Zusammenfassung
Wer seine Mitarbeiter im Homeoffice beschäftigt, muss auch und gerade dann Datenschutz sicherstellen. Arbeitgeber haben eine Schutzpflicht – sie müssen die DSGVO einhalten. Um Datenschutzverletzungen und DSGVO-Verstöße zu vermeiden, können Arbeitgeber gemeinsam mit ihren Beschäftigten Schutzvorkehrungen treffen.
Das Wichtigste in Kürze:
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.
Homeoffice – also das Arbeiten von zuhause aus – kommt für alle Tätigkeiten infrage, die sich mit einem Laptop erledigen lassen, nur eben nicht im Büro, sondern daheim am sogenannten Telearbeitsplatz (Heimarbeitsplatz).
Im Februar 2021 hat der Bund aufgrund der Corona-Pandemie eine Homeoffice-Pflicht beschlossen. Wegen der veränderten Arbeitsumstände bedürfen vor allem sensible Firmendaten, Geschäftsgeheimnisse und Kundendaten eines besonderen Schutzes. Regelungen für den Datenschutz im Homeoffice legt u. a. die Datenschutzgrundverordnung (DSGVO) fest. Unternehmen müssen die DSGVO einhalten – sie haben eine Schutzpflicht. Diese können Sie z. B. mit einem Datenschutzbeauftragten erfüllen.
Verantwortlich für die sichere Verarbeitung und Aufbewahrung von Daten laut Artikel 4 Nummer 7 DSGVO sind die Personen, die eine Weisungsbefugnis haben:
Kommt es durch eine Datenschutzverletzung zum DSGVO-Verstoß, haftet in der Regel der Geschäftsführer des betroffenen Unternehmens:
Anders sieht es aus, wenn es zu beabsichtigten Sicherheitslücken oder einem vorsätzlichen Datenklau durch einen Mitarbeiter kommt – in diesem Fall muss dieser die Konsequenzen des DSGVO-Verstoßes tragen.
Auch Freelancer sind für den Schutz der ihnen zur Verfügung gestellten Daten selbst verantwortlich.
Wer seine Mitarbeiter im Homeoffice beschäftigt, hat grundsätzlich 3 verschiedene Möglichkeiten, für datenschutzkonforme Arbeit zu sorgen:
Arbeitgeber sind verpflichtet, eine datenschutzkonforme Aufbewahrung und Verarbeitung sensibler Daten sicherzustellen. Diese Schutzpflicht gilt für die Arbeit im Büro selbstverständlich genauso wie für die Arbeit von zuhause aus.
Besonders schützenswert sind Daten, die Auskünfte über medizinische, ethnische oder sexuelle Informationen von Personen enthalten sowie Geschäftsgeheimnisse. Erheben und verarbeiten Mitarbeitern diese Daten im Homeoffice, ist es umso wichtiger, dass die Datenschutzverordnung genau eingehalten wird.
Im Homeoffice kann die Gefahr von Datenschutzvorfällen steigen, denn Daten und IT-Technik sind der unmittelbaren Kontrolle durch den Arbeitgeber entzogen. Außerdem steigt die Gefahr, dass unbefugte Dritte – auch Familienangehörige – Zugriff auf sensible Daten und Geschäftsgeheimnisse erhalten, z. B. durch:
Mit Vorbereitung und gewissen Schutzmaßnahmen können die Risiken einer Datenschutzverletzung im Homeoffice vermieden werden.
In der Regel entstehen Sicherheitslücken im Datenschutz aus Unachtsamkeit. Um die Risiken zu minimieren, können Arbeitgeber bestimmte Regelungen und Schutzmaßnahmen für den Umgang mit betriebseigenen Geräten festlegen.
Zu den technischen und organisatorischen Maßnahmen (TOM), die Arbeitgeber für ein datenschutzkonformes Arbeiten ergreifen können, gehören z. B. folgende:
Da Sie nicht die Möglichkeit haben, die Arbeit Ihrer Mitarbeiter im Homeoffice zu kontrollieren, kann es sinnvoll sein, Vereinbarungen schriftlich festzuhalten und diese von Ihren Arbeitnehmern unterzeichnen zu lassen.
Infrage kommt eine Zusatzvereinbarung zum Arbeitsvertrag mit einer Ergänzung der allgemeinen betrieblichen Datenschutzbestimmungen. Dafür können Sie unsere kostenlose Muster-Vereinbarung für den Datenschutz im Homeoffice nutzen.
Zuhause können Arbeitnehmer und Vorgesetzte daneben auf folgende Punkte achten, um einen bestmöglichen Datenschutz im Homeoffice sicherzustellen:
Lässt es sich nicht umgehen, dass Sie vertrauliche Daten auf einem privaten Computer verarbeiten, können Sie ein extra Konto einrichten und die Daten in einem gesonderten verschlüsselten Bereich speichern. Sobald Sie die Daten auf den Firmenserver übertragen haben, sind sie unwiderruflich auf Ihrem eigenen Laptop zu löschen – ein Ablegen in den Papierkorb reicht nicht aus.
Grundsätzlich gilt, dass die Arbeit im Homeoffice denselben Datenschutzbestimmungen unterliegt wie die reguläre Arbeit im Büro. Allerdings kann beim Telearbeitsplatz ein höheres Risiko bestehen, gegen die Datensicherheit zu verstoßen. Damit kann auch der Aufwand steigen, die Schutzpflicht zu erfüllen und alle Bestimmungen DSGVO-konform umzusetzen.
Für Arbeitgeber, für die die Telearbeit aus noch vergleichsweise neu ist, kann es sinnvoll sein, Mitarbeiter und freie Beschäftigte regelmäßig zu schulen und sie für den DSGVO-konformen Datenschutz im Homeoffice zu sensibilisieren.
Die folgende Checkliste kann ein erster Ansatz für Geschäftsführer sein, um die Datenschutzregelungen im Homeoffice richtig umzusetzen und die Schutzpflicht zu erfüllen:
✓ Arbeitsmittel
Welche Arbeitsmittel (z. B. Laptops oder Datenträger) dürfen für welchen Zweck von den Mitarbeitern im Homeoffice genutzt werden und welche nicht?
✓ Datenschutz
Bestimmungen der DSGVO einhalten; ggf. Datenschutzschulungen, um Mitarbeiter für den Schutz personenbezogener Daten zu sensibilisieren.
✓ Datensicherung
Mitarbeiter dazu anhalten, alle gespeicherten Daten regelmäßig auf unternehmensinternen Servern zu sichern.
✓ Löschung & Vernichtung von Daten
Genaue Vorgaben bei der Löschung und Vernichtung personenbezogener Daten.
✓ Passwortsicherheit
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Passwörter mit mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen sowie einer Zahl bestehen.
✓ Private Software
Nutzung privater Software für die Verarbeitung personenbezogener Daten ggf. untersagen.
✓ Schutz vertraulicher Informationen
Schutz personenbezogener und unternehmensinterner Daten gewährleisten
✓ Technischer Support
Support für Hardware- und Softwareprobleme damit Mitarbeiter ihre Aufgaben trotz technischer Probleme erfüllen können.
✓ Updates
Software und Systeme regelmäßig aktualisieren, damit alle verwendeten Tools den vollen Funktionsumfang bieten und Sicherheitsmaßnahmen ihren vollen Schutzumfang entfalten können.
✓ Verbindungssicherheit
Ein privates WLAN-Netzwerk und darüber ausgetauschte Daten lassen sich durch die Verschlüsselung mit einem mindestens 20-stelligen Passwort schützen.
✓ Zugriffsberechtigungen
Jeder Mitarbeiter kann nur über die Berechtigungen für Software verfügen, die er für die Erledigung seiner Aufgaben benötigt.
Um als Arbeitgeber die Kontrolle zu behalten, kann es sinnvoll sein, die gesamte unternehmensinterne Kommunikation umfassend zu planen. Sie können sich bei der Planung überlegen, welche Tools Sie verwenden möchten und ob diese ein ausreichendes Maß an Datensicherheit gewährleisten können.
Hier können Sie die Checkliste für Datenschutz im Homeoffice downloaden:
Wenn Sie unsicher sind, Fragen in Bezug auf ein datenschutzkonformes Homeoffice haben oder sich über arbeitsrechtliche Auswirkungen für Ihre Mitarbeiter informieren möchten, ist ein Anwalt der richtige Ansprechpartner.
Sie müssen nicht nach dem richtigen Anwalt suchen – das übernimmt advocado für Sie: advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen und Erfolgsaussichten.
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung Ihre Handlungsoptionen.
In Corona-Zeiten müssen Arbeitgeber die Möglichkeit zum Homeoffice anbieten, wenn es die betrieblichen Umstände erlauben. Ob diese Regelungen auch nach der Pandemie bestehen bleibt, ist abzuwarten
Wer in einem abschließbaren Raum arbeitet, Dritten den Zutritt verwehrt und die gängigen Sicherheitsstandards befolgt, tut bereits viel für die Erhaltung des Datenschutzes. Sie müssen unbedingt auf eine sichere Verschlüsselung der E-Mails achten.
Verrichten Ihre Mitarbeiter die Tätigkeit mal im Büro und mal am Telearbeitsplatz (Heimarbeitsplatz), müssen Sie als Arbeitgeber Vorkehrungen für den Transport von Unterlagen und Datenträgern treffen und die Mitarbeiter darüber belehren. So dürfen Dokumente nie unbeaufsichtigt gelassen werden und Datenträger müssen entsprechend verschlüsselt sein. Papierunterlagen sind in fest verschlossenen Behältern zu transportieren. Alternativ kann eine vollelektronische Datenverarbeitung sinnvoll sein.
Als Teil der juristischen Redaktion von advocado strebt Sophie Suske jeden Tag danach, komplexe Rechtsprobleme des Marken- und Versicherungsrechts für jeden Leser verständlich aufzubereiten. Grundlage ihrer lösungsorientierten Arbeit ist ihr Masterstudium der Sprach- und Kommunikationswissenschaft.