Mobi­les Arbei­ten ist gera­de so not­wen­dig und all­ge­gen­wär­tig wie nie zuvor. Unab­hän­gig davon, ob Home Office für Sie eine Aus­nah­me dar­stellt oder Sie auch vor Coro­na regel­mä­ßig aus den eige­nen vier Wän­den arbei­ten, Daten­schutz­re­gu­la­ri­en müs­sen hier erst recht ein­ge­hal­ten wer­den! 

Gleich vor­ne­weg: Arbei­ten im Home Office und Daten­schutz sind ver­ein­bar. Aller­dings müs­sen beschäf­tig­te dabei eine Vor­aus­set­zung erfül­len. Wenn per­so­nen­be­zo­ge­nen Daten via Inter­net aus dem Fir­men­netz­werk in der eige­nen Woh­nung erho­ben, gespei­chert und genutzt wer­den, darf dies nur unter Beach­tung der gesetz­li­chen und auf­sichts­recht­li­chen Bedin­gun­gen erfol­gen. Dies sind als Richt­li­ni­en ins­be­son­de­re die DSGVO und das Aus­füh­rungs­ge­setz des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Die Ver­ant­wor­tung für die Beleh­rung über die­se Bedin­gun­gen liegt beim Arbeit­ge­ber, der sei­ne Mit­ar­bei­ter in soge­nann­ter Tele­ar­beit beschäf­tigt.

Welche Daten sind schützenswert?

Schüt­zens­wert sind Daten mit Per­so­nen­be­zug, also sol­che Daten, die zur Iden­ti­fi­zie­rung einer Per­son die­nen kön­nen. Das sind bei­spiels­wei­se Anga­ben zu Namen, E‑Mail-Adres­se oder Geburts­da­tum. Beson­de­re Schutz­maß­nah­men sind zu Hau­se auch bei der Ver­ar­bei­tung sen­si­bler Kate­go­rien per­so­nen­be­zo­ge­ner Daten nach Art. 9  DSGVO  (Her­kunft, Ras­se, Reli­gi­on etc.) zu ergrei­fen und bei beson­ders schüt­zens­wer­ten Daten von Beschäf­tig­ten nach § 26 BDSG.

Auch die Art des Unter­neh­mens ent­schei­det dar­über, wel­che geset­zes­vor­ga­ben im Home Office grei­fen. Bei der Ver­ar­bei­tung von Sozi­al­da­ten i. S. d. § 67 Abs. 2 Zehn­tes Buch Sozi­al­ge­setz­buch (SGB X), zum Bei­spiel in den Arbeits­be­rei­chen von Kran­ken- und Pfle­ge­kas­sen, Renten‑, Unfall­ver­si­che­rungs­trä­ger, der Bun­des­agen­tur für Arbeit und dem Job­cen­ter, müs­sen beson­de­re Schutz­maß­nah­men getrof­fen wer­den.

Die Fra­ge, ob und in wel­chem Umfang Home Office umge­setzt wer­den kann, ist daher stets eine Ein­zel­fall­ent­schei­dung. Denn mit ihr gehen Risi­ken für die Per­sön­lich­keits­rech­te der Betrof­fe­nen, das Per­so­nal­ak­ten­ge­heim­nis und das Sozi­al­ge­heim­nis nach § 35 Abs. 1 Ers­tes Buch Sozi­al­ge­setz­buch (SGB I) ein­her.

Sensible Daten im Home Office schützen

Es gilt der Grund­satz: Je sen­si­bler und damit schüt­zens­wer­ter per­so­nen­be­zo­ge­ne Daten sind, des­to stär­ker sind sie zu schüt­zen. Beim Home Office trägt der Arbeit­ge­ber die daten­schutz­recht­li­che Ver­ant­wor­tung. Daher kann das Risi­ko mini­miert wer­den, wenn durch den Arbeit­ge­ber im Rah­men der erfor­der­li­chen tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men (Art. 32 DSGVO) zumin­dest die fol­gen­den Vor­ga­ben beach­tet wer­den:

  • Zugang der Berech­tig­ten zu den sen­si­blen per­so­nen­be­zo­ge­nen Daten erfolgt nur mit PIN und hard­ware­ba­sier­tem Ver­trau­ens­an­ker (Zwei-Fak­tor-Authen­ti­fi­zie­rung)
  • Ver­bin­dung aus­schließ­lich über ein soge­nann­tes Vir­tu­al Pri­va­te Net­work (VPN)
  • Ver­schlüs­se­lung der Daten (Ende-zu-Ende-Sicher­heit) inkl. Abla­ge­ver­schlüs­se­lung auf dem mobi­len Gerät
  • Sper­rung von USB-Zugän­gen und ande­ren Anschlüs­sen
  • Kei­ne Anbin­dung von pri­va­ten Dru­ckern
  • Kei­ne pri­va­te Nut­zung der beruf­lich zur Ver­fü­gung gestell­ten IT-Aus­stat­tung (ein­schließ­lich beruf­li­cher E‑Mails, die nicht auf pri­va­te E‑Mail-Post­fä­cher wei­ter­ge­lei­tet wer­den dür­fen)
  • Regel­mä­ßi­ge Schu­lung / Fort­bil­dung der Beschäf­tig­ten zum daten­si­che­ren und daten­schutz­ge­rech­ten Umgang mit mobi­len Gerä­ten
  • Im Ein­zel­fall kann erfor­der­lich sein, dem Arbeit­ge­ber und der zustän­di­gen Daten­schutz­be­hör­de zu Kon­troll­zwe­cken eine Zugangs­mög­lich­keit ein­zu­räu­men
  • Kon­zept zum Umgang und Ver­nich­tung von sen­si­blen Unter­la­gen und Aus­dru­cken
  • Daten­trä­ger sind stets nur ver­schlüs­selt und Papier­un­ter­la­gen nur in ver­schlos­se­nen Behält­nis­sen zu trans­por­tie­ren
  • Daten­trä­ger und Unter­la­gen dür­fen nie unbe­auf­sich­tigt gelas­sen wer­den
  • Bei gemein­sam genutz­ten Woh­nun­gen lohnt sich, wenn ver­füg­bar, ein abschließ­ba­res Arbeits­zim­mer zur Auf­be­wah­rung sen­si­bler Doku­men­te
  • Der Bild­schirm ist beim Ver­las­sen des Arbeits­plat­zes zu sper­ren, wenn ande­re Per­so­nen im Haus­halt sind.

Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Bei der Ver­ar­bei­tung von beson­de­ren per­so­nen­be­zo­ge­nen Daten ist im Fal­le des Ver­lus­tes von Daten im Home Office die Infor­ma­ti­ons­pflicht nach  § 42 a BDSG gegen­über der zustän­di­gen Auf­sichts­be­hör­de zu beach­ten.

Datensicherheit herstellen und einhalten 

IT-Sicher­heit ist die Grund­la­ge für eine Ver­ein­bar­keit der Home-Office-Beschäf­ti­gung mit der Ein­hal­tung des Daten­schut­zes. Glei­ches gilt für den Schutz von Betriebs­ge­heim­nis­sen. Die Ver­ant­wort­lich­keit des Arbeit­ge­bers gera­de für die Ein­hal­tung von daten­schutz­recht­li­chen Vor­ga­ben endet nicht, wenn die Daten­ver­ar­bei­tung im Home­of­fice der Beschäf­tig­ten statt­ge­fun­den hat. Dies gilt übri­gen nicht nur für das Home office, son­dern für jede Form mobi­len Arbei­tens, wie im fol­gen­den Video ver­an­schau­licht. https://www.youtube.com/watch?v=BrVisCp3xXI&feature=emb_title

Wel­che Maß­nah­men vom Arbeit­ge­ber ergrif­fen wer­den, hängt einer­seits von der erfor­der­li­chen Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten und Betriebs­ge­heim­nis­sen ab. Außer­dem spielt der Ein­satz der IT-Gerä­te des Mit­ar­bei­ters vor Ort zu Hau­se eine Rol­le. So kann das Unter­neh­men zum Bei­spiel unter­sa­gen, dass beson­ders sen­si­ble Daten nach Hau­se mit­ge­nom­men wer­den. 

Der Arbeit­ge­ber kann die aus­schließ­lich dienst­li­che Nut­zung von IT-Sys­te­men anord­nen, die zusätz­lich gegen den Zugriff und die Ein­sicht­nah­me durch Drit­te geschützt wer­den müs­sen. Häu­fig sind tech­ni­sche Maß­nah­men, wie die Ver­schlüs­se­lung von Daten oder die Ver­wen­dung eines Vir­tu­al Pri­va­te Net­works (VPN) emp­feh­lens­wert. Wich­tig ist, dass der Unter­neh­mer sich über Daten­si­cher­heit und den Schutz der Betriebs­ge­heim­nis­se vor der “Aus­la­ge­rung” in das Home Office des Mit­ar­bei­ters Gedan­ken macht.