Das datenschutzkonforme Home-Office

Nicht nur Selbstst√§ndige, auch immer mehr Angestellte nutzen die M√∂glichkeit von Zuhause aus zu arbeiten. Die Anzahl der Unternehmen, die das Arbeiten im Home-Office erlauben, steigt stetig an. W√§hrend 2014 nur knapp jedes f√ľnfte Unternehmen (22 Prozent) die M√∂glichkeit anbot, waren es 2016 bereits 31 Prozent. Im letzten Jahr ist die Zahl weiter auf 39 Prozent gestiegen.

Modern Workplace und mehr Flexibilit√§t von Arbeitszeiten sind in aller Munde. Ortsunabh√§ngiges Arbeiten stellt durch die Digitalisierung l√§ngst kein Problem mehr dar. √úber VPN sind Mitarbeiter in der Lage sich problemlos ins Firmennetzwerk einzuw√§hlen, Voice-over-IP erm√∂glicht das Telefonieren √ľber die B√ľronummer auch von unterwegs und √ľber diverse Meetingsoftware sind Mitarbeiter f√§hig, an Konferenzen und Pr√§sentationen teilzunehmen ohne physisch vor Ort zu sein. Aber wie ist es um den Datenschutz bestellt, wenn Firmeninformationen au√üerhalb der Gesch√§ftsr√§ume verarbeitet werden? Datenschutz im Home-Office: Risiken, Verantwortungen, Haftung und Schutzma√ünahmen.

Die DSGVO erlaubt Arbeit im Home-Office, aber…

Die DSGVO schlie√üt die Arbeit im Home-Office nat√ľrlich nicht aus, fordert von den Anwendern aber ein Mindestschutz f√ľr personenbezogene Daten, insbesondere den technischen und organisatorischen Ma√ünahmen. Werden personenbezogene Daten im Home-Office verarbeitet, birgt dies immer Risiken f√ľr die Pers√∂nlichkeitsrechte der betroffenen Personen. Datenmissbrauch oder eine unbefugte Einsicht der Daten ist durch Dritte viel leichter m√∂glich. Betriebliche Sicherheitsma√ünahmen wie zum Beispiel Zutrittskontrollen k√∂nnen im Home-Office nur schwer realisiert werden.

Die datenschutzrechtliche Verantwortlichkeit endet nicht an der Unternehmenst√ľr Welche Art von Daten im Home-Office verarbeitet werden, spielt bei der Beurteilung der Verantwortlichkeit keine Rolle. Es k√∂nnen also auch dort personenbezogene Daten verarbeitet werden. Die Datenschutz-Grundverordnung (DSGVO) entscheidet vielmehr dar√ľber, dass derjenige ‚ÄěVerantwortlicher‚Äú ist, der √ľber den Zweck und die Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Beim klassischen Arbeitsverh√§ltnis steht der Arbeitgeber als Unternehmen in der Pflicht, in dem er seine Weisungsbefugnis gegen√ľber dem Arbeitnehmer hinsichtlich der einzelnen Aufgaben und damit auch der datenschutzrelevanten Verarbeitungst√§tigkeiten aus√ľbt. Auch bei freien Mitarbeitern, die oft aufgrund eines Werks- oder Dienstvertrages besch√§ftigt sind, bestimmt der Arbeitgeber √ľber die Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher. Aber es gibt auch Ausnahmen. Erbringt der freie Mitarbeiter eine eigene Fachleistung, bei der die Datenverarbeitung keinen wichtigen Kernbestandteil der T√§tigkeit ausmacht und nicht im Vordergrund steht, so ist dieser die verantwortliche Stelle. Auch in diesem Fall unterliegt die Verarbeitung der Daten den Regelungen der Auftragsdatenverarbeitung (Art. 28 DSGVO). Zwischen dem Unternehmen als Auftraggeber und dem freien Mitarbeiter muss also ein Vertrag √ľber die Auftragsdatenerfassung geschlossen werden.

Die verantwortliche Stelle haftet

F√ľr Verst√∂√üe gegen den Datenschutz haftet immer die verantwortliche Stelle. Arbeitnehmer im Home-Office k√∂nnen von den Beh√∂rden also nicht mit Bu√ügeldern bestraft werden, da der Arbeitgeber f√ľr die Verarbeitung verantwortlich ist. Es unterliegt aber dem Arbeitgeber, interne Schadensersatzanspr√ľche zu stellen z. B. bei vors√§tzlichen Verst√∂√üen.

Abschließbares Arbeitszimmer sollte Grundvoraussetzung sein

Aus Gr√ľnden des Datenschutzes ist es empfehlenswert, Arbeitnehmern f√ľr die Arbeit im Home-Office dienstliche Endger√§te zur Verf√ľgung zu stellen und den Einsatz privater Ger√§te zu verbieten. Noch besser ist es, den Einsatz von privaten Ger√§ten auch technisch zu unterbinden, sodass Arbeitnehmer nicht ungefragt auf private Endger√§te zur√ľckgreifen k√∂nnen. Nur so k√∂nnen gesch√§ftliche Vorgaben wie z. B. regelm√§√üige Updates, der Einsatz eines Virenschutzes und einer Firewall durchgesetzt werden. Dar√ľber hinaus sollten die Festplatten von s√§mtlich mobilen Ger√§ten verschl√ľsselt werden, damit diese vor dem Zugriff von Unbefugten gesch√ľtzt sind. Neben diesen Ma√ünahmen sind in der h√§uslichen Arbeitsst√§tte weitere Vorkehrungen und Anweisungen erforderlich. Um den Schutz von Daten und Informationen gegen√ľber Dritten (z. B. Familienangeh√∂rigen) zu gew√§hrleisten, sollten betroffene Mitarbeiter besonders geschult und sensibilisiert werden. Die Mitarbeiter m√ľssen Ma√ünahmen kennen, um die Daten vor unbefugter Einsicht zu sch√ľtzen. Grundvoraussetzung f√ľr ein datenschutzkonformes Home-Office sollte auch ein abschlie√übares Arbeitszimmer sein. Der K√ľchentisch ist kein Schreibtisch-Ersatz. Es ist zudem sinnvoll, f√ľr gedruckte Dokumente einen geeigneten Dokumentenschredder zur Verf√ľgung zu stellen, damit die Dokumente vernichtet werden k√∂nnen und nicht als Schmier- oder Malpapier der Kinder enden. Bei besonders schutzw√ľrdigen Daten sollte sorgf√§ltig gepr√ľft werden, ob und unter welchen Bedingungen sich bestimme Arbeiten erledigen lassen. Dazu z√§hlen insbesondere Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugeh√∂rigkeit, zu politischen Meinungen, religi√∂sen oder weltanschaulichen √úberzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer nat√ľrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer nat√ľrlichen Person (Art. 9 Absatz 1 DSGVO). Hier sollte im Einzelfall entschieden werden, ob eine Verarbeitung im Home-Office sinnvoll ist.

Lassen Sie sich umfassend beraten

Arbeitgeber und Datenschutzbeh√∂rde k√∂nnen um Zugang zum Home-Office Arbeitsplatz bitten. Dar√ľber sollten sich Arbeitnehmer mit einem Home-Office Arbeitsplatz bewusst sein. Der Zugang zur privaten Wohnung ist lediglich zur Kontrolle gedacht, um pr√ľfen zu k√∂nnen, ob die Datenschutzregeln eingehalten werden und die Schutzma√ünahmen getroffen wurden. Bei der Planung des Arbeitsplatzes sollte daher von Beginn der Datenschutzbeauftragte einbezogen werden. Die Schulung und Sensibilisierung der Mitarbeiter ist ebenso hilfreich. Die Fischmann.IT GmbH ist ihr Partner f√ľr die Schulung und Planung von Home-Office Arbeitspl√§tzen.