ePrivacy berät Unternehmen bei der Erstellung einer Home-Office-Richtlinie

Unter Begriffen wie Home-Office, Telearbeit oder auch Mobile Arbeit sind flexible Arbeitsformen zu verstehen, bei welcher die Beschäftigten ihre Arbeit vollumfänglich oder teilweise aus dem privaten Umfeld heraus ausführen. In den vergangenen Monaten der Corona-Pandemie wurden diese Modelle zunehmend praktiziert, eine klare ggf. auch einheiltiche Regelung dazu gab es bis heute allerdings nicht.

Referentenentwurf für ein „Mobile-Arbeit-Gesetz“ (MAG)
Das Bundesministerium für Arbeit und Soziales hat nun kürzlich einen Referentenentwurf für ein „Mobile-Arbeit-Gesetz“ (MAG) vorgelegt mit dem Ziel der Schaffung rechtlicher Rahmenbedingungen zur Förderung und Erleichterung mobiler Arbeit. Dort heißt es:

„Die Bundesregierung hat sich dabei zum Ziel gesetzt, mobile Arbeit zu fördern und zu erleichtern und hierfür einen rechtlichen Rahmen zu schaffen. Mobile Arbeit kann die Motivation und die Arbeitszufriedenheit von Arbeitnehmerinnen und Arbeitnehmern steigern. Damit bietet sie Unternehmen die Möglichkeit, ihre Arbeitgeberattraktivität zu erhöhen und Fachkräfte an sich zu binden.
 
Mobile Arbeit trägt außerdem zu einer besseren Vereinbarkeit von Beruf und Privatleben bei und kann Pendelzeiten reduzieren. Obwohl mobile Arbeit bei immer mehr Tätigkeiten möglich ist, nutzen Arbeitgeber dieses Potential noch zu wenig. Es ist daher ein wichtiges arbeits- und familienpolitisches Anliegen, dass Arbeitnehmer*innen freiwillig ortsflexibel arbeiten können und dies auch in den Betrieben gefördert wird.“

Vereinbarkeit von Home-Office/Mobile Arbeit und Datenschutz
Im Vorfeld einer Übereinkunft bzw. vertraglichen Regelung für die Tätigkeit im Home-Office sollte unter Berücksichtigung der Arten der zu verarbeitenden Daten, ihres Umfangs und ihres Verwendungszusammenhangs sorgfältig und differenziert geprüft werden, ob die Wahrnehmung der jeweiligen Aufgaben im Rahmen des Home-Office datenschutzrechtlich vertretbar ist.
 
Da das Unternehmen nur eingeschränkte Kontroll- und Einflussmöglichkeiten hat, kann die Gefahr etwa eines Datenmissbrauchs durch Dritte im Home-Office höher sein als etwa im Büro.

Vor allem bei besonders schützenswerten personenbezogenen Daten ist dies nur vertretbar, wenn angemessene technische und organisatorische Maßnahmen zur Datensicherheit gewährleistet werden können. Zu den dabei besonders schützenswerten personenbezogenen Daten gehören besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO, wie z. B. Gesundheitsdaten und Sozialabrechnungsdaten.

Hier gilt der Grundsatz: Je sensibler und damit schützenswerter personenbezogene Daten sind, desto besser sind sie zu schützen.
 
Dazu können nach einer Risikoanalyse die Gefahren für die Rechte der Betroffenen, die Schadenshöhe und die Eintrittswahrscheinlichkeit untersucht werden. Auf Grundlage des ermittelten Risikowertes, nach Abwägung der Implementierungskosten und unter Berücksichtigung des Stands der Technik, muss der Verantwortliche vor dem Beginn der Tätigkeit im Home-Office wirksame und angemessene technische und organisatorische Maßnahmen festlegen und implementieren. Diese müssen den Schutz der Daten gewährleisten, indem sie die Risiken auf ein vertretbares Maß reduzieren.
 
Es sollten daher Richtlinien zu Datenschutz und -sicherheit im Home-Office/Mobile Arbeit getroffen und diese den Beschäftigten verständlich und nachvollziehbar erläutert werden.
 
Vertragliche Regelungen zwischen Arbeitgeber und Arbeitnehmer
Eine vertragliche Regelung für die Tätigkeit im Home-Office mit den Mitarbeitern erfolgt separat mittels einer individualvertraglichen Vereinbarung. Dieser können dann die Richtlinien zum Home-Office/Mobile Arbeit beigefügt werden.
 
Als Arbeitgeber müssen Sie darauf achten, dass Vorschriften und Gesetze zum Arbeitsschutz, Arbeitszeitregelungen (ArbZG) und Datenschutz (DSGVO) im Home-Office eingehalten werden, um Bußgelder zu vermeiden.
 
ePrivacy berät bei der Erstellung Ihrer individuellen Home-Office-Richtlinie.

Erforderliche Anpassung der DSGVO-Dokumentation im Rahmen von Home-Office
Technische und organisatorische Maßnahmen für die Verarbeitung von personenbezogenen Daten bei der Arbeit im Home-Office/Mobile Arbeit sind festzulegen. Diese können in Bezug auf die Situation im Home-Office entsprechend angepasst werden. Wir empfehlen die wesentlichen, erforderlichen Maßnahmen direkt in die Home-Office-Richtlinie zu integrieren.
 
Die für das Unternehmen bereits bestehenden TOM sollten die im Homeoffice erforderlichen Maßnahmen weitestgehend widerspiegeln. Dabei ist zu bedenken, dass die TOM die Sicherstellung des angemessenen Schutzniveaus für die Verarbeitung von personenbezogenen Daten im gesamten Unternehmen abdecken sollen.
 
Alternativ können den bestehenden TOM spezifische Regelungen zur Sicherstellung der erforderlichen technisch organisatorischen Maßnahmen im Home-Office beigefügt werden.
 
Auftragsverarbeitung im Home-Office
Bei einer Datenverarbeitung im Auftrag, Art. 28 DSGVO müssen Verantwortliche und Auftragnehmer sicherstellen, dass der Datenschutz gewahrt wird und die Kontrollrechte – auch für die Aufsichtsbehörde – gewährleistet sind. Dies gilt auch für die Verarbeitung von personenbezogenen Daten im Home-Office. 
 

Datenschutzerklärung
Beim Einsatz von (neuer) Software im Home-Office muss vom Unternehmen sichergestellt werden, dass die Wahrung der Informationspflichten über die im Einsatz befindliche Software nach Art. 13 DSGVO gewährleistet wird.
 
Unsere Checkliste hilft Unternehmen dabei, alle wesentlichen Anforderungen zu erfüllen
Hier finden Sie einen Auszug wichtiger ToDos, die zu berücksichtigen sind, wenn Ihre Mitarbeiter im Home-Office arbeiten:

  • treffen Sie dokumentierte Regelungen für das Homeoffice, einschließlich definierter Sicherheitsmaßnahmen und Kommunikationswege
  • sensibilisieren Sie Ihre Mitarbeiter für mögliche Gefährdungspotenziale, z. B. Phishing
  • der Zutritts- und Zugriffsschutz muss ebenso wie im Büro gewährleistet werden
  • sicherheitstechnische Anforderungen an die für die im Home-Office eingesetzten IT-Systeme/Härtung der eingesetzten IT-Systeme müssen gewährleistet werden
  • mobile Geräte und Datenträger müssen verschlüsselt sein
  • Nutzung von Bildschirmschutzfolien, gerade in öffentlichen Umgebungen
  • Ermöglichung des sichereren Remote-Zugriffs auf das Netz des Unternehmens
  • Daten vor Verlust mittels regelmäßiger Datensicherung schützen
  • klare Meldewege und zeitnahe Verlustmeldung beim Abhandenkommen von Geräten
  • Kommunikationswege und Kontakte, die von Mitarbeitern z. B. im Falle eines Datenschutzvorfalles eindeutig verifiziert werden können.
  • Ansprechpartner für den Support im Home-Office/Mobilen Arbeiten bekanntmachen
  • Regelungen sowie Aufklärung für das Arbeiten mit fremden IT-Systemen/Netzen schaffen
  • Sicherstellung der datenschutzkonformen Entsorgung von vertraulichen Informationen
  • Prüfung, ob der Schutz von Unterlagen mit erhöhtem Schutzbedarf im Home-Office gewährt werden kann und ggf. Ergreifung erweiterter Sicherungsmaßnahmen.

Mustervorlage für die Erstellung einer Home-Office-Richtlinie
ePrivacy hat eine Mustervorlage erstellt, die Ihnen die Erstellung und Umsetzung einer individuellen Home-Office-Richtlinie in Ihrem Unternehmen erleichtern soll. Diese stellen wir unseren Kunden gerne zur Verfügung.

Melden Sie sich jederzeit bei uns.

Dein Kontakt zu ePrivacy:

https://t5baa4d95.emailsys1a.net/c/107/4167157/4221/0/11200275/485/263369/724ef332d2.html