Datenschutz im Home-Office in Zeiten von Corona: Hierauf sollten Sie achten!

Nicht selten geschieht dies nun entgegen der bislang üblichen Praxis erstmalig und aufgrund einer in der Regel ad hoc getroffenen Entscheidung. Zu beachten ist jedoch, dass auch im Home-Office dieselben datenschutzrechtlichen Anforderungen gelten, wie in dem Betrieb des Arbeitgebers, von dem aus normalerweise die Arbeit erledigt wird. Als Arbeitgeber bleiben Sie der datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Ziffer 7 Datenschutzgrundverordnung (DSGVO), wenn Ihr Arbeitnehmer im Home-Office bei der Erbringung seiner Arbeitsleistung personenbezogene Daten verarbeitet. Sie müssen daher sicherstellen, dass auch bei der Tätigkeit im Home-Office die datenschutzrechtlichen Anforderungen der DSGVO eingehalten werden. Im eigenen Interesse gilt dies gleichermaßen für die übrigen schützenswerten Daten Ihres Unternehmens (Finanzen, Verwaltung, Marketing, Technik, Legal).

Grundsätzlich gilt: Der Datenschutz schließt Arbeiten im Home-Office selbstverständlich nicht grundsätzlich aus. Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit von Telearbeit im Home-Office gibt es indes nicht. Die konkrete Ausgestaltung ist abhängig vom Einzelfall. Gerade bei besonders schützenswerten personenbezogenen Daten (sensible Daten, wie auch Gesundheitsdaten) ist nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Home-Office nur unter strengen Voraussetzungen vertretbar.

Der Arbeitgeber muss in jedem Fall sicherstellen, dass die Daten rechtmäßig verarbeitet werden und der Schutz der Daten durch angemessene technisch-organisatorische Maßnahmen und entsprechende Kontrollmöglichkeiten des Arbeitgebers auch im Home-Office des Arbeitnehmers gewährleistet ist.

Klare Home-Office Regelungen dürfen daher nicht fehlen.

Zu den technischen und organisatorischen Maßnahmen etwa zählt auch im Home-Office, den Zutritt zu den Datenverarbeitungsanlagen, eine Nutzung der Datenverarbeitungssysteme und einen Zugriff auf personenbezogene Daten im System durch unbefugte Dritte zu verhindern. Ein Verschlüsselungssystem wie auch eine gesicherte Verbindung zum Netzwerk des Arbeitgebers, etwa über Virtual Private Network (VPN-Verbindung), können beispielsweise Abhilfe schaffen. Maßnahmen der Zutrittskontrolle sind u. a. ausreichend sichere Schlösser und Schließsysteme am Eingang der Wohnung sowie interne Zugangshindernisse (abschließbare Räume und Schränke, die einen Zugriff von eigenen Familienangehörigen und sonstigen unbefugten Dritten verhindern).

In einer entsprechenden Home-Office-Regelung wird der Arbeitnehmer daher unter anderem zu Folgendem angehalten werden müssen:

• Schaffung von Zugangshindernissen zu Geräten, Datenträgern und Dokumenten

• Einhaltung von Passwortregelungen und Verschlüsselungstechniken sowie Bildschirmsperrung bei Abwesenheit

• Sicherung des zu Hause genutzten WLAN mit einem sicheren Passwort

• Sicherer Transport von Dokumenten und Datenträgern sowie sonstigen Arbeitsmitteln

• Trennung privater und dienstlicher Anwendungen

• Bei vom Unternehmen zur Verfügung gestellten Geräten: Bei Verlassen des Hauses Ausschalten des Laptops und Aufbewahrung an diskretem Ort, Laptop nicht unbeobachtet an einem offenen Ort zurücklassen

Da der Arbeitgeber die Verantwortung zur Einhaltung datenschutzrechtlicher Vorschriften nicht vollständig auf den Arbeitnehmer delegieren kann, bleibt er stets selbst verantwortlich und muss sich aus diesem Grund eigene Kontrollmöglichkeiten sichern. Ein Zugangsrecht zu dem Home-Office-Arbeitsplatz sollte daher in der Home-Office-Regelung ebenfalls vorbehalten bleiben.

Grundsätzlich sollten darüber hinaus folgende potenziellen Schwachstellen beachtet werden:

• Vermeiden Sie soweit wie möglich, dass der Arbeitnehmer Arbeitsmittel nutzen muss, die nicht von Ihnen als Arbeitgeber zur Verfügung gestellt wurden.

• Ermöglichen Sie dem Arbeitnehmer eine Verbindung zu den Unternehmensressourcen nur über VPN (s.o.) oder über eine gesicherte Cloud.

• Keine Weiterleitung beruflicher E-Mails auf private/persönliche Mailbox

• Sensible Anrufe oder Videokonferenzen nur im geschützten Bereich führen. Die professionelle Diskretion gilt weiterhin.

‍Sprechen Sie uns an, damit wir Sie auch in dieser Fragestellung und bei der kurzfristigen Erstellung der erforderlichen Home-Office-Vereinbarungen bestmöglich unterstützen können. Denn zur andauernden Gesundheitskrise sollte keine Datenschutzkrise hinzukommen.‍

Informationen zu arbeitsrechtlichen Grundlagen im Home-Office finden Sie hier.