Home-Office und Datenschutz: Eine Anleitung für das richtige Arbeiten

PrintMailRate-it

​veröffentlicht am 27. März 2020 | Lesedauer ca. 5 Minuten

  

Die Gefahr ist unsichtbar, viele Arbeitnehmer sind sich der Bedrohung nicht bewusst und müssen hierfür besonders sensibilisiert werden. In Zeiten von allgemeinem Kontaktverbot und Home-Office sehen sich Unternehmen nun mit einer weiteren Herausforderung konfrontiert: dem Datenschutz.

 

 

Das Coronavirus hat vor der Arbeitswelt nicht Halt gemacht. Viele Arbeitnehmer wurden kurzfristig in das Home-Office geschickt und Arbeitgeber sehen sich bei der Neuorganisation der Arbeit mit komplexen Aufgaben konfrontiert.  Jedoch geht das Arbeitsleben – wenn auch in anderer Form – weiter und so finden auch weiterhin die strengen Regelungen des Datenschutzrechts Anwendung.

 

Die Datenschutzbehörden sind sich bewusst, dass Home-Office einen großer Risikofaktor für den Datenschutz darstellt. So hat beispielsweise das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als eine der ersten Datenschutzbehörden Anmerkungen zum richtigen Arbeiten im Home-Office veröffentlicht.

Umso wichtiger ist es, dass Arbeitnehmer im Hinblick auf die vielfältigen Haftungsrisiken sensibilisiert werden – mithin drohen empfindliche Geldbußen für die Unternehmen.


Im Folgenden sollen die wichtigsten technischen und organisatorischen Maßnahmen, die der Einhaltung der Datenschutz- und IT-Compliance auch in Zeiten des Home-Office dienen, dargestellt werden:

 


Der Arbeitsplatz

Die individuellen Anforderungen an den Datenschutz am heimischen Arbeitsplatz hängen wesentlich von den tatsächlichen Gegebenheiten ab.  Da nicht jeder Arbeitnehmer in der Lage ist, einen abgeschlossenen Arbeitsplatz in den eigenen vier Wänden einzurichten, werden häufig die Wohnungen in der Not zu (mehr oder weniger freiwilligen) Co-Working-Spaces umgestaltet.

 

Grundsätzlich ist sicherzustellen, dass Unbefugte, z.B. Mitbewohner, Gäste aber auch der Lebenspartner bzw. die Lebenspartnerin keinen Zugang zu sensiblen Daten erhalten. Kann dies nicht durch die baulichen Gegebenheiten bspw. durch separate Räume gewährleistet werden, sollte sichergestellt sein, dass Schreibtisch und Bildschirm nicht für Dritte einsehbar sind. Telefonate im beruflichen Kontext sollten in einem vertraulichen Rahmen ablaufen und ein Mithören bspw. durch das Aufsuchen eines geschützten Bereichs verhindert werden.

 

Bei der Gestaltung des Arbeitsplatzes ist außerdem darauf zu achten, dass dieser frei von sogenannten „intelligente Diensten“ wie Alexa, Siri und Google Home in Verbindung mit Geräten wie Sonos-Lautsprechern, Amazon-Echo-Smart-Lautsprechern und Ähnlichen ist. So kann das Risiko ausgeschlossen werden, dass ungewollt Daten, bspw. im Rahmen eines durch das Gerät abgehörten Telefonats weitergegeben werden. Denn kennzeichnend für diese Anwendungen ist, dass eine ununterbrochene Aufzeichnung von Ton stattfindet, um die eigenen Dienste bereitzustellen.

 

Die Arbeitsmaterialien

Arbeitsmaterialien sind grundsätzlich so aufzubewahren, dass Dritte keinen Zugriff darauf erhalten, physische Unterlagen wie Akten oder Papierdokumente dürfen von Unbefugten nicht eingesehen werden können.

Die Sichtbarkeit und der Zugriff kann beispielsweise durch verschließbare Behälter wie abschließbare Schubladen oder Schränke verhindert werden.

 

Notebooks und technische Geräte, die Daten enthalten oder Zugriff auf Daten ermöglichen, sind mittels Passwort vor Zugriff zu schützen. Bei Nichtgebrauch sind Bildschirmsperren einzurichten, bzw. die Geräte herunterzufahren. Dies betrifft auch Datenträger wie USB-Sticks und Festplatten.

 

Das Private und das Berufliche

Ein hohes Risiko beim Home-Office liegt in der Vermischung von Privatleben und Beruf. Grundsätzlich sollte von der Nutzung von privaten Messenger-Diensten (bspw. WhatsApp) zur Kommunikation und zum Austausch von sensiblen Daten abgesehen werden. Die Verwendung von privaten IT-Geräten wie Privatlaptops und Telefonen ist aus verschiedenen Gründen problematisch. Ein Rückgriff auf private Geräte des Arbeitnehmers sollte deshalb nur im Notfall zum Erhalt der Arbeitsfähigkeit erfolgen.

 

In jedem Fall zu beachten ist, dass private Geräte und Speichermedien wie USB-Sticks und Festplatten– auch unbewusst – Schadsoftware übertragen können. Werden die Geschäfte auf einem Privatlaptop geführt, sollte eine lokale Speicherung von Daten nur verschlüsselt erfolgen. Daneben stellen sich Folgefragen wie das sichere Löschen von sensiblen Daten. Das Leeren des Papierkorbs reicht hierfür nicht aus, sodass auf Löschprogramme zurückgegriffen werden muss.

 

Nicht zuletzt ist auch die analoge Entsorgung von Papierdokumenten im Haushaltsmüll nicht datenschutzkonform. Ist die Möglichkeit der datenschutzkonformen Vernichtung von Unterlagen im Home-Office nicht gegeben, sind entsprechende Unterlagen zu sammeln und im Büro zu vernichten. Es bietet sich deswegen an, Ausdrucke soweit wie möglich zu vermeiden.


Berücksichtigung von Auftragsverarbeitungsverträgen

In bestimmten Fällen kann die Verarbeitung von personenbezogenen Daten im Home-Office ausgeschlossen sein. Entsprechende Regelungen können sich in Kundenverträgen finden, die eine Auftragsdurchführung im Home-Office ausschließen. Dies muss vorab geprüft werden. Gleiches gilt für etwaige Kontroll- und Zutrittsrechte des Auftraggebers, sofern Mitarbeiter des Auftragsverarbeiters im Home-Office tätig werden. Hier sollte die vorherige Zustimmung der Mitarbeiter eingeholt werden.

 

Home-Office als Aufgabe des Arbeitgebers

Während der Arbeitnehmer vor allem durch konsequentes Handeln im Home-Office für Datensicherheit sorgen kann, beginnt die Aufgabe des Arbeitgebers schon davor. Arbeitgeber, die Home-Office in Betracht ziehen, sollten die Arbeitnehmer mit portablen IT-Geräten auszustatten, alternativ sollte der stationäre Dienst-PC mit in das Home-Office genommen werden.

 

Firmen-Laptops sind mit dem aktuellen Betriebssystem und notwendigen Sicherheitsmaßnahmen auszustatten, wobei dem Virenschutz auch in diesem Zusammenhang eine besondere Bedeutung zukommt: denn Home-Office aus unzureichend geschützten IT-Systemen bietet Anknüpfungspunkte für Angriffe durch Dritte.

 

Haftung des Arbeitgebers bei Datenverlust- oder Datenschutzverstößen

Im Fall eines Datenverlustes oder eines Datenschutzverstoßes kann die Haftung des Arbeitgebers begründet werden.  Datenverlust liegt beispielsweise vor, wenn Unterlagen mit sensiblen Daten oder Datenträger verloren gehen. Verstöße gegen den Datenschutz sind bereits dann gegeben, wenn Unbefugte Zugang zu Daten erhalten.

Für diese Fälle sollte deshalb ein Meldesystem ausgearbeitet werden, damit Mitarbeiter Vorfälle gegenüber den Verantwortlichen anzeigen können. Meldepflichtige Vorfälle sind der zuständigen Datenschutzbehörde grundsätzlich innerhalb einer Meldefrist von 72 Stunden nach Bekanntwerden anzuzeigen.

 

Notwendigkeit von Richtlinien

Die Vielzahl von Haftungsfallen zeigt, dass es für Unternehmen angezeigt ist, Regelungen im Hinblick auf die Heimarbeit aufzustellen. Um Haftungsfälle zu vermeiden, sind Mitarbeiter präventiv für das Arbeiten im Home-Office zu schulen und auf Risiken im Datenschutz zu sensibilisieren. Dies kann beispielsweise durch Webinare oder durch entsprechende Leitlinien und Wohlverhaltensregeln erfolgen. Anknüpfungspunkte können außerdem Betriebs- oder Dienstanweisungen sein. Gerne unterstützen und beraten wir Sie bei der Erstellung entsprechender Richtlinien.

 

Fazit

Werden Aufgaben mit personenbezogenen Daten außerhalb des Büros bearbeitet, liegt hierin ein großes Risiko für die die ungewollte Offenlegung und Datenverlust. Eine Frage sollte deshalb immer sein, ob bestimmte Aufgaben mit sensiblen Inhalten überhaupt außerhalb des Büros bearbeitet werden sollten.

 

Da die Risiken im Home-Office vielfältig sind, ist in Fällen der Heimarbeit besondere Sorgfalt im Hinblick auf die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes anzuwenden.

Grundsätzlich kann auch beim Home-Office an den gesunden Menschenverstand und das Verantwortungsbewusstsein des Einzelnen appelliert werden.  Die ausgeführten Maßnahmen sind nur gut, wenn sie auch umgesetzt werden. Jeder Einzelne ist deshalb in der Verantwortung, die Risiken zu prüfen und angemessen zu handeln.

 Aus der Artikelserie

Kontakt

Contact Person Picture

Stefan Alexander Breider

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter DSB-TÜV

Associate Partner

+49 6196 7611 4703

Anfrage senden

Profil

Clemens Bauer

Rechtsanwalt

Associate

+49 30 8107 9540
+49 30 8107 9543

Anfrage senden

 Wir beraten Sie gern!

 Mehr lesen?

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu