Corona – Homeoffice und der Datenschutz

Täglich ändern sich derzeit die Umstände, die den Umgang mit COVID-19 regeln. Wir alle haben uns verpflichtet, das Risiko einer weiteren Ausbreitung zu reduzieren und unsere Mitarbeiter zu schützen. Wo immer möglich, organisieren sich Unternehmen daher gerade neu und bieten ihren Angestellten Homeoffice Lösungen an. 
Datenschutz spielt hier eine wichtige Rolle und drei Kernfragen sollten dabei geklärt sein:

  1. Kommt der Mitarbeiter im Homeoffice in Kontakt mit personenbezogenen Daten?
  2. Welche Schutzmaßnahmen am Heimarbeitsplatz sind erforderlich?
  3. Welche Informationspflichten gegenüber der Aufsichtsbehörde gibt es?

Grundsätzlich gelten im Homeoffice natürlich die gleichen datenschutzrechtlichen Anforderungen wie im Büro. Welche Schutzmaßnahmen erforderlich sind, ist schlussendlich davon abhängig, mit welchen Daten der Mitarbeiter zu Hause in Berührung kommt. 
 
Die Verarbeitung von Daten ohne Personenbezug ist datenschutzrechtlich unbedenklich. Handelt es sich jedoch um personenbezogene Daten oder besondere Arten personenbezogener Daten nach § 3 Abs. 1, 9 BDSG oder Sozialdaten nach § 67 Abs. 1 SGB X, so ist dies datenschutzrechtlich von Bedeutung. 
 
Es erklärt sich also fast von selbst, dass – je sensibler und schützenswerter die personenbezogenen Daten sind – der Schutz umso stärker sein sollte. So ist im Einzelfall zu entscheiden, wie eine Homeoffice Lösung unter Datenschutzgesichtspunkten geregelt werden kann. In jedem Fall sollte der Datenschutzbeauftragte des Unternehmens in die Organisation eingebunden werden, denn die datenschutzrechtliche Verantwortung liegt auch im Homeoffice beim Arbeitgeber. 
 
Grundsätzlich gilt für die Beschäftigten:
Das Arbeitszimmer sollte abschließbar sein, zumindest aber sollte ein Schrank für dienstliche Unterlagen vorgehalten werden der verschlossen werden kann. Der Mitarbeiter sollte darauf achten, dass personenbezogene Daten nicht von Dritten eingesehen werden können, so sollten vertrauliche Telefonate z.B. nicht in Anwesenheit Dritter geführt werden. Die unternehmensseitig zu Verfügung gestellte IT-Ausstattung sollte nicht privat genutzt werden (keine Kinder an den PC). Bei Verlassen des Zimmers sollte der Computer gesperrt werden. Dienstliche E-mails dürfen nicht an private Accounts weitergeleitet werden. Im Einzelfall kann die Datenschutzbehörde Kontrollen durchführen. In diesem Fall muss der Arbeitnehmer eine Zugangsmöglichkeit zum Home Arbeitsplatz schaffen.
 
Auch der Arbeitgeber hat Pflichten:
So hat die zur Verfügung gestellte IT Ausstattung datenschutzgerecht zu sein (Verschlüsselung von Festplatten und externen Datenträgern wie USB-Sticks), das Betriebssystem muss mit einem Kennwort gesichert sein, die elektronische Datenübermittlung (also z.B. E-Mail) ist nach dem Stand der Technik ebenfalls zu verschlüsseln (Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über ein VPN möglich sein). Ein Konzept zum Umgang und zur Vernichtung von sensiblen Unterlagen und Ausdrucken z.B. mittels Schredder oder Datentonnen sollte erarbeitet werden.
 
Behalten Sie immer die Rechtsfolgen eines Datenverlustes im Hinterkopf, die u.a. zu einer Informationspflicht gegenüber der zuständigen Aufsichtsbehörde führen können.
 
Was bei der Verwendung von Videokonferenz-Tools zu beachten ist:
Um den Kontakt zu Kunden und Kollegen aus dem Homeoffice heraus halten zu können, wird verstärkt mit Videokonferenztools gearbeitet. Auch bei der Auswahl dieser Anwendungen darf der Schutz personenbezogener Daten nicht unberücksichtigt bleiben. 
 
On-Premise-Varianten – also Software die auf den eigenen Servern gehostet wird – ist immer die sicherste Variante. Kleinere Firmen, die diese Möglichkeiten nicht haben, nutzten häufig SaaS-Lösungen. Hier gilt es sicherzustellen, dass der entsprechende Dienstleister – Auftragsverarbeiter – eine datenschutzkonforme Verarbeitung der Daten sicherstellt (Art. 28 Abs. 1 DSGVO).
 
Für die richtige Auswahl der entsprechenden Software haftet letztlich der Verantwortliche und muss dabei das Thema Verschlüsselung, Beschränkung von Logfiles, Löschung von Chatverläufen und Regelungen zum Dateiaustausch, den Umgang mit Aufnahmen von Konferenzen, etc. beachten.