Registrierung Login
RegistrierungLogin
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Datenschutz : Abenteuer Homeoffice

Dr. Niels LepperhoffPraxis
Lesezeit 4 Min.
Eine Frau in einem blauen Hemd, die nachdenklich und leicht gestresst aussieht, hält ein Mobiltelefon und ruht mit dem Kopf auf ihrer Hand an einem Schreibtisch, neben ihr steht eine kleine grüne Pflanze.

1 Homeoffice im Spannungsfeld

Arbeiten im Homeoffice stellt einen Beitrag nicht nur zur Gesundheitsprävention, sondern – ganz unabhängig von Corona – auch zur Steigerung der Mitarbeiterzufriedenheit dar. Die plötzliche Einführung von Homeoffice für weite Teile der Belegschaft nahezu von einem Tag auf den anderen stand im Zeichen der „Aufrechterhaltung der Funktionsfähigkeit des Unternehmens“. Der Zeitpunkt ist gekommen, zu prüfen, welche Regelungen und Dokumentationen eigentlich für ein Arbeiten im Homeoffice erforderlich sind, und diese schnellstmöglich zu erstellen.

Homeoffice berührt verschiedene Themenbereiche (1). Dieser Beitrag konzentriert sich auf den Datenschutz. Auch dort ist aus Platzgründen nur ein knapper Überblick ohne Anspruch auf Vollständigkeit möglich.

Homeoffice unterscheidet sich von der Betriebsumgebung durch einen Kontrollverlust des Arbeitgebers bei gleichzeitigen höheren Risiken bei der Verarbeitung personenbezogener Daten. Deshalb gilt es, durch verschiedene Maßnahmen den Einfluss des Arbeitgebers auf den häuslichen Bereich auszuweiten und die zusätzlichen Risiken zu reduzieren.

2 Kundenverträge prüfen

Insbesondere im Bereich der Auftragsverarbeitung enthalten Kundenverträge teilweise ein Verbot der Heimarbeit oder einen Genehmigungsvorbehalt. Deshalb empfiehlt es sich, bei der Verlagerung von Tätigkeiten mit Zugriff auf Kundendaten zu prüfen, ob vertragliche Regelungen dem entgegenstehen. Wenn das der Fall ist, sollte mit dem Kunden nach einer einvernehmlichen Lösung gesucht werden.

3 Risikoanalyse durchführen und dokumentieren

Eine Analyse der zusätzlichen Risiken, die das Homeoffice mit sich bringt, setzt nicht nur die gesetzliche Pflicht, eine solche zu erstellen (Art. 24 und 32 Abs. 1 i. V. m Art. 5 Abs. 2 Datenschutz-Grundverordnung (DS-GVO)) um, sondern hilft zusätzlich, erforderliche Maßnahmen zu identifizieren. Es bietet sich an, für die wichtigsten Gefahren im Homeoffice die Eintrittshäufigkeit und die mögliche Schadenshöhe für die betroffenen Personen (Bewerber, Mitarbeiter, Kunden, Lieferanten usw.) anhand einer drei- bis fünfstufigen Skala abzuschätzen. Die in Art. 32 Abs. 1 lit b) DS-GVO genannten Schutzziele, insbesondere Integrität, Verfügbarkeit und Vertraulichkeit, sollten getrennt betrachtet werden. Eine Gehaltsabrechnung stellt ggf. eine mittlere Vertraulichkeitsanforderung, aber eine geringe Verfügbarkeitsanforderung, da ein verspäteter Zugang zur Gehaltsabrechnung regelmäßig keinen Schaden bedeutet.

Bei der Beurteilung der möglichen Schäden ist es wesentlich, zu berücksichtigen, welche Art von Daten im Homeoffice verarbeitet werden soll. Folgende Datenarten bedürfen einer sorgfältigen Risikoprüfung:

  • Beschäftigtendaten (insbesondere Inhalte aus Personalakten)
  • Sozialdaten (§ 67 Abs. 2 SGB X) • Daten nach Art. 9 oder 10 DS-GVO (bspw. Religionszugehörigkeit, Gesundheitsdaten)
  • Berufsgeheimnis (§ 203 StGB)

Durch die massenhafte Einführung von Heimarbeit steigt die Wahrscheinlichkeit, dass verschiedene Haushaltsmitglieder gleichzeitig im Homeoffice in enger räumlicher Nähe arbeiten. Sobald diese unterschiedlichen Arbeitgeber haben, sind Sicherheitsvorfälle vorprogrammiert. Bereits die Kenntnisnahme von personenbezogenen Daten stellt einen Sicherheitsvorfall dar. Ob dieser Vorfall an die Datenschutzaufsichtsbehörde gemeldet werden muss, ist vom Unternehmen gemäß Art. 33 DS-GVO zu prüfen und zu beurteilen. Gleiches gilt für die Information der Betroffenen nach Art. 34 DS-GVO. Auf jeden Fall ist es empfehlenswert, festzulegen, dass der Mitarbeiter den Vorfall intern meldet.

Um solche Risiken zu reduzieren, könnte eine alternierende Nutzung oder ein Verzicht auf Telefonie oder die Verwendung von Blickschutzfolien in Betracht kommen. Neben diesen technischen Maßnahmen zur Risikoreduktion bietet es sich auch an, den Abschluss einer Vertraulichkeitsvereinbarung mit dem (unfreiwillig) mithörenden oder lesenden Haushaltsmitglied zu prüfen.

Diagramm, das die Zusammenhänge von Arbeitssicherheit, Arbeitsrecht, Unternehmensverfassung, Gesundheitsprävention und Datenschutz im Kontext von Home-Office-Umgebungen verdeutlicht.

4 Erforderliche Hard- und Software beschaffen und einrichten

Welche Hard- und Software der Arbeitgeber stellt, hängt von den zu verrichtenden Tätigkeiten ab. Beispiele:

  • Notebook oder PC •
  • Maus
  • je nach Verfügbarkeitsanforderung: LTE-Stick
  • Bildschirm, Tastatur
  • Mobiltelefon, Headset
  • Blickschutzfolien
  • verschlüsselte Speichermedien usw.
  • VPN

Darüber hinaus bedarf es einer Vereinbarung mit dem Mitarbeiter über die von diesem zu stellenden Gegenstände und Leistungen. Dabei wäre auch die Frage zu klären, ob er diese kostenfrei oder gegen Entgelt zur Verfügung stellt. Typischerweise handelt es sich um:

  • die räumliche Bereitstellung eines abgeschlossenen Arbeitsbereichs
  • Schreibtisch und Bürostuhl (arbeitsergonomische Anforderungen einhalten!)
  • Schrank zum Verschließen von Geräten und Unterlagen
  • Router inkl. Modem (DSL, Glasfaser oder Kabel) und ggf. WLAN Access Point • Internetzugang
  • Strom
  • Klimatisierung

Da sich das Direktionsrecht des Arbeitgebers grundsätzlich nicht auf Privatgegenstände erstreckt, besteht keine Pflicht des Mitarbeiters, die geforderten Gegenstände und Leistungen zu besitzen oder zur Verfügung zu stellen.

5 Organisatorische Regelungen treffen

Die „Spielregeln“ für die Heimarbeit bedürfen einer verbindlichen Regelung. Dabei lassen sich die üblichen Instrumente wie Richtlinien, Betriebsvereinbarungen oder Ergänzungen des Arbeitsvertrags verwenden. Zu beachten bleibt, dass Richtlinien und Betriebsvereinbarungen jeweils durch individuelle Vereinbarungen mit den Heimarbeitern ergänzt werden müssen.

In diesen individuellen Vereinbarungen sind u. a. die Zutrittsrechte festzulegen. Ziel ist es, Zutritts- und Kontrollrechte, die gegenüber dem Unternehmen bestehen, auf den Heimarbeitsplatz auszudehnen. Den Kontrollrechten müssen der Mitarbeiter und alle Mitbewohner zustimmen. Werden die Kontrollrechte nicht eingeräumt, darf die Heimarbeit nicht erlaubt werden, da das Unternehmen seinen gesetzlichen Verpflichtungen nicht nachkommen kann. Kontrollund Zutrittsrechte benötigen bspw.:

  • Arbeitgeber (bspw. Vorgesetzter)
  • Betriebsrat (Recht, Mitarbeiter am Arbeitsplatz aufzusuchen)
  • Datenschutzaufsichtsbehörde
  • Datenschutzbeauftragter (Überwachungspflicht)
  • Fachkraft für Arbeitssicherheit
  • Auftraggeber bei Auftragsverarbeitung

6 Handreichungen

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Datenschutz: Plötzlich im Homeoffice – und nun?

  • IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), insbesondere mit den folgenden Bausteinen:
  • 1.2.4 Telearbeit
  • 7 Informationssicherheit auf Auslandsreisen -> enthält auch Regelungen für das Homeoffice
  • 9 Mobiler Arbeitsplatz

Dr. Niels Lepperhoff, Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH (einem Gemeinschaftsunternehmen des BvD e. V. und der GDD e. V.).

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.