Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #14: Datenschutz und Datensicherheit im Home-Office

Ab nächsten Mittwoch werden Arbeitgeber mit dem Inkrafttreten der neuen Arbeitsschutzverordnung von Bundesarbeitsminister Hubertus Heil verpflichtet, Beschäftigte unter gewissen Voraussetzungen das Arbeiten im Home-Office anzubieten. Wortwörtlich lautet der entsprechende Passus in der Verordnung: „Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen“.

"Datenschutz" kann in diesem Zusammenhang ein zwingender, betriebsbedingter Grund sein, muss es aber nicht.

Denn es braucht dazu nur Regelungen zu Home-Office mit den damit zusammenhängenden technisch-organisatorischen Maßnahmen, um die Einhaltung datenschutzrechtlicher und IT-sicherheitstechnischer Anfroderungen zu gewährleisten. Welche das sind und was sie regeln, dazu mehr in diesem Beitrag.

Ist die Tätigkeit für Home-Office geeignet?

Grundsätzlich darf ein Heimarbeitsplatz nur dann zur Verfügung gestellt und genutzt werden, wenn die Tätigkeit mit Blick auf Datenschutz- und Datensicherheitsaspekte geeignet ist, sie außerhalb der regelmäßigen Arbeitsstätte auszuüben. Dies hängt natürlich auch eng von den Möglichkeiten der Beschäftigten zu Hause ab. Die Frage ist also, ob folgendes vorhanden ist:

  • Internetanschluss
  • VPN-Zugang zum Unternehmen
  • Sicher konfiguriertes Endgerät (Client)
  • Ungestörte Umgebung
  • Kein Zugriff Dritter auf verarbeitete, personenbezogene Daten
  • ...

In jedem Fall ist eine schriftliche Vereinbarung mit dem Beschäftigten erforderlich.

Was muss in einer solchen Regelung angesprochen werden?

  • Lage des Arbeitsplatzes: Als Heimarbeitsplatz kommt nur ein abschließbarer Raum in Frage. Bei Nichtnutzung durch den Beschäftigten muss der Raum abgeschlossen werden.
  • Kurzfristiges Verlassen des Arbeitsplatzes: Der Client muss mit Passwort gesperrt werden, die Fenster verschlossen und Papier-Akten in einen abschließbaren Schrank gelagert werden. Alternativ kann dies auch eine ausreichende, soziale Kontrolle und keine Verarbeitung von besonderen Kategorien personenbezogener Daten gewährleisten.
  • Übertragung von Akten/Daten: Betriebliche Akten dürfen nur in einem verschlossenen Behältnis transportiert werden. Elektronische Daten dürfen nur verschlüsselt übertragen werden.
  • Oft (von Beschäftigten) vergessen: Zutrittsrechte zur Wohnung, denn der Beschäftigte muss mehreren Stellen Zutrittsrechte zu seiner Wohnung einräumen - dem Arbeitgeber (Kontrolle der Arbeitssicherheit), dem Datenschutzbeauftragten (Kontrolle der Datensicherheit), der IT-Abteilung (Eintrichtung des Arbeitsplatzes), der Datenschutz-Aufsichtsbehörde (Kontrollen gemäß DSGVO) sowie dem Betriebsrat (Begleitung der vorgenannten Stellen). Ein Widerruf des Zutrittsrechts führt dazu, dass die Home-Office-Regelung automatisch und unverzüglich erlischt.
  • ...

Fazit

Die neue Arbeitsschutzverordnung verpflichtet Unternehmen dazu, Home-Office ihren Beschäftigten anzubieten. Mit einem Vorlauf von drei Tagen bis zum Inkrafttreten wird es schwer, datenschutzrechtliche Anforderungen ausreichend (schriftlich) zu formulieren und mit dem Beschäftigten abzuschließen.

Haben Sie Fragen zu Datenschutz? Wollen Sie Ihren Beschäftigten Home-Office datenschutzkonform ermöglichen? Dann melden Sie sich!

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen

Photo by Nikola Balic on Unsplash