Datenschutz
Homeoffice & Mobile Office – Herausforderungen beim Datenschutz
Text: Maria Dimartino | Foto (Header): © deagreez – stock.adobe.com
Von zu Hause aus im „Homeoffice“ (Remotework oder Telearbeit, § 2 Abs. 7 ArbStättV) oder unterwegs im „Mobile Office“ zu arbeiten gerät immer mehr in den Fokus, wenn es um die Flexibilität der Arbeit geht. Die Gründe hierfür sind vielfältig. Einen Rechtsanspruch auf Homeoffice gibt es bislang nicht (LAG Köln vom 24.05.2016 – 12 Sa 677/13). Dieser Beitrag soll eine Übersicht über die aktuell zu treffenden Maßnahmen in Bezug auf den Datenschutz geben.
Auszug aus:
Datenschutz für Praktiker
Ausgabe Oktober 2019
Jetzt Leser werden
INHALTE DES BEITRAGS
Arbeitsorganisation im Home-Office
IT-Sicherheit
Mobile Office
Notfallkonzept
Fazit
Auch wenn Beschäftigte von einem Homeoffice aus oder gar komplett mobil für den Arbeitgeber tätig sind, so muss dieser als Verantwortlicher (Art. 4 Nr. 7 DSGVO) sog. technische organisatorische Maßnahmen (TOM) treffen, um den Schutz der personenbezogenen Daten zu gewährleisten (Art. 32 DSGVO).
Insbesondere Beschäftigte im Home- oder Mobile Office müssen für den Schutz personenbezogener Daten sensibilisiert und entsprechend geschult werden. Arbeitgeber und Arbeitnehmer müssen Maßnahmen treffen und einhalten, damit Dritte (Art. 4 Nr. 10 DSGVO) z. B. Familienangehörige, privater Besuch, Nachbarn nicht zufällig Informationen einsehen oder wahrnehmen können.
Zunächst ist zu ermitteln, ob eine Tätigkeit überhaupt für ein Home-Office oder gar Mobile Office geeignet ist und wie hoch der technische Schutz sein muss. Dies richtet sich je nach Art und Umfang der zu verarbeitenden personenbezogenen Daten. Arbeiten Beschäftigte mit personenbezogenen (Art. 4 Nr. 1 DSGVO – z. B. Namen, Adresslisten etc.) oder ggf. sogar mit besonderen Kategorien von personenbezogenen Daten (Art. 9 DSGVO), die besonders schützenswert sind, z. B. Gesundheitsdaten. Je empfindlicher
die personenbezogenen Daten sind, desto mehr sind diese zu schützen. Nachdem eruiert worden ist, wo personenbezogene Daten verarbeitet werden und welcher Kategorie diese angehören, sind entsprechende Maßnahmen zu treffen. Dieses Vorgehen entspricht auch den Vorüberlegungen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO).
Tipps
✔ Analysieren Sie, ob die Arbeit für ein Home oder Mobile Office geeignet ist.
✔ Schulen Sie die Beschäftigen.
✔ Schaffen Sie Regelungen, wie Rückruf an den Arbeitsplatz, Ansprechpartner, Störfall, Notfallkonzepte.
✔ Wägen Sie Vorteile und Risiken ab und treffen Sie entsprechende technisch-organisatorische Maßnahmen.
Arbeitsorganisation im Homeoffice
Bei einem Home-Office richtet der Arbeitgeber bei dem Arbeitnehmer zu Hause einen Arbeitsplatz ein. Beschäftigte sind ganz oder teilweise von diesem heimischen Telearbeitsplatz tätig. Idealerweise verfügt der Arbeitnehmer über ein separates und abschließbares Arbeitszimmer zumindest aber über einen abschließbaren Schrank und einen nicht einsehbaren Arbeitsplatz.
Unterlagen – insbesondere solche, die personenbezogene Daten beinhalten – müssen abschließbar aufbewahrt werden. Hierzu muss ein ausreichend gesicherter Schrank zur Verfügung stehen und auch der Schlüssel abgezogen werden. Das Home-Office sollte insbesondere bei weiteren Bewohnern auch immer verschlossen werden. Geschäftliche Telefonate sollten selbstverständlich nicht am Frühstückstisch oder auf dem Balkon erfolgen.
IT-Sicherheit
Die Risiken beim Homeoffice/Mobile Office lassen sich nicht gänzlich vermeiden, daher ist es wichtig eine Risikoanalyse oder vielleicht sogar eine Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO, zu tätigen. Ein wichtiger Aspekt im Zusammenhang mit HomeOffice kommt der IT-Sicherheit zu. Die zur Verfügung gestellte IT-Ausstattung (Notebook, Drucker, Tablet etc.) sollte nicht privat genutzt werden und entsprechend verschlüsselt sein. Dritte dürfen keinen Zugriff auf diese Arbeitsmittel haben. Das heißt, das Arbeits-Tablet darf auch nicht zum Spielen den Kindern überlassen werden, da hierdurch z. B. Apps installiert werden könnten, die eine Gefahr für die Informationen auf dem Gerät darstellen. Manchmal wird von Arbeitgebern auch verlangt, eigene Betriebsmittel zu nutzen – wenn z. B. via VPN auf eine ausschließlich externe Datenbank zugegriffen werden soll. Hier muss genau geprüft werden, ob ein Risiko besteht, wenn auf dem Notebook z. B. unwissentlich eine Schadsoftware installiert wird und was zu tun ist, wenn das private Notebook plötzlich nicht mehr betriebsbereit ist.
Ebenso dürfen auch externe Datenträger (Festplatten, Speicherkarten, USB-Sticks) nicht für private Zwecke genutzt werden und an weitere beliebige Geräte angeschlossen werden. Alle zu verwendenden Datenträger müssen verschlüsselt werden, um das Risiko einer Datenpanne zu reduzieren. Die Datenübermittlung via E-Mail oder Upload muss verschlüsselt erfolgen (VPN, SSL) sowohl zum Kunden als auch zum Betrieb hin.
Soweit noch nicht geschehen, sollte eine E-Mail-Regelung getroffen werden. Diese sollte z. B. beinhalten, dass die geschäftliche E-Mail-Adresse nicht auf private Postfächer weiterzuleiten ist. Sinnvoll ist es, sich in der Home-Office Vereinbarung als Arbeitgeber den vorangekündigten Zugang zur Wohnung einräumen zu lassen (ggf. Einwilligung Dritter z. B. Mitbewohner nötig), um die Überprüfung des Arbeitsschutzes und des Datenschutzes zu gewährleisten.
Bei der Planung des Homeoffice sollten frühzeitig Datenschutzbeauftragte und der Betriebsrat involviert werden, damit alle in Betracht kommenden Schutzmaßnahmen auch getroffen werden. Regelungen hierzu können auch in einer Betriebsvereinbarung getroffen werden.
Daneben ist die Mitbestimmung des Betriebsrats aus dem BetrVG zu berücksichtigen z. B.: § 87 Abs. 1 Nr. 2, Nr. 6, Nr. 7 BetrVG und nach § 99 und § 102 BetrVG bei personellen Einzelmaßnahmen wie z. B. Versetzung oder Kündigung.
Handlungskonzepte sollten den Beschäftigten an die Hand gegeben werden für den Fall eines Datenverlustes oder der einer Datenpanne (Art. 33 DSGVO). Es sollten konkrete Ansprechpartner und Zuständige benannt werden:
- separates abschließbares Arbeitszimmer
- Verschlüsselung von E-Mails (Ende-zu-Ende), sowie von Festplatten, Betriebssystemen und externen Datenträgern (Ablageverschlüsselung)
- geschützte Verbindung zum Firmennetzwerk z. B. via VPN
- ausschließliche Verarbeitung/Speicherung von Daten auf dem vom Arbeitgeber zur Verfügung gestellten PC, Laptop, Notebook, Smartphone, Tablet, USB-Stick, etc.
- Sicherheitsstandard bei Internettelefonie (VoIP, Voice over IP)
- Gewährleistung, dass genutzte Geräte und Software auf dem Stand der Technik sind (www.bsi.bund.de)
- keine private Nutzung der dienstlichen Arbeitsgeräte
- Schutz dienstlicher Unterlagen, externer Datenträger sowie der IT-Ausstattung vor dem Zugriff Dritter
- Datenschutzfolie für Notebook für mobile Arbeiten oder Reisen
- regelmäßige Schulungen/Fortbildungen zum Datenschutz
Lektüre-Tipp:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Telearbeit und Mobiles Arbeiten. Januar 2019. Abrufbar unter: https://www.bfdi.bund.de
Mobile Office
Eine größere Herausforderung stellt das Mobile Office dar. Im Mobile Office können Beschäftige – soweit keine Einschränkung getroffen wurde – von jedem beliebigen Standort, ggf. auch vom Ausland aus, arbeiten.
Hier müssen Regelungen getroffen werden insbesondere was den Transport bzw. Transfer von Daten ins EU-Ausland oder in Drittländer angeht (Art. 44 DSGVO), zum Umgang mit Telefonaten oder zur Nutzung des Notebooks in der Öffentlichkeit. Hierbei sollte Dritten keine Einsicht oder Information verschafft werden – sowohl über personenbezogene Daten als auch über den Betrieb. Es empfiehlt sich, eine Datenschutzfolie für das Notebook zu verwenden. Beim Telefonieren in der Öffentlichkeit sollte sich möglichst kurz gefasst, keine Namen genannt und ein Ort aufgesucht werden, an dem sich keine Mithörer aufhalten bzw. ein zeitnaher Rückruf vereinbart werden kann. Die Nutzung von Internet Cafés oder öffentlichem WLAN in Hotel, Bahn oder Flugzeug ohne entsprechende Schutzmaßnahmen (VPN) sollte komplett ausgeschlossen werden. Die Arbeitsgeräte dürfen nie unbewacht gelassen werden und sollten vorsorglich verschlüsselt werden.
Daneben ist es wichtig, dass die Beschäftigten einen direkten Ansprechpartner haben, falls es zu einem technischen Problem kommt. So werden nicht vorschnelle „Alternativlösungen“ getroffen, wenn die geschäftliche E-Mail oder die VPN-Verbindung gerade nicht funktioniert. Nicht, dass dann doch über eine private E-Mail unverschlüsselt oder gar über einen Messenger empfindliche Daten versendet werden.
Notfallkonzept
Es muss auch ein Handlungskonzept vorliegen, was geschieht, wenn ein PC nicht mehr funktioniert, keine Internetverbindung mehr vorhanden ist oder keine Verbindung zum VPN aufgebaut werden kann (Störfall). Inwieweit kann der Arbeitgeber Beschäftigte dann wieder an den Arbeitsplatz zitieren? Gerade beim Mobile Office wirft das interessante Konstellationen auf, wenn Beschäftigte nicht mehr im näheren Umkreis der Firma sind.
Eine weitere Herausforderung beim Mobile Office liegt im Versicherungsschutz bei einem Arbeitsunfall, da sich der berufliche und der private Aufenthalt kaum trennen lassen und die Grenzen verwischen. Zu Tätigkeiten im Home-Office gibt es bereits einige Entscheidungen des Bundessozialgerichts (BSG) (Sturz auf der häuslichen Treppe: BSG vom 27.11.2018 – B2U28/17R; Außentür Wohnhaus als Grenze: BSG vom 31.08.2017 – B 2 U 9/16 R; Kein Wegeunfall beim Trinken in der Küche, BSG vom 05.07.2016 – B 2 U 5/15 R). Dieser Aspekt wird häufig bei der Diskussion um die Arbeit 4.0 etwas vernachlässigt und bedarf noch einer genaueren Ausgestaltung. Ebenso stellen sich neue Fragen im Zusammenhang mit Arbeitszeiterfassung und dem EUGH-Urteil (vom 14.05.2019 C-55/18).
Fazit
Unter Abwägung der Risiken und Vorteile sind entsprechende Regelungen zu treffen, welche Daten im Homeoffice unter welchen Bedingungen verarbeitet werden können und inwieweit ein mobiles Arbeiten möglich ist. Zu klären ist auch, inwiefern Beschäftigte den Arbeitgeber informieren müssen, wenn sie einen bestimmten Umkreis zum Betrieb verlassen und ob die Erreichbarkeit gewährleistet werden muss.
Die Sensibilisierung von Beschäftigten ist ein wichtiger Bestandteil im Datenschutzkonzept, da nicht alle Situationen umfänglich hervorgesehen werden können. Ein Notfallkonzept mit Ansprechpartnern sollte bestehen und den Beschäftigten auch bekannt sein.
Zur Person
Maria Dimartino
ist Rechtsanwältin mit Interessenschwerpunkten Arbeitsrecht und Beschäftigtendatenschutz.