Immer mehr Unternehmen erlauben ihren Mitarbeitern, Teile ihrer beruflichen Tätigkeit von zu Hause oder von einem anderen Ort außerhalb des Büros aus zu erledigen – das sogenannte Home-Office.
Das jeweilige Unternehmen, welches seinen Mitarbeitern die Arbeit außerhalb des Arbeitsplatzes gestattet ist jedoch weiterhin verpflichtet die strengen Vorgaben der Datenschutz-Grundverordnung im Hinblick auf den sicheren Umgang mit personenbezogenen Daten einzuhalten Auch im Home-Office müssen daher die Voraussetzungen zur Einhaltung der bestehenden datenschutzrechtlichen Bestimmungen gegeben sein, da die Verantwortlichkeit des Unternehmens und damit ggf. auch die persönliche Haftung der Geschäftsführung bestehen bleiben.
Es empfiehlt sich daher, dass die Geschäftsführung für die Arbeit im Home- Office eindeutige und transparente Regeln aufstellt, um die Rechte und Pflichten beider Seiten klarzustellen. Dies betrifft insbesondere den einzuhaltenden Datenschutz, egal wo und auf welchem Endgerät die Mitarbeiter tätig werden.
Was fällt unter den Begriff „Home-Office“
Als Home-Office bzw. Telearbeit gelten Arbeitsformen, bei denen Beschäftigte / Mitarbeiter zumindest einen Teil ihrer Aufgaben nicht an dem von ihrem Arbeitgeber zur Verfügung gestellten Arbeitsplatz verrichten, sondern an anderer Stelle, in den meisten Fällen in ihrer eigenen Wohnung. Nicht unter den Begriff Telearbeit fallen Tätigkeiten, die wegen der besonderen Art ihrer Ausübung an keinem festen Arbeitsplatz erledigt werden (z. B. Handelsvertreter).
Home-Office und Datenschutz
Die Verlagerung von Tätigkeiten in den häuslichen Bereich, bei denen personenbezogene Daten verarbeitet werden, bringt zwar deutliche Freiheiten für den jeweiligen Beschäftigten / Mitarbeiter, birgt jedoch auch Risiken für die Persönlichkeitsrechte der betroffenen Personen, da Datenmissbrauch oder eine unzulässige Einflussnahme durch Dritte – auch wegen den eingeschränkten Kontrollen und Einflussmöglichkeiten des Arbeitgebers – leichter möglich ist. Betroffene Personen sind dabei die Personen deren Daten verarbeitet werden.
Die Entscheidung, ob Home-Office im Unternehmen möglich ist, muss die Geschäftsführung des Unternehmens deshalb eigenverantwortlich selbst treffen.
Sofern ein Unternehmen seinen Beschäftigten / Angestellten Home-Office gestattet, sollte insbesondere folgende Aspekte berücksichtigt werden:
Technische und organisatorische Maßnahmen
Der Schutz von personenbezogenen Daten betroffener Personen sollte durch angemessene technisch-organisatorische Maßnahmen und entsprechende Kontrollmöglichkeiten des Arbeitgebers vor Ort gewährleistet sein.
Dabei sollte stets folgender Grundsatz eingehalten werden:
„Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie durch technische und organisatorische Maßnahmen zu schützen“.
Daten, die besonders schützenswert sind, sind insbesondere:
- Beschäftigtendaten
- Sozialdaten nach § 67 Sozialgesetzbuch X (SGB X)
- Angaben nach Art. 9 DS-GVO (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum oder der sexuellen Orientierung einer natürlichen Person)
Sind also im Rahmen einer konventionellen Verarbeitung besonders schutzbedürftige Daten betroffen, sollte von der Wahrnehmung der Tätigkeit im Home-Office abgesehen werden oder dem jeweiligen Beschäftigten / Mitarbeiter strenge Regularien zu dem Umgang mit personenbezogenen Daten auferlegt werden.
Bei einer Datenverarbeitung im Auftrag (Art. 28 DS-GVO) sollte die Möglichkeit von Home-Office beim Auftragnehmer grundsätzlich nicht zugelassen werden. Das Sicherheitsrisiko ist bei dieser Art der Datenverarbeitung sehr hoch und die Kontrollmöglichkeiten der verantwortlichen Stelle sind sehr eingeschränkt.
Sensibilisierung der Beschäftigten / Mitarbeiter
Da Beschäftigte / Mitarbeiter in der häuslichen Arbeitsstätte und auch beim Arbeiten unterwegs den Schutz von Daten und Informationen gegenüber Dritten (z. B. Familienangehörigen) zu gewährleisten haben, sollten sie bezüglich datenschutzrechtlicher Belange besonders geschult und sensibilisiert sein, um einen Blick für den Schutz der Daten zu entwickeln. So müssen Mitarbeiter Maßnahmen kennen, um vertrauliche Daten und Informationen vor Einsicht und Zugriff Dritter zu schützen, wie z. B. die Ausrichtung des Monitors, die Verwendung eines Blickschutzfilters oder die Einrichtung eines automatischen, passwortgeschützten Bildschirmschoners.
Regelungen zum Umgang mit gedruckten Dokumenten
Nicht zu vernachlässigen sind Regelungen zum Umgang mit gedruckten Dokumenten, z. B. dass diese nach deren Nutzung zu schreddern sind und keinesfalls als Schmier- noch Malpapier für Kinder zweckentfremdet werden sollten.
Risiken bei den Arbeitsabläufen
Bei einer voll elektronischen Datenübermittlung sind Maßnahmen zur Sicherung der Vertraulichkeit und Authentifizierung der Kommunikationspartner nach dem Stand der Technik (Verschlüsselungsverfahren etc.) erforderlich.
Das Risiko kann darüber hinaus minimiert werden, wenn durch den Arbeitgeber im Rahmen der erforderlichen technisch-organisatorischen Maßnahmen (Art 32 DS-GVO) zumindest die folgenden Vorgaben erfüllt sind:
- Separates, abschließbares Arbeitszimmer,
- Trennung zwischen beruflichem und privaten (Internet-)Anschluss,
- Zugang des Berechtigten zu den sensiblen personenbezogenen Daten nur mit BenutzerID und PIN oder Karte
- Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
- Verschlüsselung der Daten (Ende-zu-EndeSicherheit)
- Zugangsmöglichkeit des Arbeitgebers und dessen Beauftragten für den Datenschutz sowie der zuständigen Datenschutzaufsichtsbehörde zum Home-Office Arbeitsplatz und dessen IT-Einrichtungen zu Kontrollzwecken unter Berücksichtigung des Art. 13 GG
- Sperrung von USB-Zugängen und anderen Anschlüssen
- Datensicherheit beim IT-Einsatz (bspw. zusätzliche Verschlüsselung der Festplatte des mobilen Geräts)
- falls erforderlich, sichere Anbindung eines lokalen Druckers (kein Netzwerkdrucker, kein WLAN-Drucker, kein online-Drucker) in unmittelbarer Nähe des Arbeitsplatzes mit Protokollierung von häuslichen Druckvorgängen.
Zur Klarstellung der einzelnen Rechte und Pflichten beider Seiten wird deshalb empfohlen, die Verantwortlichkeiten im Umgang mit personenbezogenen Daten umfassend vertraglich festzulegen. Dabei sollte insbesondere berücksichtigt werden, dass
- ob (und wenn ja wie) eine private Nutzung der vom Arbeitgeber zur Verfügung gestellten IT-Ausstattung zulässig ist,
- private Hard- und Software nicht eingesetzt werden soll,
- berufliche E-Mails und Telefonate nicht auf private Postfächer oder private Telefonanschlüsse/ Handys der Telearbeiter umgeleitet werden dürfen,
- geeignete häusliche Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten vorhanden sein müssen,
- die mit dem Beschäftigten / Mitarbeiter in häuslicher Gemeinschaft lebenden Personen keinen Zugriff auf dienstliche Unterlagen haben dürfen (die hierfür erforderlichen Sachmittel, z. B. verschließbare Einrichtungsgegenstände, sind vom Arbeitgeber zur Verfügung zu stellen. Dies sollte auch die Möglichkeit beinhalten, Daten vor Ort datenschutzgerecht vernichten zu können).