Skip to content

Ist die Arbeit im Home Office mit den strengen Regeln der DS-GVO vereinbar? Wir erklären, was aus datenschutzrechtlicher Sicht zu beachten ist.

DATENSCHUTZ IM HOME OFFICE

Einleitung

Aufgrund der andauernden Corona-Pandemie verschlägt es immer mehr Arbeitnehmer ins Home Office. Viele Unternehmen ermöglichen ihren Arbeitnehmern bereits seit Mitte März ihre Arbeit von zuhause aus zu verrichten. Dies führte zu einer plötzlichen Digitalisierung der Arbeitsplätze ohne jegliche Vorlaufzeit. Etliche Unternehmen hatten nicht genügend Zeit, um sich auf die Heimarbeit ihrer Angestellten vorzubereiten und technische Maßnahmen für einen reibungslosen Ablauf bereitzustellen. Da die Arbeit von zuhause aus jedoch wegen der Verringerung des Infektionsrisikos enorm wichtig ist, geschah dies quasi von einem auf den anderen Tag. Es war und ist vor allem für Betriebe, die vorher noch keinerlei Erfahrung mit Heimarbeit hatten und bei denen die Arbeit aus dem Home Office eher unüblich war, eine große Umstellung.

In Zeiten wie diesen wird der Gesundheitsschutz großgeschrieben, dennoch darf der Datenschutz nicht völlig vernachlässigt werden. Es muss sich auch weiterhin an die Vorschriften der Datenschutz-Grundverordnung (DS-GVO) gehalten werden, auch wenn dies vor allem zu Anfang schwierig erscheint, gerade weil viele Unternehmen vorher nicht auf Heimarbeit ausgerichtet waren. Um den Datenschutz auch jetzt gewährleisten zu können, müssen Arbeitgeber nun dafür Sorge tragen, dass entsprechende Maßnahmen getroffen werden, um die Heimarbeit sicher zu gestalten.

Umsetzung vom Home Office

Eine generelle Pflicht des Arbeitnehmers, im Home Office zu arbeiten, gibt es nicht. Der Arbeitgeber kann seine Arbeitnehmer nur dann anweisen Heimarbeit zu leisten, wenn sie dies individualvertraglich vereinbart haben oder es in einem Tarifvertrag oder einer Betriebsvereinbarung ausdrücklich geregelt ist. Sofern es an solch einer Regelung fehlt, bedarf es stets der Zustimmung des Arbeitnehmers.

Viele Unternehmen haben nun wegen des Gesundheitsschutzes weitestgehend auf Heimarbeit umgestellt und deshalb auf Home Office-Vereinbarungen und -Richtlinien zurückgegriffen, häufig in Form von Zusätzen zu den Arbeitsverträgen oder als Betriebsvereinbarungen. In den Vereinbarungen wird in der Regel der Ablauf der Heimarbeit festgelegt, um den arbeitsrechtlichen und datenschutzrechtlichen Anforderungen zu entsprechen. Zudem werden die Arbeitnehmer über neue Pflichten in Bezug auf den Datenschutz informiert.

Datenschutz im Home Office

Die Arbeit aus dem Home Office birgt einige Risiken für den Schutz personenbezogener Daten, insbesondere für Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit. Unter normalen Umständen, wenn im Büro gearbeitet wird, hat der Arbeitgeber die Kontrolle über die Datenverarbeitung. Sobald die Beschäftigten zuhause arbeiten, besteht jedoch häufig keine unmittelbare Kontroll- und Zugriffmöglichkeit des Arbeitgebers auf die jeweiligen Daten und deren Verarbeitung, sowie die IT-Sicherheit im Allgemeinen. Dies ist insbesondere dann der Fall, wenn die Heimarbeit nicht ausschließlich über Firmen-Endgeräte und per VPN (Virtual Private Network) des Unternehmens erfolgt.

Um den Schutz der personenbezogenen Daten zu gewährleisten, sind technische und organisatorische Maßnahmen vom Arbeitgeber zu treffen. Es sollen vor allem die Übertragungswege gesichert und Daten verschlüsselt werden. Zudem sollen den Arbeitnehmern klare Vorgaben zur Nutzung von eventuell bereitgestellten Endgeräten (wie Laptops) und zur Einrichtung des häuslichen Arbeitsplatzes gegeben werden. Dies geschieht meist über Online-Schulungen und/oder die jeweiligen Home Office-Richtlinien.

Sofern möglich, statten die Unternehmen ihre Angestellten mit Firmen-Hardware aus, die von der jeweiligen IT-Abteilung datenschutzkonform eingerichtet und abgesichert wurde. Indem Laptops und Handys vom Arbeitgeber zur Verfügung gestellt werden, können zumindest die technischen Datenschutzvorgaben und ggf. auch die IT-Sicherheit gewährleistet werden, insbesondere in Bezug auf Zugriffsbeschränkungen und Löschregeln. Da manche Unternehmen aufgrund der kurzen Zeit nicht über genügend Firmen-Hardware verfügen, kann es den Arbeitnehmern auch gestattet sein, ihre eigenen Endgeräte für die Arbeit zu nutzen. Das sind dann Fälle des BYOD (bring your own device). Die Nutzung von eigener Hardware darf aber nur in Absprache mit dem Arbeitgeber erfolgen.  

Damit der Arbeitsplatz zuhause sicher ist, sollte eine VPN-Verbindung zum Firmennetzwerk bestehen (am besten noch mit anschließender Zwei-Faktor-Authentifizierung). Des Weiteren ist darauf zu achten, dass eine sichere (passwortgeschützte) WLAN-Verbindung genutzt wird und eine intakte Firewall besteht. Zudem sollten Passwörter verwendet werden, um den Zugriff von Dritten auf die Arbeitsmaterialien zu verhindern. Unter Dritten sind auch und vor allem Personen aus dem eigenen Haushalt zu verstehen.

Darüber hinaus ist darauf zu achten, dass, sofern Papierakten oder Papierdokumente genutzt werden, diese nach der Arbeit und auch in Pausen sicher weggeschlossen werden, um einen Zugriff von Seiten Dritter zu vermeiden. Die Entsorgung von den Papierdokumenten sollte sodann auch nicht im Hausmüll erfolgen.  

Video-Konferenzen und Datenschutz

Viele Unternehmen nutzen Video-Konferenzen, damit Meetings und Besprechungen auch im Home Office stattfinden können. Der Arbeitsalltag soll so „normal“ wie möglich sein. Da in den jeweiligen Konferenzen häufig die Bildschirme gespiegelt und personenbezogene Daten geteilt werden sowie ggf. auch über Betriebsgeheimnisse gesprochen wird, stellt sich die Frage, was bei Video-Konferenzen datenschutzrechtlich zu beachten ist.

Es ist zunächst bei der Auswahl des Anbieters darauf zu achten, wo dieser seinen Sitz hat. Es sollten möglichst Dienstleister aus der EU/dem EWR in Anspruch genommen werden, da diese den Vorschriften der DS-GVO unmittelbar unterliegen. Anbieter mit Sitz in einem Drittland dürfen die Daten nur verarbeiten, sofern in dem jeweiligen Land ein angemessenes Schutzniveau gewährleistet ist (Art. 45 DS-GVO) oder geeignete Garantien bestehen (Art. 46 DS-GVO). Bei der Auswahl sollten des Weiteren etwaige Business-Versionen der Video-Tools bevorzugt werden, da sie häufig über höhere Sicherheitsstandards verfügen.

Sobald die Auswahl auf einen Anbieter bzw. eine Software gefallen ist, sollte darauf geachtet werden, dass zusätzlich technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Es sollte bspw. sichergestellt sein, dass das Programm die gesendeten Daten auch verschlüsselt übermittelt. Zudem sind in dem jeweiligen Programm ggf. die Datenschutzeinstellungen nochmal manuell zu konfigurieren, um einen umfassenden Schutz der personenbezogenen Daten zu gewährleisten. Die Vorabeinstellungen sind nicht immer die datenschutzfreundlichsten. Es ist hierbei insbesondere sicherzustellen, dass übermittelte Dateien und Videomitschnitte nach einem festen Zeitraum gelöscht werden.

Des Weiteren ist zu beachten, dass Einladungen zu Video-Konferenzen nur an die Personen, bzw. Mitarbeiter gehen, die auch die nötige Freigabe für die zu besprechenden Themen und Inhalte haben. Während der Video-Konferenz sollten die Teilnehmer zudem darauf achten, möglichst vor einem neutralen Hintergrund zu sitzen, damit nicht mehr Informationen und Daten als nötig geteilt werden. Um dies zu verhindern gibt es bei manchen Softwares auch die Möglichkeit, während der Video-Konferenz den Hintergrund verschwimmen zu lassen. Die Beteiligten der Video-Konferenz sind außerdem stets darüber zu informieren, wenn Teile oder auch die ganze Sitzung mitgeschnitten wird.

Fazit

Es ist festzuhalten, dass viele Unternehmen nicht darauf ausgerichtet waren, die Arbeitsplätze der Beschäftigten zu digitalisieren, schon gar nicht in solch einer kurzen Zeit. Inzwischen hat sich die anfängliche Aufregung um die plötzliche Umstellung ins Home Office wieder etwas gelegt; dies ist vor allem darauf zurückzuführen, dass viele Unternehmen schnell gehandelt haben, indem sie Home Office-Vereinbarungen mit ihren Arbeitnehmern getroffen haben, die nun für Rechtssicherheit sorgen. Es lag an den Arbeitgebern auch weiterhin für einen ausreichenden Datenschutz zu sorgen und den Regeln der DS-GVO gerecht zu werden. Arbeitgeber und Arbeitnehmer unterliegen demnach den Pflichten, personenbezogene Daten auch bei der Heimarbeit vertraulich zu behandeln, indem der Zugriff von Dritten verhindert wird, sowie Verschlüsselungen und Passwörter genutzt werden.

Bei Video-Konferenzen ist ganz besonders darauf zu achten, dass der Datenschutz gewahrt wird. Es ist wichtig, sich vor der Nutzung der jeweiligen Software darüber zu informieren, in welchem Land der Anbieter seinen Sitz hat. Dies entscheidend darüber, ob der Dienstleister unmittelbar an die Vorschriften der DS-GVO gebunden ist oder nicht. Zudem sind die Vorabeinstellungen der Video-Tools genauestens zu prüfen: Daten sollten verschlüsselt übermittelt werden und es sollten feste Löschzeiträume vorliegen.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!