
Beiträge: 54
Registriert: 08.12.13, 21:45

Datenschutz und Auslandsreise.

Beitrag von sumselkawumsel »

Guten Tag, ich habe eine Frage zur Anwendbarkeit des Passus "Übertragung personenbezogener Daten in ein Drittland".

Folgendes Szenario:

Eine Person P unterhält einen Auftragsdatenverarbeitungsvertrag mit einem Verantwortlichen V. Der Verantwortliche V unterliegt der DSGVO und der Auftragsdatenverarbeitungsvertrag wurde gemäß Artikel 28 DSGVO ausgestellt.

Person P ist Staatsbürgerin eines europäischen Landes. Während des Aufenthaltes im europäischen Raum stellt sich keine Frage nach Datenübemittlung in ein Drittland.

Nun reist P in ein Drittland. Dort nimmt sie ihre Aufgaben als Verarbeiterin personenbezogener Daten gemäß Vertrag wahr.

Folgende Unterszenarien könnten eintregen:
a) Verantwortlicher V schickt eine Email in der sich personenbezogene Daten befinden. (An dieser Stelle einmal ungeachtet der offenen Natur des Emailverkehrs - unterstellen wir angemessene Sicherheit der Übertragung.) P sichtet diese Mail, während sie sich im Drittland befindet. Ist das eine Übertragung personenbezogener Daten an ein Drittland?

b) Verantwortlicher V richtet einen Citrix Server ein, mit einem virtuellen Desktop für Person P. P loggt sich aus dem Drittland in dieses System ein, mittels VPN, und sichtet personenbezogene Daten aus ihrem Hotelzimmer im Drittland, die sich auf dem Server des Verantwortlichen befinden. Ist das eine Übertragung personenbezogener Daten an ein Drittland? Immerhin werden sie auf einem Bildschirm im Drittland visuell dargestellt. Oder ist es keine Übertragung, da die Daten ja nur angeschaut werden, wie durch ein Fernglas?

Ich versuche mich hier zu orientieren. Mir ist nicht ganz einleuchtend, was genau mit der "Übertragung an ein Drittland" gemeint ist. Immerhin sendet man ja keine Daten an das Land schlechthin. Man sendet ja immer an bestimmte Empfänger, die sich in diesem Land aufhalten. Und zwar teils solche die fest in diesem Land residieren, vielleicht aber auch an Reisende, die sich temporär in diesem Land aufhalten. Mir scheint es eine ganz andere Situation zu sein, ob man ein Datenpaket zur Verarbeitung an eine Firma mit Sitz im Drittland und Mitarbeitern aus dem Drittland schickt, oder ob ein Datenpaket von einem inländischen Staatsbürger während seines Aufenthaltes in einem Drittland angeschaut wird.

Ob ich mich hier nun täusche oder nicht, kann mir vielleicht jemand erläutern der das Thema durchdrungen hat.

Besten Dank vorab!

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: Datenschutz und Auslandsreise.

Beitrag von michael61s »

sumselkawumsel hat geschrieben:a) Verantwortlicher V schickt eine Email in der sich personenbezogene Daten befinden. (An dieser Stelle einmal ungeachtet der offenen Natur des Emailverkehrs - unterstellen wir angemessene Sicherheit der Übertragung.) P sichtet diese Mail, während sie sich im Drittland befindet. Ist das eine Übertragung personenbezogener Daten an ein Drittland?
Das kommt darauf an, welche Daten in der E-Mail stehen.
sumselkawumsel hat geschrieben:b) Verantwortlicher V richtet einen Citrix Server ein, mit einem virtuellen Desktop für Person P. P loggt sich aus dem Drittland in dieses System ein, mittels VPN, und sichtet personenbezogene Daten aus ihrem Hotelzimmer im Drittland, die sich auf dem Server des Verantwortlichen befinden. Ist das eine Übertragung personenbezogener Daten an ein Drittland? Immerhin werden sie auf einem Bildschirm im Drittland visuell dargestellt. Oder ist es keine Übertragung, da die Daten ja nur angeschaut werden, wie durch ein Fernglas?
Auch hier kommt es auf die Einstellungen im Citrix Client an. Angenommen, in den Einstellungen des Clients ist geregelt, dass keine Daten auf dem Computer gespeichert werden, und während der Citrix Sitzung der Datenverkehr nur durch den VPN Tunnel geht, ist nicht von einer Verarbeitung von Daten in einem Drittland zu sprechen.

Aber um das genau zu beurteilen, müsste man weitere Informationen haben.
Daher das Gespräch mit einem Anwalt oder Datenschutzbeauftragten führen.

Antworten