BLOG -


Homeoffice während der Corona-Krise: Datenschutzrechtliche Vorgaben

Um das Ansteckungs- und Verbreitungsrisiko des Coronavirus (SARS-CoV-2) zu verringern, entscheiden sich viele Unternehmen gegenwärtig, ihre Beschäftigten nach Möglichkeit von zuhause aus arbeiten zu lassen. Soweit vom heimischen Schreibtisch aus dabei personenbezogenen Daten verarbeitet werden, ist zu berücksichtigen, dass dann die datenschutzrechtlichen Vorgaben der DSGVO ohne weiteres gelten. Dies gilt insbesondere für die Pflicht, angemessene technische und organisatorische Schutzmaßnahmen zu treffen, um einem Datenschutzverstoß vorzubeugen. Gerade angesichts der im Fall der nicht DSGVO-konformen Datenverarbeitung drohenden Bußgelder, dies sollte auch in der derzeitigen Krise nicht außer Acht gelassen werden.

Bei der Arbeit im Homeoffice muss – wie auch am normalen Arbeitsplatz im Unternehmen – die Vertraulichkeit und Integrität der personenbezogenen Daten gewährleistet sein. Aus diesem in Art. 5 Abs. 1 lit. f) DSGVO festgeschriebenen Verarbeitungsgrundsatz folgt, dass die betroffenen personenbezogenen Daten

  • (i) vor unbefugter und unberechtigter Verarbeitung sowie vor
  • (ii) unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Beschädigung

zu schützen sind.

1. Nutzung von Hard- und Software, Speicherung von Arbeitsergebnissen

Dazu ist es im ersten Schritt zwingend erforderlich, dass auch für die Arbeit im Homeoffice ausschließlich die vom Arbeitgeber bereitgestellte Hard- und Software genutzt wird. Dies gilt nicht nur für den genutzten PC sondern insbesondere auch im Hinblick auf die Speicherung von Arbeitsergebnissen. Eine solche darf nicht auf privaten Speichermedien wie lokalen Festplatten oder ungesicherten USB-Sticks, sondern ausschließlich auf Servern oder sonstiger Hardware des Arbeitgebers und nach Möglichkeit in den dafür vorgesehenen Verzeichnissen und Ordnern erfolgen. Soweit wie möglich sollte von Unternehmensseite dafür die Möglichkeit geschaffen werden, dass die Mitarbeiter auch von zuhause aus (über eine Internet-Anbindung) auf die IT-Infrastruktur des Arbeitgebers zugreifen zu können. Sofern eine Speicherung nur lokal möglich ist, sollten die betroffenen personenbezogenen Daten dann jedenfalls nur verschlüsselt gespeichert werden. Zudem sollte eine lokale Speicherung bei nächster Gelegenheit auf die üblichen System und die jeweiligen Ordner übertragen werden.

2. Ausdruck von Arbeitsergebnissen

Der Ausdruck von Dokumenten im Homeoffice sollte auf das unbedingt erforderliche Maß beschränkt werden. Ausgedruckte Dokumente sollten nach Wegfall des Verwendungszwecks unmittelbar vernichtet werden. Soweit der Mitarbeiter über keine Geräte zur datenschutzkonformen Dokumentenvernichtung verfügt, müssen die Ausdrucke zumindest bei nächster Gelegenheit unverzüglich zur Vernichtung mit ins Büro gebracht werden. Eine Entsorgung über den Hausmüll muss in jedem Falle unterbleiben.

3. Zugang zu den personenbezogenen Daten

Es muss sichergestellt werden, dass ausschließlich der jeweilige Beschäftigte im Homeoffice Zugang zu den im Zusammenhang mit seiner Arbeitstätigkeit verarbeiteten personenbezogenen Daten hat. Familienangehörige, Mitbewohner oder sonstige Dritte dürfen hierzu keine Gelegenheit erhalten. Aus diesem Grund sollten die Beschäftigten angehalten werden, nach Möglichkeit in einem Raum zu arbeiten, der anderen Personen zumindest temporär nicht zugänglich ist. Alternativ sollte zumindest der Bildschirm so positioniert werden, dass er vor der Einsichtnahme durch Dritte geschützt ist. Beim Verlassen des Raumes sollte das Arbeitsgerät ausgeschaltet oder zumindest die passwortgesicherte Bildschirmsperre aktiviert werden.

4. Datenschutzvorfälle

Auch im Homeoffice-Bereich gilt, dass Datenschutzvorfälle, also insbesondere die Kenntnisnahme der betroffenen personenbezogenen Daten durch Unbefugte, an den jeweiligen betrieblichen Datenschutzbeauftragten oder, sofern ein solcher nicht benannt werden musste, zunächst an die von der Geschäftsführung hierfür bestimmte Stelle im Unternehmen zu melden sind. Sodann muss entschieden werden, wie mit dem Datenschutzvorfall weiter zu verfahren ist, also insbesondere ob eine Meldepflicht gegenüber den Datenschutzbehörden und/oder den Betroffenen besteht.

5. Sonstige Maßnahmen des Arbeitgebers

Um die Einhaltung der vorstehenden Grundsätze zu gewährleisten, sollte den Beschäftigten eine Arbeitsrichtlinie zu den Einzelheiten der Verarbeitung personenbezogener Daten im Homeoffice an die Hand gegeben werden.

Für den Arbeitgeber kann sich zusätzlich, je nach Sensibilität der betroffenen Daten, die Pflicht ergeben, vor der Ermöglichung von Homeoffice-Lösungen eine Datenschutzfolgeabschätzung durchzuführen.

Christian Frederik Döpke

Mathias Zimmer-Goertz

TAGS

Datenschutz Coronavirus Corona SARS-CoV-2 COVID-19 Homeoffice

Kontakt

Christian Frederik Döpke T   +49 211 518989-234 E   Christian.Doepke@advant-beiten.com
Mathias Zimmer-Goertz T   +49 211 518989-234 E   Mathias.Zimmer-Goertz@advant-beiten.com