Datenschutz im Home Office

Datenschutz Home Office

Nicht erst seit der Corona-Krise wird in vielen Unternehmen den Mitarbeitern die Möglichkeit geboten, im Home Office zu arbeiten. In diesem Artikel wird erläutert, warum hierfür eine Richtlinie notwendig ist, welche Regelungen erforderlich sind und welche Anforderungen an den technischen Datenschutz zu stellen sind.


Home Office: Notwendigkeit einer Richtlinie


Egal in welchem Unternehmen und in unabhängig davon, in welchem Umfang die Mitarbeiter/innen die Möglichkeit haben im Home Office zu arbeiten, ist die Vorgabe einer „Home Office-Richtlinie“ faktisch unerlässlich. Dabei spielt es aus arbeitsvertraglicher Perspektive keine Rolle, ob diese Richtlinie eine Betriebsvereinbarung oder einer Ergänzung zum Arbeitsvertrag darstellt. Grund für die Notwendigkeit einer Richtlinie sind die strengen Vorgaben der DSGVO an die Dokumentationspflichten der verantwortlichen Unternehmen aus Art. 5 Abs. 2 DSGVO. Denn ohne die Verwendung einer entsprechenden Richtlinie dürfte in den meisten Fällen schon fraglich sein, ob die Verantwortlichen diesen Dokumentationspflichten nachkommen.

Darüber hinaus ist die Verwendung einer Richtlinie, unabhängig von ihrer arbeitsrechtlichen Ausgestaltung, die einzige Möglichkeit den Mitarbeitern/innen verbindliche Vorgaben zur Nutzung des Home Office-Arbeitsplatzes zu machen und im Extremfall arbeitsrechtliche Konsequenzen ziehen zu können.


Notwendige Regelungsinhalte


Unabhängig von der tatsächlichen Ausgestaltung des Home Office läuft es stets darauf hinaus, dass die personenbezogenen Daten den Herrschaftsbereich des Verantwortlichen verlassen und bei einem Dritten, nämlich dem Arbeitnehmer oder der freien Mitarbeiterin, verarbeitet werden.

Dieser Verlagerung ist zum einen durch technische und organisatorische Maßnahmen Rechnung zu tragen, worauf sogleich eingegangen wird. Zum anderen muss sich der Verantwortliche bei der Verlagerung der Daten die notwendigen Kontrollrechte vorbehalten. Beispielhaft kann hierzu auf die Regelungen des Art. 28 DSGVO zu den notwendigen Inhalten eines Vertrages zur Auftragsverarbeitung verwiesen werden. Denn auch für die Verträge zu Auftragsverarbeitung gibt Art. 28 DSGVO vor, dass das Recht zur Weitergabe der personenbezogenen Daten an einen Dritten mit einer Pflicht zur Kontrolle einhergeht.

Dieser Regelungsgedanke zu den Verträgen zur Auftragsverarbeitung lässt sich auf die Home Office-Richtlinie übertragen.

Demnach hat sich der Verantwortliche insbesondere durch eine Möglichkeit zur Besichtigung des Arbeitsplatzes im Home Office ein Kontrollrecht zusichern zu lassen. Hierbei dürfte es wohl ausreichen, dass der Verantwortliche nur im Verdachtsfall oder bei wiederholten Verstößen gegen die Home Office Richtlinie im Beisein des Datenschutzbeauftragten oder eines Betriebsrates (soweit vorhanden) zur Besichtigung berechtigt ist.


Technische und organisatorische Maßnahmen


Nach Art. 24, 25 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Dabei müssen die Maßnahmen so gewählt und getroffen werden, dass sie in ihrer Gesamtheit einen ausreichenden Schutz für die Daten bieten. Hierbei spielen die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte der betroffenen Personen eine Rolle.

Aus diesen gesetzlichen Vorgaben ergeben sich in der Praxis insbesondere zwei Vorgaben.

Zum einen ist bei der Verwendung von mobilen Arbeitsgeräten wie Notebooks oder Mobiltelefonen darauf zu achten, dass diese mit einer ernstzunehmenden Laufwerksverschlüsselung ausgestattet sind. Grund hierfür ist insbesondere, dass bei mobilen Arbeitsgeräten ein deutlich höheres Diebstahl- oder Verlustrisiko besteht. Dies betrifft insbesondere Geräte mit dem Betriebssystem Microsoft Windows, da diese nicht standardmäßig mit einer Laufwerksverschlüsselung ausgestattet sind.

Zum anderen ist bei der Arbeit im Home Office besonders auf eine verschlüsselte Kommunikation zu achten. Im Ergebnis ist daher die Verwendung einer über VPN abgesicherten Verbindung oder die Nutzung einer SSL-Verschlüsselung zwingend.


Konsequente Umsetzung zur Vermeidung von Bußgeldern


Nach derzeitiger Erfahrung ist davon auszugehen, dass die Erlaubnis zur Arbeit im Home Office ohne eine entsprechende Richtlinie einen Bußgeldtatbestand der DSGVO erfüllen dürfte und die Verhängung eines Bußgeldes eher wahrscheinlich ist. Gleiches gilt darüber hinaus auch für die Einhaltung der wesentlichen technischen und organisatorischen Maßnahmen.

Zur detaillierten Erläuterung der mit dem Home Office zusammenhängenden Rechtsfragen sowie für die Erstellung einer individuellen Home Office-Richtlinie steht Ihnen die ITB Rechtsanwaltsgesellschaft mbH gerne zur Verfügung.

Kontakt

Erstellt: 19. Mai 2020