Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


3.4.2020

Corona-Pandemie – Datenschutzrechtskonformes Homeoffice

Derzeit wird in vielen Unternehmen das „Arbeiten von zu Hause aus“, also das Homeoffice, mehr als in der Vergangenheit praktiziert. Diese Arbeitsform hat in mehrfacher Hinsicht Vor- und Nachteile – sowohl für die Arbeitsgeber als auch für die Beschäftigten eines Unternehmens. Dabei sind auch viele rechtliche Aspekte zu beachten, z.B. individual- und kollektivarbeitsrechtlich in Bezug auf Arbeitszeit, Arbeitsschutz, Mitbestimmung, aber gerade auch datenschutzrechtliche Punkte.

Hintergrund

Der datenschutzrechtliche Rahmen für Homeoffice ergibt sich in erster Linie – wie immer – aus der Datenschutz-Grundverordnung (DSGVO). Artikel 24 Abs. 1 und Artikel 32 DSGVO enthalten die Verpflichtung des Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen und nachweisen zu können, dass die Verarbeitung in Einklang mit der DSGVO steht und die Maßnahmen wirksam sind.

Die Maßnahmen sind auf der Grundlage eines risikobasierten Ansatzes festzulegen und umzusetzen. Hierzu bedarf es einer Risikoanalyse. Es gibt keinen verbindlichen Mindeststandard oder Katalog mit Maßnahmen. Die datenschutzrechtlichen Anforderungen werden von den Risiken abhängig gemacht, die von einer konkreten Verarbeitung ausgehen. Dabei sind Art, Umfang, Umstände und Zwecke der Verarbeitung einschließlich der Kategorien der personenbezogenen Daten zu berücksichtigen und Risikoszenarien zu entwerfen, die an die tatsächlichen Rahmenbedingungen beim Homeoffice anknüpfen.

Die Risikoanalyse sollte idealerweise gemeinsam mit den Kollegen der Informations- bzw. IT-Sicherheit erfolgen. Andernfalls sind divergierende Ergebnisse und Maßnahmen denkbar. Die Überschneidung von Informations- bzw. IT-Sicherheit und Datenschutz ist an keiner anderen Stelle größer als bei den technischen und organisatorischen Maßnahmen. Allerdings ist bei der Risikoanalyse zu beachten, dass der Schutzgegenstand unter datenschutzrechtlichen Gesichtspunkten die Rechte und Freiheiten natürlicher Personen sind. Hierzu zählt nicht nur das Recht auf informationelle Selbstbestimmung, sondern beispielsweise auch das Recht auf Achtung des Privat- und Familienlebens und das Eigentumsrecht, die z.B. bei Rufschädigung, möglichen finanziellen Verlusten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen gefährdet sein können.

Die im Wege der Risikoanalyse festgelegten Maßnahmen und Vorgaben sind zu einem Großteil von den Beschäftigten im Homeoffice selbst umzusetzen bzw. zu befolgen, z.B. Nutzen von Sichtschutzfolien auf Laptop-Displays oder Einhalten der Vorgabe, keine privaten Endgeräte zu nutzen. Daher kann eine wirksame Umsetzung, aber auch der gesetzlich vorgesehene Nachweis vom Verantwortlichen nur erbracht werden, wenn die Beschäftigten zur Umsetzung der in ihren Verantwortungsbereich fallenden Maßnahmen und zur Einhaltung korrespondierenden Vorgaben verbindlich verpflichtet werden.

Weiterhin sollte in diesem Rahmen eine Sensibilisierung der Beschäftigten erfolgen, die über die formale Verpflichtung hinausgeht. Das kann in Form eines Merkblatts mit konkreten Hinweisen und Beispielen geschehen, das eine Anlage zu der (Arbeits-)Richtlinie oder einer konkreten Vereinbarung über das Homeoffice sein kann.

Schließlich müssen die Regelungen für das Homeoffice sowie deren Einhaltung und Wirksamkeit regelmäßig überprüft und bei Bedarf angepasst werden.

Hinweise für die Praxis

Bei der Festlegung der technischen und organisatorischen Maßnahmen gibt es eine Vielzahl von Anknüpfungspunkten. Sie reichen zum Beispiel von der Frage, ob und wie mit Papierdokumenten und Datenträgern umgegangen wird, über das Thema der eingesetzten IT-Geräte bis zu den Rahmenbedingungen der Kommunikation. Jede dieser Fragen tangiert wiederum eine Vielzahl von Aspekten, die nachstehend lediglich beispielhaft und nicht abschließend angerissen werden.

  • Papierdokumente und Datenträger: Welche Dokumente dürfen ins Homeoffice mitgenommen werden? Dabei ist nicht nur der Inhalt der Dokumente (Kategorien der Daten), sondern auch zu berücksichtigen, ob es sich um Originale handelt, welche Relevanz dieser Umstand hat und ob es Kopien gibt. Weiter bedarf es Vorgaben für den Umgang mit Dokumenten und Datenträgern, z.B. hinsichtlich Verwahrung/Verschluss, Vernichtung, Rückgabe.
  • IT-Equipment: Welche Geräte dürfen für betriebliche Zwecke genutzt werden? Das sind idealerweise nur Geräte des Unternehmens. In diesem Fall muss auch geregelt werden, ob und in welchem Umfang betriebliche Geräte auch für private Zwecke genutzt werden dürfen. Im umgekehrten Fall muss ganz konkret bestimmt werden, wie der dienstliche Einsatz privater Geräte erfolgen soll, z.B. welche Anwendungen genutzt werden dürfen. In beiden Konstellationen ist zu spezifizieren, wie private und dienstliche Daten zu trennen sind.
  • Rahmenbedingungen der Kommunikation: Welche Kommunikationskanäle (E-Mail, Fax, Telefon etc.) dürfen genutzt werden und unter welchen Rahmenbedingungen? Beispielsweise sollten dienstliche Telefonate nicht im voll besetzten Wohnzimmer stattfinden.

Empfehlungen und Maßnahmen zur Etablierung von sicheren Arbeitsplätzen im Homeoffice gibt beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den jeweiligen Bausteinen des IT-Grundschutz-Kompendiums, auf das Sie hier direkt zugreifen können. Für ein kurzfristiges Ergreifen von Maßnahmen eignen sich die Tipps für sicheres mobiles Arbeiten“ des BSI, die auch für einen „Quick-Check“ bereits vorhandener Maßnahmen verwendet werden können. In jedem Fall sollte bei den BSI-Dokumenten berücksichtigt werden, dass es sich hier grundsätzlich um einen sicherheitstechnischen Ansatz handelt. Daher muss im Rahmen der Risikoanalyse und den korrespondieren Schutzmaßnahmen noch die datenschutzrechtliche Besonderheit beachtet werden, dass der Schutzgegenstand die Rechte der betroffenen Person sind (s.o. im Abschnitt „Hintergrund“).

Daher lohnt sich auch ein Blick auf Arbeitshilfen und Orientierungshilfen der Datenschutzaufsichtsbehörden. Sie können ebenfalls eine gute Hilfe bieten, um kurzfristig die Maßnahmen zu ergreifen, die datenschutzrechtlich erforderlich sind. Beispielhaft soll an dieser Stelle die „Mindestanforderungen an ein datenschutzgerechtes Homeoffice“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit genannt werden.

Vergessen Sie nicht, die konkreten Maßnahmen verbindlich zu machen. Die Umsetzung der Maßnahmen und die Einhaltung korrespondierender Vorgaben müssen verpflichtend sein. Für die verbindliche Festlegung bietet sich die Form einer (Arbeits-) Richtlinie an. Das kann aber auch im Rahmen einer etwaigen arbeitsvertraglichen Vereinbarung über das Homeoffice erfolgen.

Schließlich sollten Sie der Sensibilisierung der Beschäftigten als wesentliche Maßnahme hinreichend Gewicht einräumen. Die besten Vorgaben nützen nichts, wenn sie von den Beschäftigten mangels Kenntnis oder Bewusstsein nicht umgesetzt werden. Das gilt auch für Aspekte, die nicht spezifisch für das Homeoffice sind, aber in Zeiten wie diesen besonders relevant sind, z.B. der Umgang mit E-Mails der Kategorien Spam, Phishing, Viren und andere bösartige Software, die das Thema Corona zum Gegenstand haben.

Sollten Sie Fragen zum datenschutzrechtskonformen Homeoffice oder zu sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht