Datenschutz im Homeoffice
Dem Arbeitgeber obliegt auch bei einer Tätigkeit des Arbeitnehmers aus dessen Homeoffice hinaus weiterhin die Verantwortung, dass datenschutzrechtliche Vorschriften beachtet werden.
I. Vorbereitung
In besonderen Fällen, wie denen der Corona-Pandemie, mag es vorkommen, dass Beschäftigte kurzfristig im Homeoffice arbeiten müssen, ohne dass interne Regelungen bestehen, in denen die datenschutzrechtlichen Anforderungen beachtet sind. Ebenso mag in solchen Fällen kurzfristig keine dienstliche technische Infrastruktur zur Verfügung stehen.
Nachteil einer solchen Extremsituation ist, dass die Beschäftigten hierbei oft nicht wissen, wie personenbezogene Daten vor unbefugten Zugriffen in der Häuslichkeit, beim Transport oder bei der Datenübertragung geschützt werden müssen. Dies betrifft das Arbeiten am Computer aber auch die Arbeit mit Papierdokumenten oder das Telefonieren.
Zunächst muss allen Beteiligten bewusst sein, dass auch bei der Nutzung von Homeoffice die datenschutzrechtlichen Bestimmungen stets zu beachten sind und die datenschutzrechtliche Verantwortung nach wie vor bei dem Verantwortlichen liegt und nicht beim einzelnen Beschäftigten. Aus diesem Grund hat der Arbeitgeber auch zu regeln, welche Tätigkeiten im Homeoffice durchgeführt werden dürfen und welche technischen und organisatorischen Maßnahmen hierbei zu beachten sind.
Die Festlegung, welche Verarbeitungstätigkeiten im Homeoffice durchgeführt werden dürfen, obliegt dem Verantwortlichen. Dieser hat Art, Umfang, Umstände und Zwecke der jeweiligen Verarbeitung festzulegen und muss unter Berücksichtigung dieser Voraussetzungen eine Risikoanalyse durchführen. Diese Risikoanalyse verfolgt das Ziel die Gefährdungen für die Rechte der betroffenen Personen, die jeweilige Schadenshöhe sowie die Eintrittswahrscheinlichkeiten abzuwägen. Auf Grundlage des ermittelten Risikowertes muss der Verantwortliche unter Abwägung der Implementierungskosten und unter Berücksichtigung des Standes der Technik geeignete technische und organisatorische Maßnahmen festlegen und einführen, die den Schutz der Verarbeitung gewährleisten, indem Sie die Risiken auf ein vertretbares Niveau reduzieren.
Besonderer Beachtung bedürfen Verarbeitungen von Beschäftigtendaten, Sozialdaten sowie besonderer Kategorien personenbezogener Daten, da diese einen besonders hohen Schutzbedarf haben.
Hinzu kommt, dass in bestimmten Konstellationen einer Auftragsverarbeitung ein Verbot für die Verarbeitung personenbezogener Daten in Privatwohnungen besteht und Ausnahmen hiervon durch den Auftraggeber genehmigt werden müssen.
Zusammengefasst müssen also vor dem Beginn der Tätigkeit im Homeoffice die dem Risiko, der konkreten Arbeitssituation sowie dem Verarbeitungskontext entsprechenden Prüfschritte absolviert werden.
II. Durchführung
Nachdem auf Grundlage der Prüfungsschritte Verarbeitungstätigkeiten definiert wurden, die um Homeoffice durchgeführt werden dürfen, sind die Beschäftigten sowohl technisch auszustatten als auch organisatorisch anzuweisen bzw. zu sensibilisieren.
Zunächst ist insbesondere aufgrund der erhöhten Risiken bei einem kurzfristig eingerichteten Homeoffice-Arbeitsplatz zwingend darauf zu achten, dass interne Regelungen beim Umgang mit Datenpannen getroffen werden müssen. Alle Beschäftigten müssen vor allem wissen, wem Datenpannen zu melden sind.
Im Zusammenhang mit der Durchführung von Homeoffice empfehlen wir folgende acht „Bausteine“ zu beachten: