Ist Arbeiten vom Home Office mit dem Datenschutz vereinbar?

Gleich vorneweg: Arbeiten im Home Office und Datenschutz sind vereinbar. Voraussetzung ist allerdings, dass Beschäftigte, die personenbezogenen Daten via Internet vom Firmennetzwerk in der eigenen Wohnung erheben, speichern und nutzen, dies nur unter Beachtung der gesetzlichen und aufsichtsrechtlichen Bedingungen nach der DSGVO und den Ausführungsgesetz der Bundesdatenschutzgesetz (BDSG) tun. Die Verantwortung dafür liegt beim Arbeitgeber, der seinen Mitarbeiter in sog. Telearbeit beschäftigt. 

Welche Daten sind schützenswert?

Schützenswert sind nur Daten mit Personenbezug, also nur solche Daten, die zur Identifizierung einer Person dienen können, wie Name, E-Mail, Geburtsdatum. Sonstige (nicht personenbezogene Daten) unterliegen dagegen nicht dem Schutz der DSGVO und bedürfen keinen besonderen Maßnahmen nach der DSGVO. Besondere Schutzmaßnahmen sind aber bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9  DSGVO (Herkunft, Rasse, Religion etc.) zu Hause zu ergreifen und bei besonders schützenswerten Daten von Beschäftigten nach § 26 BDSG. 

Weiterhin sind bei der Verarbeitung von Sozialdaten i. S. d. § 67 Abs. 2 Zehntes Buch Sozialgesetzbuch (SGB X) (Kranken- und Pflegekassen, Renten-, Unfallversicherungsträger, Bundesagentur für Arbeit, Jobcenter) besondere Schutzmaßnahmen erforderlich. Die Frage, ob und in welchem Umfang Home Office umgesetzt werden kann, ist daher stets eine Einzelfallentscheidung, da mit ihr Risiken für die Persönlichkeitsrechte der Betroffenen, das Personalaktengeheimnis und das Sozialgeheimnis nach § 35 Abs. 1 Erstes Buch Sozialgesetzbuch (SGB I) einhergehen.

Sensible Daten im Home Office schützen

Es gilt der Grundsatz: Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen. Beim Home Office trägt der Arbeitgeber die datenschutzrechtliche Verantwortung. Daher kann das Risiko minimiert werden, wenn durch den Arbeitgeber im Rahmen der erforderlichen technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) zumindest die folgenden Vorgaben beachtet werden:

  • Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung).
  • Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
  • Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät.
  • Sperrung von USB-Zugängen und anderen Anschlüssen.
  • Keine Anbindung von Druckern.
  • Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung (einschließlich berufliche E-Mails sind nicht auf private E-Mail Postfächer weiterzuleiten)
  • Regelmäßige Schulung / Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten.
  • Im Einzelfall kann es erforderlich sein, dem Arbeitgeber und der zuständigen Datenschutzbehörde zu Kontrollzwecken eine Zugangsmöglichkeit einzuräumen.
  • Konzept zum Umgang und Vernichtung von sensiblen Unterlagen und Ausdrucken.
  • Datenträger sind stets nur verschlüsselt und Papierunterlagen nur in verschlossenen Behältnissen zu transportieren.
  • Datenträger und Unterlagen dürfen nie unbeaufsichtigt gelassen werden.

Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Bei der Verarbeitung von besonderen personenbezogenen Daten ist im Falle des Verlustes von Daten im Home Office, die Informationspflicht nach  § 42 a BDSG gegenüber der zuständigen Aufsichtsbehörde zu beachten.

Fazit

IT-Sicherheit ist die Grundlage für eine Vereinbarkeit der Home Office Beschäftigung mit der Einhaltung von Datenschutz und des Schutzes von Betriebsgeheimnissen. Die Verantwortlichkeit des Arbeitgebers gerade für die Einhaltung von datenschutzrechtlichen Vorgaben endet jedenfalls nicht damit, dass die Datenverarbeitung im Homeoffice des Beschäftigten stattgefunden hat.

Welche Maßnahmen vom Arbeitgeber zu ergreifen sind, hängt einerseits von der erforderlichen Verarbeitung von personenbezogenen Daten und Betriebsgeheimnissen ab, andererseits vom Einsatz der IT-Geräte des Mitarbeiters vor Ort zu Hause. So kann das Unternehmen zum Beispiel untersagen, dass besonders sensible Daten nach Hause mitgenommen werden. Der Arbeitgeber kann die ausschließlich dienstliche Nutzung von IT-Systemen anordnen, die zusätzlich gegen den Zugriff und die Einsichtnahme durch Dritte geschützt werden müssen. Häufig werden auch technische Maßnahmen, wie die Verschlüsselung von Daten oder die Verwendung eines Virtual Private Networks (VPN), verwendet. Wichtig ist, dass der Unternehmer sich über Datensicherheit, Schutz seiner Betriebsgeheimnisse vor der “Auslagerung” an das Home Office des Mitarbeiters Gedanken macht. Welche Lösung gefunden wird, hängt dann vom Einzelfall ab.