Datenschutzrisiko Homeoffice

veröffentlicht am 3. Mai 2021

Aufgrund der Corona-Pandemie ist das Homeoffice bereits seit einem Jahr der neue Arbeitsalltag vieler Menschen. Zeit also, ein Zwischenfazit zu ziehen, wie es um die Umsetzung des Datenschutzes zu Hause steht.

Zu Beginn der Pandemie wurde in vielen Unternehmen in Sachen Homeoffice improvisiert, nicht zuletzt um den Betrieb am Laufen zu halten. Gerade wenn Mitarbeiter im März letzten Jahres sehr kurzfristig ins Homeoffice geschickt wurden, gab es anfangs möglicherweise noch kein Konzept für das Arbeiten von zu Hause. Doch auch im Homeoffice gilt es den Datenschutz in gleichem Maße wie im Büro zu beachten.

Nachdem nun ein Jahr vergangen ist und sich viele Menschen nach wie vor im Homeoffice befinden, ist es allerdings notwendig, dass Unternehmen (sofern noch nicht geschehen) für das Arbeiten im Homeoffice ein schriftliches Konzept erstellen. In diesem Konzept müssen insbesondere die technischen und organisatorischen Maßnahmen beschrieben werden, um personenbezogene Daten auch zu Hause sicher und datenschutzgerecht verarbeiten zu können und Datenschutzverstößen gezielt vorzubeugen.

Vor dem Hintergrund, dass Verstöße gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO) mit Bußgeldern bis zu 20 Mio. Euro geahndet werden können, gilt auch hier besondere Vorsicht für Immobilienunternehmen. Noch schwerer als ein mögliches Bußgeld wiegen oftmals die negative Publicity und der Vertrauensverlust, die ein solcher Datenschutzverstoß nach sich zieht.

Datenschutz und Datensicherheit im Homeoffice – Besondere Situationen erfordern besondere Massnahmen

Schicken Unternehmen ( = Verantwortliche im Sinne der DSGVO) ihre Mitarbeiter zum Arbeiten ins Homeoffice, ist der veränderten Gefährdungslage besonders Rechnung zu tragen. Denn im Homeoffice sind personenbezogene Daten und IT-Geräte nicht nur der unmittelbaren Kontrolle des Unternehmens entzogen, sondern gleichzeitig steigt auch die Gefahr unberechtigter Zugriffe durch Dritte (hierzu zählen auch Familienangehörige bzw. Mitglieder des eigenen Hausstands).

Grundsätzlich trägt der Mitarbeiter, der von zu Hause aus arbeitet, dafür Sorge, dass datenschutzrelevante Unterlagen sicher aufbewahrt und kein unberechtigter Dritter Zugriff auf personenbezogene Daten hat. Die Verantwortlichkeit im datenschutzrechtlichen Sinn kann jedoch nicht delegiert werden und bleibt auch im Homeoffice beim Unternehmen selbst. Das heißt, kommt es im Homeoffice zu einer Datenpanne, hat das Unternehmen die Konsequenzen des Verstoßes zu tragen.

Zu denken wäre hier etwa an betriebliche Papierunterlagen, die im privaten Papiermüll landen, Haushaltsangehörige, die Zugang zum dienstlichen Computer haben oder Telefonate mit vertraulichem Inhalt, die im Garten bzw. auf dem Balkon geführt werden, sodass Nachbarn oder andere unbefugte Personen den Inhalt des Gespräches wahrnehmen können. Die Liste möglicher Szenarien lässt sich beliebig fortsetzen. Unternehmen müssen deshalb entsprechende technische und organisatorische Maßnahmen implementieren, um diesen Gefahren zu begegnen. Im Idealfall sind die Sicherheitsanforderungen an den heimischen Arbeitsplatz in einer Betriebs- bzw. Dienstanweisung festgehalten.

Was wenn es doch zu einer Datenpanne kommt?

Kommt es trotz aller Vorkehrungen beim Arbeiten im Homeoffice zu einer Datenpanne, sollte der Mitarbeiter wissen, wem und auf welchem Weg er dies unverzüglich melden muss.

Sachverhaltsaufklärung unter Einbeziehung des Datenschutzbeauftragten
Um angemessen auf eine Datenpanne reagieren zu können, ist es für den Verantwortlichen zunächst wichtig festzustellen, was genau passiert ist. Hierfür sollte frühzeitig der Datenschutzbeauftragte hinzugezogen werden. Denn nicht jede Datenpanne ist auch für das Unternehmen selbst meldepflichtig.
Meldung bei der Aufsichtsbehörde
Unter gewissen Voraussetzungen muss der Verantwortliche eine Datenschutzverletzung bei der zuständigen Aufsichtsbehörde melden. Hierbei ist eine Frist von 72 Stunden ab Kenntnis einzuhalten. Die Meldung muss nach Art. 33 Abs. 1 DSGVO immer dann erfolgen, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Wann dies der Fall ist, hängt in der Regel von den Umständen des Einzelfalls ab. Bei der Entscheidung, ob es sich um einen meldepflichtigen Vorfall handelt, sind insbesondere die Art der betroffenen personenbezogenen Daten, die Sensibilität der Daten, die Anzahl der betroffenen Personen sowie der erwartete oder bereits entstandene Schaden bei den betroffenen Personen zu berücksichtigen.
Mitteilung an die Betroffenen
Darüber hinaus sind die Betroffenen gemäß Art. 34 Abs. 1 DSGVO unverzüglich zu informieren, wenn ein hohes Risiko für deren Rechte und Freiheiten festgestellt werden konnte. Es reicht jedoch nicht aus, die betroffenen Personen über die Datenpanne zu informieren, sondern sie müssen auch Informationen über mögliche Folgen sowie die Maßnahmen erhalten, die ergriffen worden sind, um den Schaden abzuwenden bzw. zu minimieren. Eine Benachrichtigung der Betroffenen kann nur ausnahmsweise unterbleiben, beispielsweise wenn es dem Verantwortlichen gelungen ist, das hohe Risiko einzudämmen oder eine Benachrichtigung nur mit einem unverhältnismäßigen Aufwand möglich wäre.
Nachbereitung
Mit der Meldung bei der Aufsichtsbehörde und der Benachrichtigung der betroffenen Personen ist es aber keineswegs getan. Wichtig sind auch die anschließende Aufarbeitung des Vorfalls und das Implementieren von Maßnahmen, die eine weitere Datenschutzverletzung dieser Art verhindern können.

Fazit

Um Datenschutzverletzungen auch im Homeoffice entsprechend zu begegnen, sind vor allem die richtigen präventiven Maßnahmen erforderlich. Dazu zählen unter anderem die Entwicklung und Implementierung von Prozessen für den Fall eines Datenschutzverstoßes. Denn ist eine Datenpanne erst einmal passiert, bleibt meist nur noch die Schadensbegrenzung. Bei der Erstellung eines schriftlichen Konzepts für das Arbeiten im Homeoffice sind wir Ihnen gerne behilflich.

Banner zerbrochene Tasse