Tanja Altmaier
Datenschutzbeauftragte
Homeoffice erfreut sich immer größer werdender Popularität. Bieten sich doch dadurch neue Möglichkeiten – sowohl für Arbeitgeber als auch Arbeitnehmer. Aber lassen sich die strengen Vorgaben zum Thema Datenschutz im häuslichen Bereich oder mobilen Arbeiten überhaupt umsetzen?
Grundlegend kann man sagen, dass durch das Inkrafttreten der DSGVO und der Neufassung des BDSG selbstverständlich weiterhin Telearbeit und mobiles Arbeiten möglich sind. Selbst wenn es keine expliziten Regelungen innerhalb der DSGVO gibt, die eigens für die Arbeit von zu Hause oder unterwegs gelten.
Doch gilt es im Einzelfall sorgsam abzuwägen und zu entscheiden, ob eine Verlagerung der Arbeit ins Homeoffice sinnvoll und vor allem aus datenschutzrechtlicher Sicht vertretbar ist.
Je nachdem um welche Tätigkeit es sich handelt, sind vielleicht nicht nur allgemeine Unternehmensdaten im Spiel, sondern auch personenbezogene Daten, vielleicht sogar besondere Kategorien von Daten (z. B. Gesundheitsdaten). Dann kommen die Vorgaben der DSGVO und dem Bundesdatenschutzgesetz (BDSG n. F.) ins Spiel.
Warum? Weil eine Verarbeitung personenbezogener Daten Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringen kann. Und genau hier greift die DSGVO ein und regelt, was zum Schutz personenbezogener Daten zu tun ist.
Wird eine Verarbeitungstätigkeit an einen Telearbeitsplatz verlagert, dann muss dort genauso auf die Wahrung des Datenschutzes geachtet werden, als würde die Verarbeitung direkt am Firmenstandort durchgeführt werden.
Grundsätzlich gilt, dass innerhalb eines Unternehmens immer „der Chef“, sprich Geschäftsführer, der Verantwortliche im Datenschutz ist. Das schließt ein, dass der Arbeitgeber auch bei der Telearbeit die datenschutzrechtliche Verantwortung trägt.
Um dieser Verantwortung nachzukommen, sind klare Vereinbarungen und Regelungen mit den entsprechenden Mitarbeitern zu treffen, aber auch im Voraus eingehend zu prüfen, welche Daten am jeweiligen Telearbeitsplatz verarbeitet werden. Denn für die Beurteilung ob und welche Schutzmaßnahmen im Homeoffice ergriffen werden müssen, ist exakt zu ermitteln, mit welchen Daten Mitarbeiter zu tun haben werden.
Werden entsprechende Maßnahmen zum Schutz personenbezogener Daten, bzw. besonderer Kategorien von Daten, etabliert und sauber dokumentiert, so steht grundsätzlich einer Verarbeitung im Rahmen der Telearbeit oder der mobilen Arbeit nichts im Weg.
Bei der Verlagerung von Arbeitsabläufen ins Homeoffice kommt es grundsätzlich darauf an, welche Daten dort verarbeitet werden sollen. Fertigt jemand eine technische Zeichnung zum Bauteil einer Maschine, ohne dass dort auch nur ein einziger Personenbezug besteht, so wäre diese Tätigkeit datenschutzrechtlich nicht relevant. Anders sieht es aus, wenn z. B. ein Architekt Namen, Adresse und weitere personenbezogene Daten auf einem Bauplan notiert.
Sobald in irgendeiner Form personenbezogene Daten im Spiel sind, gelten die Vorschriften zum Datenschutz nach DSGVO und BDSG n. F. selbstverständlich auch im Homeoffice. Auf den Geltungsbereich anderer Rechtsgrundlagen (z. B. das Geschäftsgeheimnisgesetz GeschGehG) soll an der Stelle nicht eingegangen werden.
Entscheidend für den Geltungsbereich der datenschutzrechtlichen Vorgaben ist die Existenz personenbezogener Daten und nicht der Ort der Arbeitsleistung. Herausforderung für Verantwortliche im Datenschutz ist jedoch die Tatsache, dass es schwieriger ist, die Einhaltung der Vorgaben zu überwachen und zu kontrollieren, sobald eine Verarbeitungstätigkeit im häuslichen Bereich oder mittels mobile Office durchgeführt wird. Auch besteht im außerbetrieblichen Bereich schneller die Gefahr, dass es zu einer Datenpanne oder gar einem meldepflichtigen Datenschutzverstoß kommt. Denn außerhalb der Räumlichkeiten eines Betriebs kann es viel schneller und einfacher zum Zugriff unberechtigter Dritter auf personenbezogene Daten kommen. Ebenso ergeben sich in puncto Datensicherung manches Mal Schwierigkeiten, sobald diese nicht mehr über das zentrale betriebliche System abgedeckt wird, sondern in der Verantwortlichkeit eines einzelnen Mitarbeiters liegt.
Wie bereits erwähnt, gilt es durch die entsprechende Gestaltung des Arbeitsvertrages oder einer separaten Vereinbarung zur Telearbeit, viele rechtliche Vorgaben abzudecken. Doch das allein reicht nicht aus, um datenschutzkonform zu arbeiten. Hier kommt nun wieder das entscheidende Wort, wenn es um Datenschutz geht: Dokumentation.
Gibt es im Unternehmen einen Datenschutzbeauftragten, so sollte dieser unbedingt mit ins Boot geholt werden, wenn es um die Bereiche Homeoffice oder mobile-office geht.
Der Datenschutzbeauftragte wird den Verantwortlichen beraten und zur Seite stehen, wenn es darum geht, die Datenschutzerklärung des Unternehmens so zu formulieren, dass eine Verarbeitung personenbezogener Daten durch Telearbeit datenschutzkonform stattfinden kann.
Darüber hinaus gehört es unbedingt dazu, Mitarbeiter regelmäßig im Datenschutz zu schulen. Sollte die Möglichkeit für Telearbeit bestehen, so empfiehlt es sich, extra auf die Besonderheiten und Herausforderungen in puncto Datenschutz einzugehen. Nur Mitarbeiter, die entsprechend geschult und sensibilisiert sind, können den Verantwortlichen in der Umsetzung der DSGVO ausreichend unterstützen. Die Durchführung solcher Schulungen ist ebenso Bestandteil der Dokumentation zu datenschutzkonformem Arbeiten.
Worauf kommt es noch an? Die Schnittstelle zwischen dem Datenschutz von personenbezogenen Daten, und der Datensicherheit sind die sogenannten technischen-organisatorischen Maßnahmen. (Art. 32 DSGVO). Jeder Verantwortliche – und vor allem jeder Verantwortliche, der es ermöglicht, dass ein Teil der Verarbeitungstätigkeiten durch Telearbeit oder mobiles Arbeiten erledigt wird, hat geeignete Maßnahmen zu treffen, um die Verarbeitung der Daten sicherzustellen.
Dabei spielen folgende Überlegungen eine Rolle:
Ziel dieser Überlegungen und Abwägungen ist immer, ein dem Risiko angemessenes Schutzniveau für personenbezogene oder patientenbezogene Daten zu gewährleisten.
Ziel der technischen-organisatorischen Maßnahmen (kurz TOMs) ist ein dem Risiko angemessenes Schutzniveau zu erreichen. Um das sicherzustellen gibt es eine Menge von Möglichkeiten, die je nach Branche, Unternehmensgröße oder sonstiger spezifischer Unterschiede einer Einrichtung natürlich variieren. Und selbstverständlich gilt es dabei auch zu berücksichtigen, Maßnahmen in die TOMs aufgenommen werden, die auf Telearbeit ausgerichtet sind.
Doch der Grundgedanke ist immer derselbe: es geht, um den Schutz der Daten – insbesondere der personenbezogenen und Daten eines Betroffenen, oder auch der besonderen Kategorien von Daten (Art. 9 DSGVO), wie z. B. Gesundheitsdaten.
Art. 32 DSGVO liefert wichtige Grundsätze, die für den Datenschutz relevant sind. Einige davon sind für die eigentliche technische Verarbeitung wichtig (technische Maßnahmen) – wie z. B. eine Verschlüsselung von Daten oder Datenträgern, die Benutzung von Firewalls. Selbst die Bereitstellung eines Notstromaggregates oder einer die Installation einer USV für unterbrechungsfreie Stromversorgung fällt unter die Rubrik „technische Maßnahme“.
Geht es um das „O“ in den TOM´s – also die organisatorischen Maßnahmen – so wird hier im nichttechnischen Bereich Vorsorge getroffen. Beispielsweise durch regelmäßige Schulung und Sensibilisierung der Mitarbeiter, durch Vergabe von Zugriffsberechtigungen auf bestimmte Daten, aber auch einfach ein abschließbarer Schrank im Büro zu Hause, oder gleich die Möglichkeit das Büro zu verschließen, usw…
Welche Eckpunkte nennt die DSGVO konkret:
Das klingt alles sehr theoretisch. Darum ist es wertvoll, dass das BDSG n. F. im §64 den Bereich ebenfalls aufgreift. Insbesondere §64 Abs. 3 BDSG n. F. liefert die Oberbegriffe, auf die es wirklich ankommt.
Soweit zu einem groben Überblick, der wichtigsten Eckpunkte für technische-organisatorische Maßnahmen.
Wichtig ist auf jeden Fall, alle Maßnahmen, die gemäß §64 BDSG n. F. erforderlich sind, unbedingt schriftlich festzuhalten. Dokumentation und regelmäßige Evaluation sind hier essenziell.
Um für die einzelnen Verarbeitungstätigkeiten die entsprechenden Schutzmaßnahmen zu etablieren, macht es Sinn im Verzeichnis der Verarbeitungstätigkeiten die Prozesse so genau als möglich zu beschreiben – auch diejenigen, die mittels Telearbeit erledigt werden.
Hat man alle Prozesse erfasst, empfiehlt es sich, eine Risikoanalyse durchzuführen. Dabei gilt es zu bewerten, wie hoch das Risiko für die Rechte und Freiheiten betroffener Personen im Fall eines Missbrauchs von personenbezogenen Daten in Verbindung mit einer konkreten Tätigkeit einzustufen wäre.
Zu überlegen ist auch, ob es grundsätzlich möglich ist, die Telearbeit medienbruchfrei zu gestalten. Denn bei der isolierten oder alternierenden Telearbeit kann der Arbeitgeber als Verantwortlicher Abläufe und Sicherheitsvorkehrungen eher kontrollieren und minimieren, als durch mobiles Arbeiten.
Außerdem reduziert sich das Risiko der unbefugten Einsichtnahme oder des Verlustes, wenn personenbezogene Daten automatisiert und unter Zuhilfenahme von verschlüsselter elektronischer Kommunikation transportiert werden.
Außerdem gilt es darauf zu achten, dass der Schutz der personenbezogenen Daten selbstverständlich für alle Mitarbeiterinnen und Mitarbeiter gewährleistet wird. Denn auch sämtliche Mitarbeiter- und Personaldaten, die im Rahmen des Beschäftigtenverhältnisses erhoben werden, unterliegen dem Datenschutz nach DSGVO und BDSG n. F.
Jeder Mitarbeiter hat ebenso Rechte und Freiheiten, die durch eine Datenpanne in Gefahr sein könnten. Und genau, wie beim Kunden, gibt es auch beim Personal Stammdaten (Name, Adresse, Telefonnummer) und besondere Kategorien von Daten nach Art. 9 der DSGVO (Gesundheitsdaten, Gewerkschaftszugehörigkeit, Biometrische Daten, …). Wird eine Verarbeitungstätigkeit, in der solche Daten verarbeitet werden vom Homeoffice aus erledigt, dann muss umso mehr Wert darauf gelegt werden, diese Daten zu schützen.
Grundsätzlich gibt der Bundesbeauftragte für Datenschutz und Informationsfreiheit den Rat, dass die personenbezogenen Daten umso stärker zu schützen sind, je sensibler sie sind.
Deswegen ist es sicher einen Gedanken wert, zu prüfen, ob die Verarbeitung sensibler, besonderer Kategorien von Daten nicht direkt im Unternehmen stattfinden kann, anstatt im Homeoffice.
Außerdem wird jedem Verantwortlichen dringend ans Herz gelegt, Datenschutzgrundsätze in einer Betriebs- oder Dienstvereinbarung zu fixieren und diese jedem Mitarbeiter zur Verfügung zu stellen. Denn Datenschutz ist immer Teamarbeit, auch wenn allen voran die Geschäftsführung eines Unternehmens Verantwortlicher ist.
In enger Abstimmung mit dem Datenschutzbeauftragten und der IT-Abteilung empfiehlt sich auch das Erstellen einer IT-Richtlinie, in der klar geregelt ist, worauf es in Bezug auf die Nutzung und den Einsatz von IT- und Kommunikationssystem zu achten ist.
Bevor der Startschuss für Telearbeit oder mobiles Arbeiten gegeben werden kann, sind viele einzelne Schritte erforderlich. Deshalb gilt es kritisch zu überprüfen ob und welche Tätigkeiten ins häusliche Umfeld oder ins mobile Office verlagert werden.
Homeoffice ist heute aus dem beruflichen Umfeld kaum noch wegzudenken. Im Gegenteil. Gerade seit dem Auftreten der Corona-Pandemie hat dieser Themenkomplex relativ schnell und massiv an Bedeutung gewonnen. Doch so toll wie es klingt, von zu Hause aus arbeiten zu können, so viele Herausforderungen warten auf Verantwortlichen und Mitarbeiter, was das Thema Datenschutz und IT-Sicherheit angeht.
Darum jetzt noch einige Tipps beziehungsweise Fragestellungen für die Praxis, die helfen sollen, dass der Start ins Homeoffice nicht zu einem Datenschutz-Alptraum wird:
Interessante und hilfreiche Tipps zu datenschutzrechtlichen Regelungen im Homeoffice liefert auch die neuste Checkliste, die das Bayerische Landesamt für Datenschutzaufsicht im Mai 2020 zur Verfügung gestellt hat.
Als Fazit aus diesem Artikel ergibt sich, dass die Frage ob und in welchem Umfang Homeoffice umgesetzt werden kann, stets eine Einzelfallentscheidung des jeweiligen Verantwortlichen bleiben wird. Schließlich gilt es den Schutz der personenbezogenen Daten zu wahren, und die Risiken für die Rechte und Freiheiten betroffenen Personen zu minimieren.
Aber mit den richtigen Schutzmaßnahmen, die regelmäßig überprüft und an den Stand der Technik angepasst werden, ist es mit Sicherheit möglich Datenschutz und Telearbeit zu vereinbaren.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!