Das datenschutzkonforme Home-Office

Das datenschutzkonforme Home-Office

Veröffentlicht in Allgemein am 21 November 2019

Nicht nur Selbstständige, auch immer mehr Angestellte nutzen die Möglichkeit von Zuhause aus zu arbeiten. Die Anzahl der Unternehmen, die das Arbeiten im Home-Office erlauben, steigt stetig an. Während 2014 nur knapp jedes fünfte Unternehmen (22 Prozent) die Möglichkeit anbot, waren es 2016 bereits 31 Prozent. Im letzten Jahr ist die Zahl weiter auf 39 Prozent gestiegen.

Modern Workplace und mehr Flexibilität von Arbeitszeiten sind in aller Munde. Ortsunabhängiges Arbeiten stellt durch die Digitalisierung längst kein Problem mehr dar. Über VPN sind Mitarbeiter in der Lage sich problemlos ins Firmennetzwerk einzuwählen, Voice-over-IP ermöglicht das Telefonieren über die Büronummer auch von unterwegs und über diverse Meetingsoftware sind Mitarbeiter fähig, an Konferenzen und Präsentationen teilzunehmen ohne physisch vor Ort zu sein. Aber wie ist es um den Datenschutz bestellt, wenn Firmeninformationen außerhalb der Geschäftsräume verarbeitet werden? Datenschutz im Home-Office: Risiken, Verantwortungen, Haftung und Schutzmaßnahmen.

Die DSGVO erlaubt Arbeit im Home-Office, aber…

Die DSGVO schließt die Arbeit im Home-Office natürlich nicht aus, fordert von den Anwendern aber ein Mindestschutz für personenbezogene Daten, insbesondere den technischen und organisatorischen Maßnahmen. Werden personenbezogene Daten im Home-Office verarbeitet, birgt dies immer Risiken für die Persönlichkeitsrechte der betroffenen Personen. Datenmissbrauch oder eine unbefugte Einsicht der Daten ist durch Dritte viel leichter möglich. Betriebliche Sicherheitsmaßnahmen wie zum Beispiel Zutrittskontrollen können im Home-Office nur schwer realisiert werden.

Die datenschutzrechtliche Verantwortlichkeit endet nicht an der Unternehmenstür Welche Art von Daten im Home-Office verarbeitet werden, spielt bei der Beurteilung der Verantwortlichkeit keine Rolle. Es können also auch dort personenbezogene Daten verarbeitet werden. Die Datenschutz-Grundverordnung (DSGVO) entscheidet vielmehr darüber, dass derjenige „Verantwortlicher“ ist, der über den Zweck und die Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Beim klassischen Arbeitsverhältnis steht der Arbeitgeber als Unternehmen in der Pflicht, in dem er seine Weisungsbefugnis gegenüber dem Arbeitnehmer hinsichtlich der einzelnen Aufgaben und damit auch der datenschutzrelevanten Verarbeitungstätigkeiten ausübt. Auch bei freien Mitarbeitern, die oft aufgrund eines Werks- oder Dienstvertrages beschäftigt sind, bestimmt der Arbeitgeber über die Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher. Aber es gibt auch Ausnahmen. Erbringt der freie Mitarbeiter eine eigene Fachleistung, bei der die Datenverarbeitung keinen wichtigen Kernbestandteil der Tätigkeit ausmacht und nicht im Vordergrund steht, so ist dieser die verantwortliche Stelle. Auch in diesem Fall unterliegt die Verarbeitung der Daten den Regelungen der Auftragsdatenverarbeitung (Art. 28 DSGVO). Zwischen dem Unternehmen als Auftraggeber und dem freien Mitarbeiter muss also ein Vertrag über die Auftragsdatenerfassung geschlossen werden.

Die verantwortliche Stelle haftet

Für Verstöße gegen den Datenschutz haftet immer die verantwortliche Stelle. Arbeitnehmer im Home-Office können von den Behörden also nicht mit Bußgeldern bestraft werden, da der Arbeitgeber für die Verarbeitung verantwortlich ist. Es unterliegt aber dem Arbeitgeber, interne Schadensersatzansprüche zu stellen z. B. bei vorsätzlichen Verstößen.

Abschließbares Arbeitszimmer sollte Grundvoraussetzung sein

Aus Gründen des Datenschutzes ist es empfehlenswert, Arbeitnehmern für die Arbeit im Home-Office dienstliche Endgeräte zur Verfügung zu stellen und den Einsatz privater Geräte zu verbieten. Noch besser ist es, den Einsatz von privaten Geräten auch technisch zu unterbinden, sodass Arbeitnehmer nicht ungefragt auf private Endgeräte zurückgreifen können. Nur so können geschäftliche Vorgaben wie z. B. regelmäßige Updates, der Einsatz eines Virenschutzes und einer Firewall durchgesetzt werden. Darüber hinaus sollten die Festplatten von sämtlich mobilen Geräten verschlüsselt werden, damit diese vor dem Zugriff von Unbefugten geschützt sind. Neben diesen Maßnahmen sind in der häuslichen Arbeitsstätte weitere Vorkehrungen und Anweisungen erforderlich. Um den Schutz von Daten und Informationen gegenüber Dritten (z. B. Familienangehörigen) zu gewährleisten, sollten betroffene Mitarbeiter besonders geschult und sensibilisiert werden. Die Mitarbeiter müssen Maßnahmen kennen, um die Daten vor unbefugter Einsicht zu schützen. Grundvoraussetzung für ein datenschutzkonformes Home-Office sollte auch ein abschließbares Arbeitszimmer sein. Der Küchentisch ist kein Schreibtisch-Ersatz. Es ist zudem sinnvoll, für gedruckte Dokumente einen geeigneten Dokumentenschredder zur Verfügung zu stellen, damit die Dokumente vernichtet werden können und nicht als Schmier- oder Malpapier der Kinder enden. Bei besonders schutzwürdigen Daten sollte sorgfältig geprüft werden, ob und unter welchen Bedingungen sich bestimme Arbeiten erledigen lassen. Dazu zählen insbesondere Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 Absatz 1 DSGVO). Hier sollte im Einzelfall entschieden werden, ob eine Verarbeitung im Home-Office sinnvoll ist.

Lassen Sie sich umfassend beraten

Arbeitgeber und Datenschutzbehörde können um Zugang zum Home-Office Arbeitsplatz bitten. Darüber sollten sich Arbeitnehmer mit einem Home-Office Arbeitsplatz bewusst sein. Der Zugang zur privaten Wohnung ist lediglich zur Kontrolle gedacht, um prüfen zu können, ob die Datenschutzregeln eingehalten werden und die Schutzmaßnahmen getroffen wurden. Bei der Planung des Arbeitsplatzes sollte daher von Beginn der Datenschutzbeauftragte einbezogen werden. Die Schulung und Sensibilisierung der Mitarbeiter ist ebenso hilfreich. Die SkySystems Datenschutz & Compliance GmbH ist ihr Partner für die Schulung und Planung von Home-Office Arbeitsplätzen.