Mobiles Arbeiten ist gerade so notwendig und allgegenwärtig wie nie zuvor. Unabhängig davon, ob Home Office für Sie eine Ausnahme darstellt oder Sie auch vor Corona regelmäßig aus den eigenen vier Wänden arbeiten, Datenschutzregularien müssen hier erst recht eingehalten werden! 

Gleich vorneweg: Arbeiten im Home Office und Datenschutz sind vereinbar. Allerdings müssen beschäftigte dabei eine Voraussetzung erfüllen. Wenn personenbezogenen Daten via Internet aus dem Firmennetzwerk in der eigenen Wohnung erhoben, gespeichert und genutzt werden, darf dies nur unter Beachtung der gesetzlichen und aufsichtsrechtlichen Bedingungen erfolgen. Dies sind als Richtlinien insbesondere die DSGVO und das Ausführungsgesetz des Bundesdatenschutzgesetzes (BDSG). Die Verantwortung für die Belehrung über diese Bedingungen liegt beim Arbeitgeber, der seine Mitarbeiter in sogenannter Telearbeit beschäftigt.

Welche Daten sind schützenswert?

Schützenswert sind Daten mit Personenbezug, also solche Daten, die zur Identifizierung einer Person dienen können. Das sind beispielsweise Angaben zu Namen, E-Mail-Adresse oder Geburtsdatum. Besondere Schutzmaßnahmen sind zu Hause auch bei der Verarbeitung sensibler Kategorien personenbezogener Daten nach Art. 9  DSGVO  (Herkunft, Rasse, Religion etc.) zu ergreifen und bei besonders schützenswerten Daten von Beschäftigten nach § 26 BDSG.

Auch die Art des Unternehmens entscheidet darüber, welche gesetzesvorgaben im Home Office greifen. Bei der Verarbeitung von Sozialdaten i. S. d. § 67 Abs. 2 Zehntes Buch Sozialgesetzbuch (SGB X), zum Beispiel in den Arbeitsbereichen von Kranken- und Pflegekassen, Renten-, Unfallversicherungsträger, der Bundesagentur für Arbeit und dem Jobcenter, müssen besondere Schutzmaßnahmen getroffen werden.

Die Frage, ob und in welchem Umfang Home Office umgesetzt werden kann, ist daher stets eine Einzelfallentscheidung. Denn mit ihr gehen Risiken für die Persönlichkeitsrechte der Betroffenen, das Personalaktengeheimnis und das Sozialgeheimnis nach § 35 Abs. 1 Erstes Buch Sozialgesetzbuch (SGB I) einher.

Sensible Daten im Home Office schützen

Es gilt der Grundsatz: Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen. Beim Home Office trägt der Arbeitgeber die datenschutzrechtliche Verantwortung. Daher kann das Risiko minimiert werden, wenn durch den Arbeitgeber im Rahmen der erforderlichen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) zumindest die folgenden Vorgaben beachtet werden:

  • Zugang der Berechtigten zu den sensiblen personenbezogenen Daten erfolgt nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung)
  • Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
  • Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät
  • Sperrung von USB-Zugängen und anderen Anschlüssen
  • Keine Anbindung von privaten Druckern
  • Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung (einschließlich beruflicher E-Mails, die nicht auf private E-Mail-Postfächer weitergeleitet werden dürfen)
  • Regelmäßige Schulung / Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten
  • Im Einzelfall kann erforderlich sein, dem Arbeitgeber und der zuständigen Datenschutzbehörde zu Kontrollzwecken eine Zugangsmöglichkeit einzuräumen
  • Konzept zum Umgang und Vernichtung von sensiblen Unterlagen und Ausdrucken
  • Datenträger sind stets nur verschlüsselt und Papierunterlagen nur in verschlossenen Behältnissen zu transportieren
  • Datenträger und Unterlagen dürfen nie unbeaufsichtigt gelassen werden
  • Bei gemeinsam genutzten Wohnungen lohnt sich, wenn verfügbar, ein abschließbares Arbeitszimmer zur Aufbewahrung sensibler Dokumente
  • Der Bildschirm ist beim Verlassen des Arbeitsplatzes zu sperren, wenn andere Personen im Haushalt sind.

Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Bei der Verarbeitung von besonderen personenbezogenen Daten ist im Falle des Verlustes von Daten im Home Office die Informationspflicht nach  § 42 a BDSG gegenüber der zuständigen Aufsichtsbehörde zu beachten.

Datensicherheit herstellen und einhalten 

IT-Sicherheit ist die Grundlage für eine Vereinbarkeit der Home-Office-Beschäftigung mit der Einhaltung des Datenschutzes. Gleiches gilt für den Schutz von Betriebsgeheimnissen. Die Verantwortlichkeit des Arbeitgebers gerade für die Einhaltung von datenschutzrechtlichen Vorgaben endet nicht, wenn die Datenverarbeitung im Homeoffice der Beschäftigten stattgefunden hat. Dies gilt übrigen nicht nur für das Home office, sondern für jede Form mobilen Arbeitens, wie im folgenden Video veranschaulicht. https://www.youtube.com/watch?v=BrVisCp3xXI&feature=emb_title

Welche Maßnahmen vom Arbeitgeber ergriffen werden, hängt einerseits von der erforderlichen Verarbeitung von personenbezogenen Daten und Betriebsgeheimnissen ab. Außerdem spielt der Einsatz der IT-Geräte des Mitarbeiters vor Ort zu Hause eine Rolle. So kann das Unternehmen zum Beispiel untersagen, dass besonders sensible Daten nach Hause mitgenommen werden. 

Der Arbeitgeber kann die ausschließlich dienstliche Nutzung von IT-Systemen anordnen, die zusätzlich gegen den Zugriff und die Einsichtnahme durch Dritte geschützt werden müssen. Häufig sind technische Maßnahmen, wie die Verschlüsselung von Daten oder die Verwendung eines Virtual Private Networks (VPN) empfehlenswert. Wichtig ist, dass der Unternehmer sich über Datensicherheit und den Schutz der Betriebsgeheimnisse vor der “Auslagerung” in das Home Office des Mitarbeiters Gedanken macht.