Datenschutz im Homeoffice: Vorgaben und Risiken im Überblick
0211/836 80 57-0 kanzlei@baum-reiter.de
0211/836 80 57-0 kanzlei@baum-reiter.de
Lassen Sie sich von uns beraten
Nehmen Sie noch heute Kontakt zu uns auf!

Datenschutz im Homeoffice

Homeoffice: Nicht nur in Corona-Zeiten ein Vorteil für alle Beteiligten

„Homeoffice“ ist nicht erst seit der Corona-Pandemie ein Thema in vielen deutschen Betrieben und Behörden. Schon seit Längerem entwickelte sich ein Trend dahingehend, dass Arbeitgeber Ihren Mitarbeitern mehr Flexibilität bei der Wahl der Arbeitsstätte anbieten wollen. Die Arbeit von Zuhause ist in der Regel ohne Probleme möglich, wenn die Systeme z.B. cloudbasiert organisiert sind oder aber der Mitarbeiter sich per VPN-Schnittstelle in das Unternehmensnetzwerk einwählen kann. Daneben kann die konsequente Einbindung von Homeoffice-Arbeitsplätzen wertvolle Kapazitäten in teuren Bürogebäuden einsparen. Der Arbeitnehmer freut sich, der Arbeitgeber freut sich – im Ergebnis also eine „Win-Win-Situation“.

„Homeoffice“ ist nicht erst seit der Corona-Pandemie ein Thema in vielen deutschen Betrieben und Behörden. 

Schon seit Längerem entwickelte sich ein Trend dahingehend, dass Arbeitgeber Ihren Mitarbeitern mehr Flexibilität bei der Wahl der Arbeitsstätte anbieten wollen. Die Arbeit von Zuhause ist in der Regel ohne Probleme möglich, wenn die Systeme z.B. cloudbasiert organisiert sind oder aber der Mitarbeiter sich per VPN-Schnittstelle in das Unternehmensnetzwerk einwählen kann. Daneben kann die konsequente Einbindung von Homeoffice-Arbeitsplätzen wertvolle Kapazitäten in teuren Bürogebäuden einsparen. Der Arbeitnehmer freut sich, der Arbeitgeber freut sich – im Ergebnis also eine „Win-Win-Situation“.

Seit der Corona-Krise ist das Thema Homeoffice (Telearbeit) aktueller denn je. In diesen Zeiten arbeiten Millionen von Arbeitnehmern von Zuhause aus. Das bedeutet für den Arbeitgeber neue organisatorische Herausforderungen. Denn wie in den betriebseigenen Büroräumen muss auch im Homeoffice für die Einhaltung von Datenschutz und Datensicherheit gesorgt sein.

Wir beraten Sie in den Bereichen Datenschutz und Datensicherheit. Ist es erforderlich, übernehmen wir die anwaltliche Vertretung. Nutzen Sie die Möglichkeit und nehmen Sie Kontakt zu uns auf – kostenfrei und unverbindlich!

Aktuelles im IT-Recht

br&c IT-News

1. Europarechtliche Probleme des Netzwerkdurchsetzungsgesetzes (NetzDG) Das Verwaltungsgericht Köln hat mit Beschlüssen vom 01.03.2022 (Az. 6 L 1277/21 und 1354/21) festgestellt, dass zentrale Vorschriften des

Weiterlesen »

Einfach „unzertrennlich“: Homeoffice, Datenschutz und Datensicherheit

Die Organisation von Datenschutz und Datensicherheit sind für die Arbeit im Homeoffice eine wichtige Grundlage. Maßgebliche Vorschriften sind in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG). Das Datenschutzrecht kommt immer dann zum Tragen, wenn (auch) personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind grundsätzlich alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es geht also in erster Linie um Kundendaten und Mitarbeiterdaten wie Namen, Adresse oder Telefonnummer, jedoch auch um jedes sonstige Datum, das mit einer natürlichen Person in Verbindung gebracht werden kann (z.B. Mitgliedsnummern, Konto- und Kreditkartennummer, Kfz-Kennzeichen, Personalausweisenummer etc.).

Dürfen unter Berücksichtigung der datenschutzrechtlichen Vorschriften personenbezogene Daten verarbeitet werden, müssen die Daten mit sogenannten technisch-organisatorischen Maßnahmen (sog. TOMs) vor Löschung, Veränderung oder unbefugter Weitergabe geschützt werden (sog. Datensicherheit). Diese Maßnahmen müssen dem Risiko der Datenverarbeitung entsprechend angepasst sein und dem aktuellen Stand der Technik entsprechen. Solange Daten keinen Personenbezug aufweisen, kommt das Datenschutzrecht zwar nicht zur Anwendung. Jedoch sind auch die sonstigen Unternehmensdaten ein wertvollen Gut, das vor Zugriffen Dritter geschützt werden muss. Sonst werden möglicherweise Geschäftsgeheimnisse aus Unachtsamkeit preisgegeben.

Datenschutz: Gleichermaßen für private Unternehmen und Behörden ein Thema

Die datenschutzrechtlichen Vorschriften müssen sowohl von privaten Unternehmen als auch von Behörden eingehalten werden. Die Erfahrung zeigt, dass gerade kleinere Kommunen auf die Einrichtung von Homeoffice-Arbeitsplätzen angewiesen sind. Denn im Falle einer Corona-Erkrankung sind Quarantäneanordnungen für Kontaktpersonen die Regel. Ist ein Arbeiten von Zuhause aus – insbesondere mangels datenschutzrechtlicher Vorkehrungen – nicht möglich, muss auf wichtige Mitarbeiter verzichtet werden. Weitsichtig handelt daher, wer vorsorglich ein Arbeiten im Homeoffice insbesondere auch im Hinblick auf Datenschutz und Datensicherheit organisiert hat.

Welche Risiken bestehen im Homeoffice für Datenschutz und Datensicherheit?

Risiken für Datenschutz und Datensicherheit bestehen zum einen darin, dass die Wohnverhältnisse bei jedem Arbeitnehmer verschieden sind. Für den Arbeitgeber ist es daher nur schwer möglich, einheitliche Standards zu definieren, wie z.B. ein separater abschließbarer Raum, in dem der Tätigkeit nachgegangen wird. Zum anderen kommt es maßgeblich darauf an, dass die Arbeit im Homeoffice in Form einer voll elektronischen Datenverarbeitung ohne Medienbruch, das heißt ohne Wechsel der Medien, ausgeführt werden kann. Die Kommunikation mit dem Arbeitgeber (Aufgabenverteilung, Übermittlung der Arbeitsergebnisse, sonstige Anweisungen) sollte ausschließlich digital über eine verschlüsselte Verbindung erfolgen. Der physische Transport von Daten (z.B. in Papierform oder auf externen Festplatten) sollte vermieden werden, da hier das Risiko des Verlustes besonders hoch ist. Beim „Mobilen Arbeiten“ (z.B. im Zug, im Hotel oder im Café) kommt es vor allem auf die Datensicherheit des mobilen Arbeitsgeräts (z.B. Verschlüsselung der Daten auf dem Laptop) an. Mitarbeiter müssen sicherstellen, dass kein Dritter den Bildschirm des Arbeitsgeräts einsehen kann. Telefonate sollten nur geführt werden, wenn ein Mithören durch Dritte ausgeschlossen ist.

Vorsicht beim Umgang mit besonders schützenswerten Daten!

Aus datenschutzrechtlicher Sicht ist beim Umgang mit besonders schützenswerten personenbezogenen Daten erhöhte Vorsicht geboten. Konkret geht es um Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Soweit Daten vorgenannter Themenbereich Gegenstand der täglichen Arbeit im Homeoffice sind, muss der Arbeitgeber in Punkto Datensicherheit besonders aufmerksam sein und dem Arbeitnehmer die Art und Weise der Datenverarbeitung genau vorgeben.

Sie sind Unternehmer und suchen Experten im Bereich Datenschutz und Datensicherheit? Nutzen Sie unser Kontaktformular und schildern Sie uns Ihr Anliegen!

Die Vorgaben für Datenschutz und Datensicherheit gelten auch für „Mobiles Arbeiten“!

Die Vorschriften für Datenschutz und Datensicherheit sind nicht nur im Homeoffice (Telearbeit), sondern vor allem auch beim „Mobilen Arbeiten“ zu beachten. Die Nutzung von mobilen Endgeräten wie Laptops oder Smartphones in öffentlichen Bereichen wie Hotellobbys, Cafés, Flugzeugen oder Zügen birgt ein erhöhtes Risiko. Besondere Vorsicht ist bei der Nutzung öffentlicher WLAN-Netzwerke geboten. Eine verschlüsselte Kommunikation ist Pflicht. In praktischer Hinsicht ist darauf zu achten, dass keine unbefugten Dritten (z.B. der Sitznachbar) mitlesen oder mithören. Vorzugswürdig dürfte stets der Einsatz von durch den Arbeitgeber bereitgestellter Geräte sein. Sollten private Geräte zum Einsatz kommen („Bring Your Own Device“), sind mit dem Arbeitnehmer Vereinbarungen über den Umgang mit geschäftlichen Daten (insbesondere im Hinblick auf Kontrolle und Löschung) sowie zur Trennung von geschäftlichen und privaten Inhalten zu treffen. Der Einrichtung von wirksamen technisch-organisatorischen Maßnahmen (TOMs) kommt besondere Bedeutung zu. Vornehmlich geht es um den Zugriff auf personenbezogene Daten nur per PIN oder sonstiger Authentifizierungsverfahren, die Verbindung zum Unternehmensserver per VPN-Verbindung, die Verschlüsselung der Daten oder die Regelmäßige Schulung/Fortbildung der Mitarbeiter.

Können im Homeoffice auch private Endgeräte genutzt werden („Bring Your Own Device“)?

Aus Kostengesichtspunkten oder bei Beschaffungsschwierigkeiten kann die Nutzung von privaten Endgeräten (z.B. Laptop oder Smartphone) im Homeoffice eine zweckmäßige Lösung sein. Datenschutz und Datensicherheit stehen dem nicht per se entgegen. In Homeoffice-Richtlinien können dem Mitarbeiter Leitlinien an die Hand gegeben werden, wie er sein privates Endgerät datenschutzkonform und sicher einsetzen kann.

Kontrollrechte und –pflichten des Arbeitgebers!

Auch wenn der Arbeitnehmer im Homeoffice tätig ist, bleibt der Arbeitgeber in datenschutzrechtlicher Hinsicht verantwortliche Stelle. Er bleibt für den Schutz der personenbezogenen Daten verantwortlich und zwar völlig unabhängig davon, ob der Mitarbeiter seine Arbeit im Homeoffice oder an seinem festen Arbeitsplatz in den Geschäftsräumen verrichtet. Der Arbeitgeber muss sich vergewissern, dass der Arbeitnehmer Zuhause im Homeoffice die Vorgaben für Datenschutz und Datensicherheit einhält, d.h. insbesondere die verpflichtenden technisch-organisatorischen Maßnahmen beachtet. Im Zweifel muss der Arbeitgeber die Gegebenheiten vor Ort, also beim Mitarbeiter Zuhause, kontrollieren. Einer solchen Kontrolle steht das Grundrecht des Arbeitnehmers nach Art. 13 GG (Unverletzlichkeit der Wohnung) entgegen. Eine Kontrolle ohne Einverständnis des Arbeitnehmers ist daher nicht möglich. Ein Kontrollrecht des Arbeitgebrs für Homeoffice-Arbeitsplätze kann jedoch in Arbeitsverträgen explizit vereinbart werden.

Verhaltensregeln im Homeoffice: Geben Sie Ihrem Mitarbeiter Richtlinien an die Hand!

Konzepte für Datenschutz und Datensicherheit wirken nur dann, wenn sie bei den Mitarbeitern bekannt, akzeptiert und bei der täglichen Arbeit im Homeoffice umgesetzt werden. Zentraler Bestandteil ist daher die Aufstellung von „Homeoffice-Richtlinien“, die vom Mitarbeiter, der im Homeoffice oder sonst mobil tätig, zwingend zu beachten sind. Konkret geht es um eine Vereinbarung mit folgenden Mindestbestandteilen:

  • Geltungsbereiche
    Arbeitsmittel (zugelassene Arbeitsorte)
  • Arbeitszeiten
  • Zugelassene Endgeräte
  • Grundsätze für die IT-Sicherheit
  • Kontrollbefugnisse
  • Ggf. Ausnahmen
  • Ggf. Hinweis auf Sanktionen bei Verstoß

Genauerer Inhalt und Ausgestaltung der „Homeoffice-Richtlinie“ hängen von den individuellen Gegebenheiten beim Arbeitgeber ab. Maßgeblich kommt es darauf an, dass die „Homeoffice-Richtlinie“ für den Mitarbeiter transparent und klar verständlich formuliert ist. Im Zweifel können die Arbeitnehmer per Schulung auf die Tätigkeit im Homeoffice vorbereitet werden.

Sichern Sie sich anwaltliche Unterstützung bei der Umsetzung von Datenschutz und Datensicherheit im Homeoffice!

Mit anwaltlicher Hilfe können Sie die Einhaltung datenschutzrechtlicher Vorgaben auch für die Arbeit im Homeoffice sicherstellen.

  1. NEHMEN SIE KONTAKT MIT UNS AUF.

     

  2. WIR BESPRECHEN MIT IHNEN DEN STATUS QUO.
    – Arbeiten Ihre Mitarbeiter bereits im Homeoffice?
    – Werden personenbezogene Daten verarbeitet?
    – Welche technischen Geräte werden verwendet (Stichwort: „Bring Your Own Device“)?
    – Welche technischen-organisatorischen Maßnahmen bestehen bereits?

  3. WIR BESPRECHEN MIT IHNEN DIE SINNVOLLSTEN MAßNAHMEN.

     

  4. WIR SETZEN MIT IHNEN GEMEINSAM DIE MAßNAHMEN UM.
    – Erstellung und Einführung von Homeoffice-Richtlinien
    – Mitarbeiterschulungen im Bereich Datenschutz und Datensicherheit

 
Die Entscheidung, das Zuhause der Mitarbeiter als potentiellen Arbeitsplatz zu nutzen, sollte nicht an den Fragestellungen zu Datenschutz und Datensicherheit scheitern. Die Einhaltung von Datenschutz und Datensicherheit im Homeoffice ist vornehmlich eine Frage der Organisation. Gerne sind wir Ihnen mit unserer fachlichen Expertise behilflich.

Haben Sie noch offene Fragen?

baum reiter & collegen berät sowohl Unternehmen als auch betriebliche Datenschutzbeauftragte bei allen Fragen um Zuständigkeiten, Befugnisse und Rechtspflichten. Auch bei der Bestellung eines externen Datenschutzbeauftragten stehen wir Ihnen mit unserer Erfahrung gern zur Seite.