Homeoffice

Dies kann dieser Beitrag nicht abschließend beantworten, da es auf die Schutzbedürftigkeit der personenbezogenen Daten in jedem Einzelfall ankommt. Die nachfolgenden Hinweise können lediglich dazu beitragen, die richtigen Maßnahmen in einem Homeoffice-Projekt zu identifizieren.

Dabei stellt die Gewährleistung der Vertraulichkeit meist die größte Herausforderung dar. Ist die Vertraulichkeit effektiv gewährleistet, sind potentielle Schäden hinsichtlich der Integrität oder der Verfügbarkeit der Daten zumindest unwahrscheinlicher.

Die Vertraulichkeit zu gewährleisten umfasst alle Facetten der Verarbeitung – von der Sensibilisierung der Mitarbeiterin oder des Mitarbeiters über die räumliche Sicherheit vor Ort, die technische Sicherheit des Computers bis hin zur Sicherheit des Datentransports.

Zur Sensibilisierung der Mitarbeiterinnen und Mitarbeiter:

Arbeitnehmerinnen und Arbeitnehmer sollten speziell auf die Beachtung des Datenschutzes und dessen Umsetzung im Homeoffice hingewiesen werden. Dies gilt umso mehr, falls die Tele-Heimarbeit bzw. die Arbeit im Homeoffice eine neue Situation darstellt. Ein Nachweis dieser Einweisung wird empfohlen.

Ansprechpartner für Datenschutz müssen klar benannt sein, so dass Mitarbeiterinnen und Mitarbeiter Fragen zeitnah ausräumen oder Sicherheitsvorfälle unverzüglich mitteilen können.

Zur räumlichen Sicherheit:

Geräte und Daten sind sicher aufzubewahren und sorgfältig zu nutzen.

Dies gilt etwa für Computer, Tablet, Handy, USB-Stick, Ausdrucke auf Papier etc.

Gleichzeitig muss sichergestellt werden, dass andere Personen im gleichen Haushalt (wie zum Beispiel (Ehe-)Partner, Kinder, sonstige Mitbewohner oder Gäste und Dienstleister) keine Kenntnis von den zu verarbeitenden personenbezogenen Daten erlangen können.

Dies kann je nach Schutzbedürftigkeit der Daten erfordern, dass die Bearbeitung der Daten in einem abschließbaren Zimmer erfolgt. Ist dies nicht möglich, sind (auch bei nur kurzzeitigem Verlassen des Arbeitsplatzes) der Bildschirm des Computers zu sperren (Screen-Lock) und papierne Arbeitsunterlagen zu verschließen.

Vertrauliche Telefonate sind ohne unbefugte Mithörer zu führen, also zum Beispiel nicht bei geöffneten Fenstern, im Garten oder in Anwesenheit unberechtigter Dritter.

Zur technischen Sicherheit von Computer, Handy und Co.:

Besonders schützenswerte personenbezogene Daten sollten ganz grundsätzlich nur mittels vom Arbeitgeber bereitgestellter oder genehmigter Hard- und Software verarbeitet werden. Der Arbeitgeber trägt die Verantwortung für die Verarbeitung und wird die dazu erforderlichen Schutzmaßnahmen (zum Beispiel die Einschränkung von Software-Installationsrechten) bei Einsatz privater Endgeräte in der Regel nicht effektiv gewährleisten können.

Anmeldeinformationen (wie Benutzernamen und deren zugehörige Passwörter) sind besonders zu schützen. Sie müssen geheim gehalten werden und dürfen nicht für Dritte einsehbar im Homeoffice »herumliegen«.

Zur Sicherheit des Datentransports:

Ausdrucke, Akten, Datenträger etc. sollten möglichst in verschließbaren Behältern verpackt und zur Vermeidung von Diebstahl und Verlust auf möglichst direktem Weg zum Homeoffice transportiert werden. Benötigte Daten sollten grundsätzlich nicht auf privaten Speichermedien, sondern nur auf dienstlich zur Verfügung gestellten Datenträgern verschlüsselt übertragen werden.

Gehen sensible personenbezogene Daten auf unverschlüsselten, am Ende gar privaten USB-Sticks verloren, stellt dies eine grobe Fahrlässigkeit des Verantwortlichen mit entsprechenden Konsequenzen dar. Auf die Pflicht zur Meldung einer solchen Datenpanne nach Artikel 33 DSGVO sei hingewiesen.

Zur Aufrechterhaltung der Kommunikation ist der Zugang zur dienstlichen E-Mail von Bedeutung. Stand der Technik ist in dieser Hinsicht, dass ein Arbeitgeber den sicheren Zugang zur E-Mail mit Hilfe eines Web-Browsers bereitstellt. Private E-Mail-Adressen sind für die dienstliche Verarbeitung sensibler personenbezogener Daten im Homeoffice grundsätzlich unzulässig. Ebenso problematisch wäre eine generelle Umleitung aller dienstlichen E-Mails auf private Postfächer.

Soll aus dem Homeoffice auf entfernte Daten oder Systeme beim Arbeitgeber zugegriffen werden, sind zwei prinzipielle Anforderungen geeignet umzusetzen: Erstens der Zugang ausschließlich für Befugte und zweitens die sichere Übertragung der Daten.

Die Gewährleistung des ‚Zugangs nur für Befugte‘ wird klassisch über die Abfrage eines Benutzernamens und des zugehörigen Passwortes sichergestellt. In Abhängigkeit von der eingangs bereits genannten Risikobetrachtung kann es jedoch erforderlich sein, weitergehende technische Maßnahmen für die Zugangserteilung umzusetzen (wie zum Beispiel eine Zwei-Faktor-Authentifizierung).

Um Daten sicher übertragen zu können, muss die dazu erforderliche Netzwerkverbindung – in der Regel über das Internet – ausreichend geschützt werden. Je nach Art des in der Ferne zu erreichenden IT-Systems können dies unter anderem nach dem Stand der Technik transportverschlüsselte HTTPS- oder VPN-Verbindungen sein.

Der Arbeitgeber bleibt auch bei der Ermöglichung von Teleheimarbeit im Homeoffice dafür verantwortlich, dass der Datenschutz durch geeignete technische und organisatorische Maßnahmen gewahrt bleibt.

Verursacht jedoch ein Arbeitnehmer durch eigenes Verschulden eine Datenpanne, kann er – abhängig von den konkreten Umständen und insbesondere der Schwere des Verstoßes gegen seine Sorgfaltspflicht – datenschutz- und arbeitsrechtlich dafür haftbar gemacht werden.

Nein, jeder Fall ist speziell und erfordert eine sorgfältige Betrachtung. Ausgewählte Links zu Empfehlungen auf dieser Seite zusammengestellt. Generell kommt es darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden sollen und welche Risiken dadurch für die Rechte und Freiheiten natürlicher Personen entstehen könnten.

Nicht alle Arten von personenbezogenen Daten bergen die gleichen Risiken. Der Blickwinkel des Datenschutzes ist es dabei, aus Sicht einer betroffenen Person zu beurteilen, welcher Schaden ihr bei einem Missbrauch dieser Daten entstehen könnte. Die Datenschutz-Grundverordnung unterscheidet zwischen Keinem Risiko, Risiko und Hohem Risiko. Was besonders schutzbedürftig ist, regelt Artikel 9 DSGVO.

Im Wesentlichen geht es darum, die Sicherheit der personenbezogenen Daten zu gewährleisten (Artikel 32 DSGVO) und demzufolge alle erforderlichen und verhältnismäßigen Maßnahmen zu ergreifen. Vereinfacht gesagt, dürfen personenbezogene Daten auch im Homeoffice nicht abhandenkommen (Verfügbarkeit), nicht verfälscht werden (Integrität) und nur von denjenigen eingesehen bzw. verarbeitet werden, die dazu auch befugt sind (Vertraulichkeit).

Generell gilt: Je größer der Schaden einer natürlichen Person bei einem Missbrauch ihrer personenbezogenen Daten wäre, desto besser sind diese Daten zu schützen.