Zu Zeiten der COVID-19-Pandemie wird zur Verringerung einer Ausbreitung dazu geraten, nach Möglichkeit die Arbeitstätigkeiten aus dem Home Office zu erledigen. Dabei kommt es zur Verarbeitung personenbezogener Daten und das zumeist mit privaten Endgeräten. Doch auch in Krisenzeiten gilt es IT- und datenschutzrechtliche Vorgaben zu beachten, um einem Datenverstoß vorzubeugen.
Generell gilt, dass bei der Arbeit im Home Office ebenso wie am Arbeitsplatz im Unternehmen die Vertraulichkeit und die Integrität der personenbezogenen Daten gewährleistet sein muss. Dem Verarbeitungsgrundsatz gem. Art. 5 Abs. 1 DSGVO folgt, dass die personenbezogenen Daten vor unbefugter und unberechtigter Verarbeitung sowie vor einem unbeabsichtigten Verlust, Zerstörung oder Beschädigung zu schützen sind.
I .Die Nutzung von privater und betrieblicher Hard- und Software
Bei der Täigkeit aus dem Home-Office sollte, sofern möglich, von der Nutzung privater Hardware abgesehen werden und ausschließlich die vom Arbeitgeber bereitgestellte Hard- und Software genutzt werden. Ist die Nutzung privater Endgeräte unvermeidbar, sollte der Arbeitgeber die technischen Voraussetzungen für die Verwendung der privaten Geräte sicherstellen. Dazu gehört z.B. die Trennung privater und betrieblicher Daten im Rahmen einer Cloud-Lösung oder die Einrichtung von IT-Sicherheitssystemen.
Die Speicherung von Arbeitsergebnissen darf nicht auf privaten Speichermedien erfolgen, sondern bestenfalls werden alle Tätigkeiten in dem Unternehmensnetzwerk des Arbeitgebers der sogenannten Cloud, unternommen und dort abgespeichert. Das Unternehmen sollte dafür die Möglichkeit schaffen, dass die Arbeitnehmer vom Home Office auf die IT-Infrastruktur des Arbeitgebers zugreifen können. Sollte eine Speicherung nur lokal auf privaten Speichermedien möglich sein, müssen die personenbezogenen Daten verschlüsselt abgespeichert werden und bei zeitnaher Gelegenheit gelöscht werden.
Ein weiteres Problem ergibt sich bei der Nutzung privater Software, wie z. B. MS Office. Regelmäßig wird der Arbeitnehmer privat eine Lizenzvereinbarung abgeschlossen haben, nach der eine betriebliche Nutzung ausdrücklich untersagt ist. Demnach ist auch hier auf die Nutzung betrieblicher Software hinzuweisen oder für eine entsprechende Lizenzierung zu sorgen. Dies gilt auch für den Einsatz von Software für Videokonferenzen oder Nutzung von Cloud-Diensten. Nur weil Software, wie Teamviewer, Webex und Dropbox kostenlos heruntergeladen oder einfach eingerichtet werden können, ist die gewerbliche Nutzung ohne weiteres erlaubt. Auch hier müssen die richtigen Lizenzen erworben werden.
II. Weiterleiten von E-Mails
Von dem Weiterleiten betrieblicher E-Mails auf den privaten E-Mail-Account sollte abgesehen werden. Dadurch ist es dem Arbeitgeber nicht mehr möglich seinen datenschutzrechtlichen Pflichten, wie z.B. die Einhaltung angemessener technischer und organisatorischer Maßnahmen, im vollen Umfang nachzukommen. Der Arbeitgeber ist auch beim Home Office für die Einhaltung der Vorgaben nach der DSGVO verantwortlich.
III. Physische Daten im Home Office
Die Verwendung physischer Daten (Akten, Ausdrucke) im Home Office sollte auf das notwendige Maß reduziert werden. Mangels entsprechender technischer Maßnahmen besteht nur bedingt die Möglichkeit, das Risiko des Verlusts oder der Beschädigung zu minimieren. Daher sollte bestenfalls vollelektronisch gearbeitet werden. Sollten physische Unterlagen dennoch benötigt werden, sollten diese ausschließlich in verschlossenen Behältnissen transportiert werden und keinesfalls unbeaufsichtigt gelassen werden. Ausgedruckte Dokumente sollten unmittelbar datenschutzkonform vernichtet werden, sobald der Verwendungszweck wegfällt. Eine Entsorgung über den Hausmüll ist nicht erlaubt.
IV. Zugang zu personenbezogenen Daten
Besonders im Home Office muss sichergestellt werden, dass ausschließlich der jeweilige Arbeitnehmer Zugang zu den personenbezogenen Daten hat. Demnach ist es empfehlenswert, dass der Arbeitnehmer nach Möglichkeit in einem Raum arbeitet, der Dritten zumindest temporär nicht zugänglich ist. Der Beschäftigte hat Sorge dafür zu tragen, dass die Risiken eines unbefugten Datenzugriffs durch Dritte minimiert werden. Maßnahmen hierzu sind das Sperren des Computers beim Verlassen des Arbeitsplatzes, das Abschließen des Arbeitszimmers bei Anwesenheit, das Vermeiden von Mithören von Telefongesprächen etc.
Der Arbeitnehmer sollte zum Schutz vertraulicher Daten vor einem Zugriff Dritter einen gesicherten Zugang des Arbeitnehmers auf die Systeme mit robuster Zugangsverifikation ermöglichen, z.B. VPN-Zugang. Zusätzlich zu einer Verschlüsselung sollten die betrieblichen Endgeräte über angemessene Schutzmechanismen, wie z.B. Passwortschutz verfügen.
V. Information zu Datenschutzvorfällen
Sollte im Home Office die Kenntnisnahme von personenbezogenen Daten durch unbefugte Dritte dennoch geschehen sein, so ist dies an den jeweiligen Datenschutzbeauftragten oder an eine von der Geschäftsführung bestimmten Stelle im Unternehmen zu melden. Denn grundsätzlich müssen Arbeitgeber Datenschutzverstöße der Behörde melden (ob eine Meldung erfolgt, sollte mit dem Datenschutzbeauftragten abgestimmt werden).
VI. Fazit
Das Datenschutzrecht muss auch in Zeiten der Corona-Krise eingehalten werden und stellt daher eine Herausforderung bei der Tätigkeit aus dem Home Office dar. Zwar besteht keine gesetzliche Pflicht zu einer Arbeitsrichtlinie im Home Office, jedoch ist eine solche Richtlinie zu den Einzelheiten der Verarbeitung personenbezogener Daten im Home Office unbedingt empfehlenswert. Wir unterstützen Sie gern bei der Erstellung einer solchen Richtlinie.
Rechtsanwalt
Fachanwalt für Gewerblichen Rechtsschutz