Seit der Corona-Pandemie arbeiten viele Beschäftigte im Homeoffice. Bei der Verarbeitung von personenbezogenen Daten im Homeoffice erhöht sich das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Denn der Arbeitgeber hat nur beschränkte Kontrollrechte und Einflussmöglichkeiten.
I. Verantwortlichkeit
Auch wenn die Mitarbeiter im Homeoffice tätig sind, so bleibt der Arbeitgeber für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO verantwortlich. Denn der Arbeitgeber bestimmt Zweck und Mittel der Verarbeitung. Das hat zur Folge, dass Schadensersatzansprüche und Bußgelder gegenüber dem Arbeitgeber geltend gemacht werden, wenn der Datenschutz im Homeoffice nicht ausreichend umgesetzt wurde.
Als Verantwortlicher hat der Arbeitgeber daher nach Art. 24 DSGVO dafür Sorge zu tragen, dass technische und organisatorische Maßnahmen umgesetzt werden, um sicherzustellen, dass personenbezogene Daten auch im Homeoffice datenschutzkonform verarbeitet werden.
Das Ziel der technischen und organisatorischen Maßnahmen ist es die Risiken für die Schutzziele der DSGVO auf ein Minimum zu minimieren. Bei der Wahl geeigneter Maßnahmen sind Art, Umfang, Umstände, Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Folgen einer Verletzung zu berücksichtigen.
II. Schutzziele der DSGVO
Um geeignete Maßnahmen treffen zu können, muss man sich zunächst darüber im Klaren sein, was geschützt werden soll.
Im Homeoffice sollte ein besonderes Augenmerk auf das Schutzziel der Vertraulichkeit gelegt werden. Vertraulichkeit bedeutet, dass schützenswerte Informationen vor unbefugter Preisgabe geschützt werden müssen und ausschließlich Befugten in der zulässigen Weise zugänglich gemacht werden dürfen.
Aufgrund der eingeschränkten Kontrollmöglichkeit im Homeoffice ist hier die Gefahr besonders groß, dass das Schutzziel der Vertraulichkeit verletzt wird. Denn es besteht das Risiko, dass Familienangehörige, Mitbewohner oder Besucher Zugang zu personenbezogene Daten oder vertraulichen Dokumenten erhalten. Ein weiteres Risiko im Homeoffice ist die Entsorgung von Unterlagen. Aufgrund von Unkenntnis oder Nachlässigkeit kommt es häufig vor, dass vertrauliche Daten (z.B. Bewerbungsunterlagen, Verträge, Namen mit Telefonnummern) im Hausmüll landen.
Das Schutzziel der Integrität fordert, dass personenbezogene Daten nicht verfälscht werden dürfen. Auch hier besteht das Risiko, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten.
Die Verfügbarkeit von personenbezogene Daten ist ein Schutzziel, das im engen Zusammenhang mit der Vertraulichkeit und der Integrität steht. Danach müssen Daten zur Verfügung stehen, wenn sie gebraucht werden. Eine Verletzung dieses Schutzziels liegt vor, wenn z.B. Daten durch unbefugte gelöscht werden oder wenn Datenträger gestohlen oder verloren gehen.
III. Maßnahmen zur Gewährleistung der Schutzziele
1. Allgemein
Es gibt keine universellen Vorgaben welche Vorgaben umzusetzen sind, um die oben genannten Schutzziele zu gewährleisten. Denn es kommt generell darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden und welche Risiken für Betroffene bestehen (Kunden, Mitarbeiter, Dienstleister).
Daher werden personenbezogenen Daten und Unternehmensdaten in Stufen – ausgehend von ihrer Schutzbedürftigkeit – eingeteilt.
Schutzbedarfskategorie: normales Risiko
Unter diese Kategorie fallen Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen nicht- oder nicht wesentlich beeinträchtigen kann. Dazu gehören z.B. Interne Daten, auf die innerhalb eines
Unternehmens viele Mitarbeiter Zugriff oder öffentliche Quellen (Telefon- und Adressbücher) haben
Schutzbedarfskategorie: hohes Risiko
Dazu gehören Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann. Folgende Daten stellen ein hohes Risiko bei der Verarbeitung dar:
• Besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO (Gesundheit, Gewerkschaftszugehörigkeit, Religion, biometrische Daten…)
• Einkommen,
• Sozialleistungen,
• Strafen
• Videoaufzeichnungen
• Steuer-ID/ Krankenversicherungsnummer
Schutzbedarfskategorie: sehr hohes Risiko
Alle Daten, deren Bekanntwerden den Betroffenen in seiner Existenz gefährden kann. Gefahr des Ruins, der Beeinträchtigung der körperlichen Unversehrtheit (Leib- und Leben) oder der persönlichen Freiheit. Das sind insbesondere die nachfolgenden Daten:
• Adresse im Zeugenschutzprogramm
• HIV-Infektion
• Erhebliche strafrechtliche Verfehlungen
Je höher das Risiko, desto höher sind die Anforderungen an die Maßnahmen. Sollten Daten verarbeitet werden, die ein hohes oder sehr hohes Risiko für die Betroffenen darstellen, so muss von der Arbeit im Homeoffice in der Regel abgesehen werden.
2. Konkrete Maßnahmen
Die nachfolgenden Maßnahmen sind empfehlenswert. Dabei ist jedoch darauf zu achten, dass die genannten Maßnahmen nicht abschließend sind. Zudem kommt es bei der Auswahl von geeigneten Maßnahmen immer auf den konkreten Einzelfall an.
a) Organisatorische Maßnahmen
Unter organisatorische Maßnahmen versteht man die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensanweisungen für Mitarbeiter.
Per Organisationsanweisungen sollten die nachfolgenden Verbote ausgesprochen werden:
-> Keine Mitteilung oder sonstige Kenntnisnahme von Passwörtern durch Dritte
-> Kein Zugriff von Dritten auf betrieblich genutzte Software und Geräte
-> Keine Weiterleitung beruflicher E-Mails auf ein privates Postfach
-> Keine sonstige Überleitung von dienstlichen Daten in den privaten Bereich
-> Keine Vernichtung von Dokumenten im Hausmüll
-> Keine Nutzung von USB-Sticks
-> Keine Anbindung an private Drucker
b) Technische Maßnahmen
Die technischen Maßnahmen bezeichnen dabei jeden Schutz für die Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann.
Einer der wichtigsten technischen Maßnahmen, die der verantwortliche Arbeitgeber ergreifen kann, ist die Bereitstellung der Hard- und Software. Denn die Nutzung privater Geräte bringt eine Vielzahl an Gefahren mit sich.
Zum einen besteht das Risiko der Vermischung von privaten und dienstlichen Daten. Dies kann dann z.B. zu Problemen führen, wenn das Unternehmen auf seine Unternehmensdaten zugreifen will oder die Löschvorgaben der DSGVO umsetzen will. Wegen der privaten Daten wird dazu in der Regel nämlich die freiwillige Einwilligung des Mitarbeiters notwendig sein.
Greifen Mitarbeiter mit ihren privaten Geräten per VPN – Tunnel auf das Unternehmensnetzwerk zu, so besteht die Möglichkeit, dass auf diesem Weg Schadsoftware von dem privaten Gerät auf das Unternehmensnetzwerk gelangt.
Des Weiteren sind die folgenden Maßnahmen zu ergreifen:
-> Zugang zu personenbezogenen Daten nur mit komplexem Passwort oder vergleichbarer Sicherung PIN (ggf. Zwei-Faktor-Authentifizierung)
-> Die Verbindung zum Firmennetzwerk darf ausschließlich über einen VPN-Tunnel erfolgen
-> WLAN – Zugänge müssen mit einem sicheren Passwort abgesichert werden
-> Die vom Arbeitgeber bereitgestellten Geräte sollten zentral administriert und einer einheitlichen Policy unterworfen werden.
c) Räumliche Sicherheit
Auch die räumliche Sicherheit muss im Homeoffice beachtet werden. Geräte und Daten sind sicher aufzubewahren und sorgfältig zu nutzen. Dazu sollten sie, wenn möglich, in einem abschließbaren Zimmer aufbewahrt werden. Sollte das nicht möglich sein ist, so sind die Daten und Geräte zumindest in einem verschlossenen Schrank aufzubewahren. Bei Verlassen des Raums sollte der Bildschirm des PCs gesperrt werden.
IV. Kontrollrechte
Damit die getroffenen Maßnahmen auch eingehalten werden können, sollte sich der Arbeitgeber vertraglich das Recht einräumen lassen, die Wohnung des Beschäftigten kontrollieren zu dürfen. Das Kontrollrecht kann entweder direkt im Arbeitsvertrag oder individuell, einwilligungsbasiert geregelt werden.
V. Vereinbarung
Die getroffenen Regelungen und Maßnahmen müssen in einer Homeoffice-Vereinbarung festgelegt werden. Gerne können Sie dazu unser Muster verwenden auf myGindat im Datenschutz-Gesamtpaket unter 19.08.
Max Macht
Volljurist