Die Corona-Pandemie beschert derzeit dem Trend zum Home Office großen Aufwind. Möglichst viele Arbeitnehmer sollen von Zuhause aus arbeiten, um einer weiteren Ausbreitung entgegenzuwirken. Unzweifelhaft werden es auch in naher Zukunft mehr werden. Denn bereits vor Corona hat sich Home Office zunehmender Beliebtheit erfreut und viele Arbeitnehmer arbeiten zumindest gelegentlich von Zuhause.
Was auf den ersten Blick eine komfortable Alternative zum Weg ins Büro darstellt, bietet jedoch auch seine Tücken, wenn es um den Datenschutz geht. In diesem Zusammenhang kann der Wechsel des Arbeitsplatzes in die heimischen vier Wände weitreichende negative Folgen nach sich ziehen, die insbesondere für den Arbeitgeber unangenehm werden können. Was im Normalfall von Unternehmensseite von langer Hand geplant und vorab meist getestet wird, findet unter den derzeitigen Umständen teilweise von jetzt auf gleich Anwendung. Der folgende Beitrag soll Aufschluss über die Maßnahmen bieten, die nun getroffen werden müssen, um einem Verstoß gegen die Datenschutzgrundverordnung (DS-GVO) entgegenzuwirken.
Wer haftet bei unzulässigem Umgang mit Informationen im Home Office?
Die Einhaltung der Datenschutzgrundverordnung ist bei jeglicher Verarbeitung personenbezogener Daten gemäß Art. 1 Abs. 1 DS-GVO erforderlich. Eine solche liegt bei nahezu jedem Umgang mit Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO), vor. Die Einhaltung des Datenschutzrechts obliegt stets dem für die Datenverarbeitung Verantwortlichen und somit gemäß Art. 4 Nr. 7 DS-GVO demjenigen, der über die Zwecke und Mittel der Datenverarbeitung entscheidet. Dies ist regelmäßig der Arbeitgeber, welcher eine Weisungsbefugnis gegenüber dem Arbeitnehmer innehält. Letzterer ist zwar während seiner Arbeit in direktem Kontakt mit den personenbezogenen Daten, muss sich allerdings den Weisungen seines Arbeitgebers hinsichtlich des Umgangs mit diesen beugen.[1]
Das Unternehmen als Verantwortlicher haftet daher für Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten. Daher muss es auch Bußgelder bezahlen, sollten welche von einer Datenschutzaufsichtsbehörde aufgrund eines Verstoßes verhängt werden. Regress beim Arbeitnehmer kann er höchstens im Innenverhältnis über eine (eingeschränkte) Arbeitnehmerhaftung nehmen.[2]
Notwendig zur DS-GVO-Konformität: Technische und organisatorische Maßnahmen
Damit die Datenverarbeitung eines sich im Home Office befindendlichen Mitarbeiters zulässig ist, muss das Unternehmen als verantwortliche Stelle gemäß Art. 24 Abs. 1 DS-GVO geeignete technische und organisatorische Maßnahmen nach Art. 32 DS-GVO umsetzen. Dabei müssen die Art der Daten, ihr Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt werden. Insbesondere bei besonders sensiblen Daten sollte zunächst grundsätzlich hinterfragt werden, ob eine Datenverarbeitung unbedingt erforderlich ist, oder auch auf sie verzichtet werden kann. Ist sie unerlässlich, sollte bei der Datenverarbeitung nur das absolute Mindestmaß an Daten mit der geringstmöglichen Anzahl von Verarbeitungsvorgängen verarbeitet werden. Bei den besagten Daten handelt es sich um Informationen etwa über die rassische und ethnische Herkunft, Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
Es empfehlen sich als technische Maßnahmen, die Online-Kommunikation über eine geschützte Verbindung zum Firmennetzwerk über eine VPN-Verbindung (Virtual Private Network) zu tätigen, den Zugang für den Berechtigten nur mit einem PIN zu ermöglichen und einen hardwarebasierten Vertrauensanker in Gestalt einer Zwei-Faktor-Authentifizierung einzusetzen.[3] Dazu sollten Daten verschlüsselt sein (Ende-zu-Ende-Verschlüsselung), USB-Zugänge und andere Anschlüsse sollten gesperrt werden und eine Anbindung an betriebsfremde Drucker unterlassen werden.[4] Außerdem dürfen berufliche E-Mails nicht an private Postfächer umgeleitet werden.[5] Personenbezogene Daten, die in Papierform statt digital aufbewahrt werden, sollten abgeschlossen aufbewahrt werden. Bei der Entsorgung dieser muss zudem darauf geachtet werden, dass etwa E-Mail-Ausdrucke oder Notizen sachgerecht mit Hilfe von Aktenvernichtern entsorgt werden.[6] Grundsätzlich bieten sich Löschkonzepte an, da auch beim Umgang mit Daten außerhalb der Betriebsräume darauf geachtet werden muss, dass diese nur so lange wie erforderlich gespeichert werden und insbesondere nach Begehren einer Löschung durch den Betroffenen nicht weiterhin gespeichert bleiben, um den Löschpflichten gemäß Art. 17 Abs. 1 DS-GVO zu entsprechen.
Nach Möglichkeit sollte auf den Besitz personenbezogener Daten in Papierform verzichtet und eine voll elektronische Datenverarbeitung ohne Medienbruch betrieben werden.[7] Demnach sollte jegliche Kommunikation, Entgegennahme von Aufgaben und Übermittlung von Arbeitsergebnissen automatisiert durch die Nutzung von IT-Einrichtungen und über verschlüsselte elektronische Kommunikationswege ablaufen.[8]
Die Einhaltung dieser Maßnahmen darf und muss der Arbeitgeber regelmäßig überprüfen. Dieses Erfordernis steigt insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten.[9] Durch die Implementierung weiterer geeigneter technischer und organisatorischer Maßnahmen muss sichergestellt werden, dass es dem Arbeitgeber möglich ist, eine datenschutzwidrige Nutzung zu erkennen. Dies kann beispielsweise durch die Protokollierung der Arbeit an einem mobilen Gerät und die Nutzung eines Mobile Device Managements erfolgen.[10]
Unbedingt vermeiden: Die Vermischung von Privatem und Beruflichem
Bei der Arbeit von Zuhause aus muss stets gewährleistet sein, dass keine unbefugten Personen Zugang zu personenbezogenen Daten erhalten, da dies einen unzulässigen Verarbeitungsvorgang darstellt. Wird sich Wohnraum mit anderen Personen geteilt, sollte der Arbeit daher in einem abgeteilten und abschließbaren Arbeitszimmer nachgegangen werden. Zudem sollte es Dritten nicht möglich sein, betriebliche Telefonate mitzuhören oder Zugang zu jedweden betrieblichen Informationen zu erhalten.[11] Ebenfalls ist eine strikte Trennung der beruflichen und privaten Hard- und Software erforderlich.[12]
Weiterhin sollte das Arbeitsgerät auch bei nur kurzem Verlassen des Arbeitsplatzes gesperrt werden (etwa durch einen Bildschirmschoner, der den Bildschirm bereits nach kurzer Inaktivität sperrt) und Datenträger durch Verschlüsselung vor dem Zugriff von Unberechtigten geschützt werden.[13] Von der Verwendung von privaten USB-Sticks oder anderen externen Speichermedien für die Übertragung von Daten ist abzusehen, da Unternehmensdaten sich weder kurzzeitig, noch über einen längeren Zeitraum auf privaten Geräten befinden sollten.[14]
Welche Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer sind erforderlich?
Sollte der Arbeitgeber ein solches begehren, ist eine vertragliche Vereinbarung über ein Zutrittsrecht des Arbeitgebers für die Wohnung des Arbeitnehmers zu schließen, da dies ansonsten aufgrund des Grundrechts auf Unverletzlichkeit der Wohnung (Art. 13 GG), welches sich auch auf das Privatrecht durchschlägt, nicht möglich ist.[15] Im Rahmen einer solchen Vereinbarung wäre zudem das Einverständnis der Personen einzuholen, welche in einer häuslichen Gemeinschaft mit dem Arbeitnehmer zusammenleben. Weiterhin sollten der behördliche und der betriebliche Datenschutzbeauftragte in die Vereinbarung einbezogen werden.[16]
Fazit: Datenschutz kann auch im Home Office gewährleistet werden
Das Datenschutzrecht steht somit dem Home Office nicht entgegen, allerdings muss eine Datenverarbeitung von Abwägungen und Maßnahmen flankiert werden. Vertragliche Vereinbarungen zwischen Unternehmen und Arbeitnehmern bieten dabei die nötige Sicherheit für beide Parteien. Damit der Arbeitnehmer um seine Rechte und Pflichten weiß, sollten zudem Datenschutzgrundsätze in Betriebsvereinbarungen festgelegt werden und vor Antritt des Home Office eine datenschutzrechtliche Belehrung stattfinden, um den Mitarbeiter für die möglichen Gefahren zu sensibilisieren.
Existiert ein betrieblicher Datenschutzbeauftragter, sollte dieser bei der Umstellung auf Home Office eingebunden werden und die Implementierung der Maßnahmen mit seiner Expertise begleiten.[17]
Es ist ebenfalls eine bewusste Trennung zwischen Beruflichem und Privatem vorzunehmen, sowie durch Maßnahmen der Verschlüsselung zu gewährleisten, dass Dritte sich keinen Zugang zu beruflichen Daten verschaffen können. Bei der Verwendung von Softaware sollte diese auf dem aktuellsten technischen Stand sowie mit Virenscannern ausgestattet sein.
Es muss eine Abwägung hinsichtlich der Schutzwürdigkeit der personenbezogenen Daten mit den Möglichkeiten, die zum Schutz dieser im Home Office betrieben werden können, stattfinden. Stellt sich heraus, dass ein solcher nur unzureichend gewährleistet werden kann, muss von einer Arbeit mit diesen abgesehen werden. Können jedoch im Rahmen der Tätigkeiten im Home Office die erforderlichen Maßnahmen implementiert werden, steht einer erfolgreichen und rechtssicheren Arbeit in den eigenen vier Wänden nichts entgegen.
[1] Kurzböck, Datenschutz im Home Office: Verantwortlichkeit, Haftung und Regelungsbedarf, efarbeitsrecht.net, 25. Juni 2019 (zuletzt abgerufen am: 06.04.2020).
[2] Kurzböck, Datenschutz im Home Office: Verantwortlichkeit, Haftung und Regelungsbedarf, efarbeitsrecht.net, 25. Juni 2019 (zuletzt abgerufen am: 06.04.2020).
[3] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 14.
[4] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 14.
[5] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 14.
[6] PrivacyXPerts, Datenschutz im Home Office – die Richtlinien der DSGVO einfach erklärt, privacyxperts.de, 19. Juni 2019 (zuletzt abgerufen am: 06.04.2020).
[7] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 11.
[8] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 11.
[9] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 16.
[10] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 16.
[11] Mertin, Home Office: Datenschutz bei der Arbeit von Zuhause, datenschutzbeauftragter-info.de, 7. Dezember 2015 (zuletzt abgerufen am: 06.04.2020).
[12] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 18.
[13] PrivacyXPerts, Datenschutz im Home Office – die Richtlinien der DSGVO einfach erklärt, privacyxperts.de, 19. Juni 2019 (zuletzt abgerufen am: 06.04.2020).
[14] PrivacyXPerts, Datenschutz im Home Office – die Richtlinien der DSGVO einfach erklärt, privacyxperts.de, 19. Juni 2019 (zuletzt abgerufen am: 06.04.2020).
[15] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 17.
[16] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 17.
[17] BfDI, Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Januar 2019, S. 19.