Aktuell: Angesichts der Corona-Krise empfehlen die Bundesregierung und die Landesregierungen ebenso wie Fachleute, soziale Kontakte so weit wie möglich zu meiden, um die Ausbreitung des Corona-Virus zu verlangsamen. Hierzu zählt unter anderem auch, berufliche Tätigkeiten möglichst in das Home Office zu verlagern. Im Zentrum der Abwägung von Arbeitgebern steht insoweit sicherlich zunächst das Spannungsverhältnis zwischen der Gesundheit der Mitarbeiter und der Aufrechterhaltung des Geschäftsbetriebs des Arbeitgebers. Dementsprechend erscheinen die mit dem Home Office verbundenen Anforderungen an den Datenschutz zunächst zweitrangig. Natürlich bedeutet Datenschutz beispielsweise, dass Geschäftsunterlagen vor dem Zugriff Dritter, etwa Familienangehöriger, zu schützen sind. Datenschutz umfasst aber auch Fragen der IT-Sicherheit: Ein Arbeitgeber hat letztlich nichts gewonnen, wenn er seine Mitarbeiter zunächst zur Aufrechterhaltung des Geschäftsbetriebs ins Home Office schickt, sein Betrieb dann aber auf andere Weise zum Erliegen kommt. Denkbares Szenario ist beispielsweise ein Hackerangriff auf seine IT-Systeme, begünstigt durch mangelhafte IT-Sicherheitsmaßnahmen im Home Office der Mitarbeiter.
Dementsprechend gelten die bestehenden Datenschutzanforderungen auch für das Arbeiten im Home Office; die Einhaltung dürfte insbesondere für die Unternehmen eine Herausforderung darstellen, die den Home Office-Arbeitsplatz bislang nicht oder nur eingeschränkt etabliert haben. Denn es bestehen umfangreiche organisatorische und technische Anforderungen.
Das bedeutet: Um ein datenschutzkonformes Arbeiten imHome-Office zu ermöglichen, hat der Arbeitgeber folgende Voraussetzungen zu schaffen:
- Die Einhaltung der vom Arbeitgeber festgelegten technischen und organisatorischen Maßnahmen gemäß Artikel 32 Datenschutzgrundverordnung (DSGVO) muss auch im Home Office beachtet werden; hierzu zählen beispielsweise:
- die Schaffung von Zugangshindernissen zu Datenträgern und Dokumenten: es ist sicherzustellen, dass zum Beispiel Familienangehörige keinen Einblick in geschäftliche Dokumente erlangen können
- die Einhaltung von Passwortregelungen und Verschlüsselungstechniken sowie Bildschirmsperrung bei Abwesenheit, damit nicht beispielsweise Familienangehörige den Dienstrechner für private Zwecke nutzen
- ein datenschutzkonformes Zugriffsberechtigungskonzept
- die Trennung von privater und dienstlicher IT- und Telekommunikationstechnik: das Internet-Surfverhalten von Familienmitgliedern darf nicht zur Gefahr für das Unternehmensnetzwerk werden
- das IT-Sicherheitskonzept – es ist eine gesicherte Verbindung zum Netzwerk des Arbeitgebers (etwa über Virtual Private Network „VPN“) einzurichten.
- Keine Verarbeitung von besonderen personenbezogenen Daten (zum Beispiel Bewerbungen, Krankschreibungen etc.) im Sinne von Artikel 9 DSGVO
- Regelmäßige Überwachung der aufgestellten Verhaltensregeln für die Ausübung des Home Offices durch den Arbeitgeber (Artikel 40, 41 DSGVO)
- Einbeziehung eines etwaigen Betriebsrats und Datenschutzbeauftragten
Aus diesen Anforderungen resultieren auch organisatorische Maßnahmen, für die sich eine Home Office-Richtlinie anbietet. Darin legt der Arbeitgeber unter anderem fest, was die Mitarbeiter im Home Office aus der Perspektive des Datenschutzes berücksichtigen müssen. Diese Inhalte sind den Mitarbeitern vor Einrichtung des Home Office-Arbeitsplatzes zu kommunizieren. Im Gegenzug sind die Mitarbeiter zur Einhaltung dieser Regelungen verpflichtet.
Jetzt handeln: Angesichts der vielfältigen und teilweise komplexen Fragestellungen zum Thema Home Office und Datenschutz, zumal vor dem Hintergrund des im Zweifel zeitkritischen Bedarfs an einer datenschutzkonformen Lösung, sollten Sie sich schnellstmöglich mit den relevanten technischen und datenschutzrechtlichen Anforderungen auseinandersetzen. Gern unterstützen wir Sie zu allen diesbezüglichen Fragestellungen. Sprechen Sie uns an!
