Homeoffice und Datenschutz: Eine Anleitung für das richtige Arbeiten

PrintMailRate-it

zuletzt aktualisiert am 14. Oktober 2020 | Lesedauer ca. 4 Minuten


Die Gefahr ist unsichtbar, viele Arbeitnehmer sind sich der Be­droh­ung nicht bewusst und müssen dafür besonders sensibi­lisiert werden. In Zeiten von Homeoffice sehen sich Unter­nehmen (neben dem Coronavirus) mit einer weiteren Heraus­forderung konfrontiert: dem Daten­schutz.

 


Das Coronavirus hat vor der Arbeitswelt nicht Halt gemacht. Viele Arbeitnehmer werden aus Gründen des Infektionsschutzes kurzfristig in das Homeoffice geschickt und Arbeitgeber sehen sich bei der Neuorganisation der Arbeit mit komplexen Aufgaben konfrontiert. Jedoch geht das Arbeitsleben – wenn auch in anderer Form – weiter und so finden auch weiterhin die strengen Regelungen des Datenschutzrechts Anwendung.


Die Datenschutzbehörden sind sich bewusst, dass Homeoffice einen großen Risikofaktor für den Datenschutz darstellt. So haben Datenschutzbehörden, wie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Anmerkungen zum richtigen Arbeiten im Homeoffice veröffentlicht, damit Homeoffice nicht zum Datenschutzrisiko wird.

Umso wichtiger ist es, dass Arbeitnehmer im Hinblick auf die vielfältigen Haftungsrisiken sensibilisiert werden – mithin drohen empfindliche Geldbußen für die Unternehmen.

Im Folgenden sollen die wichtigsten technischen und organisatorischen Maßnahmen, die der Einhaltung der Datenschutz- und IT-Compliance auch in Zeiten des Homeoffice dienen, dargestellt werden:


Der Arbeitsplatz

Die individuellen Anforderungen an den Datenschutz am heimischen Arbeitsplatz hängen wesentlich von den tatsächlichen Gegebenheiten ab. Da nicht jeder Arbeit­nehmer in der Lage ist, einen abgeschlossenen Arbeits­­platz in den eigenen vier Wänden einzurichten, werden häufig die Wohnungen in der Not zu (mehr oder weniger freiwilligen) Co-Working-Spaces umgestaltet.

Grundsätzlich ist sicherzustellen, dass Unbefugte, z.B. Mitbewohner, Gäste, aber auch der Lebenspartner bzw. die Lebenspartnerin keinen Zugang zu sensiblen Daten erhalten. Kann das nicht durch die baulichen Gegeben­heiten bspw. durch separate Räume gewährleistet werden, sollte sichergestellt sein, dass Schreibtisch und Bildschirm nicht für Dritte einsehbar sind. Telefonate im beruflichen Kontext sollten in einem vertraulichen Rahmen ablaufen und ein Mithören bspw. durch das Aufsuchen eines geschützten Bereichs verhindert werden.

Bei der Gestaltung des Arbeitsplatzes ist außerdem darauf zu achten, dass er frei von sog. „intelligenten Diensten” wie Alexa, Siri und Google Home in Verbindung mit Geräten wie Sonos-Lautsprechern, Amazon-Echo-Smart-Lautsprechern und Ähnlichen ist. So kann das Risiko ausgeschlossen werden, dass ungewollt Daten, bspw. im Kontext eines durch das Gerät abgehörten Telefonats weitergegeben werden. Denn kenn­zeichnend für die Anwendungen ist, dass eine ununterbrochene Aufzeichnung von Ton stattfindet, um die eigenen Dienste bereitzustellen.


Die Arbeitsmaterialien

Arbeitsmaterialien sind grundsätzlich so aufzubewahren, dass Dritte keinen Zugriff darauf erhalten. Physische Unterlagen wie Akten oder Papierdokumente dürfen von Unbefugten nicht eingesehen werden können.
Die Sichtbarkeit und der Zugriff kann bspw. durch verschließbare Behälter wie abschließbare Schubladen oder Schränke verhindert werden.

und technische Geräte, die Daten enthalten oder Zugriff auf Daten ermöglichen, sind mittels Passwort vor Zugriff zu schützen. Bei Nichtgebrauch sind Bildschirmsperren einzurichten, bzw. die Geräte herunterzufahren. Das betrifft auch Datenträger wie USB-Sticks und Festplatten.


Das Private und das Berufliche

Ein hohes Risiko beim Homeoffice liegt in der Vermischung von Privatleben und Beruf. Grundsätzlich sollte von der Nutzung von privaten Messenger-Diensten (bspw. WhatsApp) zur Kommunikation und zum Austausch von sensiblen Daten abgesehen werden. Die Verwendung von privaten IT-Geräten wie Privatlaptops und Telefonen ist aus verschiedenen Gründen problematisch. Ein Rückgriff auf private Geräte des Arbeitnehmers sollte deshalb nur im Notfall zum Erhalt der Arbeitsfähigkeit erfolgen.

In jedem Fall ist zu beachten, dass private Geräte und Speichermedien wie USB-Sticks und Festplatten (auch unbewusst) Schadsoftware übertragen können. Werden die Geschäfte auf einem Privatlaptop geführt, sollte eine lokale Speicherung von Daten nur verschlüsselt erfolgen. Daneben stellen sich Folgefragen wie das sichere Löschen von sensiblen Daten. Das Leeren des Papierkorbs reicht dafür nicht aus, sodass auf Lösch­programme zurückgegriffen werden muss.

Nicht zuletzt ist auch die analoge Entsorgung von Papierdokumenten im Haushaltsmüll nicht datenschutzkon­form. Ist die Möglichkeit der datenschutzkonformen Vernichtung von Unterlagen im Homeoffice nicht gegeben, sind entsprechende Unterlagen zu sammeln und im Büro zu vernichten. Es bietet sich deswegen an, Ausdrucke soweit wie möglich zu vermeiden.


Berücksichtigung von Auftragsverarbeitungsverträgen

In bestimmten Fällen kann die Verarbeitung von personenbezogenen Daten im Homeoffice ausgeschlossen sein. Entsprechende Regelungen können sich in Kundenverträgen finden, die eine Auftragsdurchführung im Homeoffice ausschließen. Das muss vorab geprüft werden. Gleiches gilt für etwaige Kontroll- und Zutritts­rechte des Auftraggebers, sofern Mitarbeiter des Auftragsverarbeiters im Homeoffice tätig werden. Es sollte die vorherige Zustimmung der Mitarbeiter eingeholt werden.


Home-Office als Aufgabe des Arbeitgebers

Während der Arbeitnehmer v.a. durch konsequentes Handeln im Homeoffice für Datensicherheit sorgen kann, beginnt die Aufgabe des Arbeitgebers schon davor. Arbeitgeber, die Homeoffice in Betracht ziehen, sollten die Arbeitnehmer mit portablen IT-Geräten ausstatten, alternativ sollte der stationäre Dienst-PC mit in das Home­office genommen werden.

Firmen-Laptops sind mit dem aktuellen Betriebssystem und notwendigen Sicherheitsmaßnahmen auszu­statten, wobei dem Virenschutz auch in dem Zusammenhang eine besondere Bedeutung zukommt: denn Homeoffice aus unzureichend geschützten IT-Systemen bietet Anknüpfungspunkte für Angriffe durch Dritte.


Haftung des Arbeitgebers bei Datenverlust oder Datenschutzverstößen

Im Fall eines Datenverlustes oder eines Datenschutzverstoßes kann die Haftung des Arbeitgebers begründet werden. Datenverlust liegt bspw. vor, wenn Unterlagen mit sensiblen Daten oder Datenträger verloren gehen. Verstöße gegen den Datenschutz sind bereits dann gegeben, wenn Unbefugte Zugang zu Daten erhalten.
Für die Fälle sollte deshalb ein Meldesystem ausgearbeitet werden, damit Mitarbeiter Vorfälle gegenüber den Verantwortlichen anzeigen können. Meldepflichtige Vorfälle sind der zuständigen Datenschutzbehörde grund­sätzlich innerhalb einer Meldefrist von 72 Stunden nach Bekanntwerden anzuzeigen.


Notwendigkeit von Richtlinien

Die Vielzahl von Haftungsfallen zeigt, dass es für Unternehmen angezeigt ist, Regelungen im Hinblick auf die Heimarbeit aufzustellen. Um Haftungsfälle zu vermeiden, sind Mitarbeiter präventiv für das Arbeiten im Homeoffice zu schulen und auf Risiken im Datenschutz zu sensibilisieren. Das kann bspw. durch Webinare oder durch entsprechende Leitlinien und Wohlverhaltensregeln erfolgen. Anknüpfungspunkte können außerdem Betriebs- oder Dienstanweisungen sein. Gerne unterstützen und beraten wir Sie bei der Erstellung entsprechender Richtlinien.
 

Fazit

Werden Aufgaben mit personenbezogenen Daten außerhalb des Büros bearbeitet, liegt darin ein großes Risiko für die ungewollte Offenlegung und Datenverlust. Eine Frage sollte deshalb immer sein, ob bestimmte Auf­gaben mit sensiblen Inhalten überhaupt außerhalb des Büros bearbeitet werden sollten.

Da die Risiken im Homeoffice vielfältig sind, ist in Fällen der Heimarbeit besondere Sorgfalt im Hinblick auf die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes anzuwenden.

Grundsätzlich kann auch beim Homeoffice an den gesunden Menschenverstand und das Verantwortungsbe­wusstsein des Einzelnen appelliert werden.  Die ausgeführten Maßnahmen sind nur gut, wenn sie auch umgesetzt werden. Jeder Einzelne ist deshalb in der Verantwortung, die Risiken zu prüfen und angemessen zu handeln.

 Aus

Kontakt

Contact Person Picture

Stefan Alexander Breider

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter DSB-TÜV

Associate Partner

+49 6196 7611 4703

Anfrage senden

Profil

Contact Person Picture

Clemens Bauer

Rechtsanwalt

Senior Associate

+49 30 8107 9540

Anfrage senden

 Wir beraten Sie gern!

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu