agcreativelab - stock.adobe.com

Home-Office: Darauf kommt es beim Datenschutz an

Die Arbeitsweise hat sich vielerorts nachhaltig verändert, etwa im Hinblick auf Home-Office. Worauf müssen Unternehmen und Mitarbeiter dabei datenschutzrechtlich achten?

Seit Monaten arbeiten Millionen von Menschen in Deutschland und weltweit wegen der Coronapandemie von Zuhause. Das Home-Office sorgt inzwischen für viele Diskussionen – auch in der Politik. Sicher ist: das Arbeiten von Zuhause wird langfristig unsere Arbeitswelt verändern. Doch wie steht es um den Datenschutz? Und worauf ist beim mobilen Arbeiten datenschutzrechtlich zu achten?

Seit 25. Mai 2018 findet die Datenschutz-Grundverordnung (EU DSGVO) in der Europäischen Union (EU) unmittelbare Anwendung. Und mit ihr 99 Artikel, die sich unter anderem damit beschäftigen, dass die Verarbeitung personenbezogener Daten stets sicher sein muss. Spätestens seitdem befassen sich Unternehmen damit, ihre technischen und organisatorischen Maßnahmen (TOM) anzupassen, um die Verarbeitung von Daten konform zu gestalten und die wertvollen personenbezogenen Daten zunehmend zu schützen.

Doch als im Frühjahr 2020 die Pandemie einen Großteil der Arbeitnehmer von heute auf morgen ins Home-Office versetzte, waren viele Vorkehrungen und guten Vorsätze zunächst vergessen. Es musste schnell improvisiert werden, um den täglichen Betrieb am Laufen zu halten.

So wurden kurzerhand Heimbüros in Form von Küchenschreibtischen und Wohnzimmer-Videokonferenzen eingerichtet – zum Teil mit privaten Geräten. Ein Albtraum für Arbeitssicherheit und Datenschutz. Bußgelder gab es innerhalb dieser Zeit nur wenige. Mit zunehmenden Coronafallzahlen hat sich aber der Home-Office-Anteil wieder erhöht. Hinzu kommt: Auch wenn die Pandemie einmal überwunden ist, wird das mobile Arbeiten weiterhin eine wichtige Rolle in unserer Arbeitswelt spielen und der Datenschutz sollte dabei keinesfalls vergessen werden.

Home-Office richtig organisieren

Mit den Mitarbeitern, die temporär von zuhause arbeiten, sollte eine Vereinbarung zur künftigen Arbeit von Zuhause getroffen werden. Darin müssen alle im Einzelfall zutreffende Pflichten und vereinbarten Schutzvorkehrungen dokumentiert werden. Um die Home-Office-Arbeit datenschutzrechtlich von Anfang an sicher zu gestalten, sollte eine solche Regelung vor Antritt des ersten Arbeitstags im Home-Office getroffen und unterschrieben werden.

In jedem Fall sollte sie jedoch zumindest schnell nachgeholt werden. Neben allgemeinen Maßnahmen zum Schutz, kann in einer solchen Vereinbarung ein Kontrollrecht des Arbeitgebers über den bestehenden Heimarbeitsplatz vereinbart werden.

Verarbeitet ein Unternehmen im Auftrag für ein anderes personenbezogene Daten, muss weiterhin beachtet werden, was innerhalb des Auftragsverarbeitungsvertrags vereinbart wurde – diese technischen und organisatorischen Maßnahmen dürfen auch in solchen Situationen nicht unterschritten werden.

In jedem Fall sollten dem Arbeitnehmer betriebliche Arbeitsmittel zur Verfügung gestellt werden, mit denen er sich beispielsweise ins Unternehmensnetz einwählen kann. Im besten Fall über ein sicheres, in sich geschlossenes VPN (Virtual Private Network). Falls im Einzelfall ein Mitarbeiter doch sein eigenes Gerät nutzen muss, um zu arbeiten, sollten auch hier entsprechende Maßnahmen getroffen werden.

Mareike Vogt, TÜV SÜD

„Sogar in Ausnahmesituationen müssen Unternehmen grundsätzlich in der Lage sein, Datensicherheit und Datenschutz einzuhalten.“

Mareike Vogt, TÜV SÜD

So wäre es denkbar, dass der Mitarbeiter von seinem Privatgerät ausschließlich eine virtuelle Verbindung zu seinem Computer im Büro herstellt und anschließend über diesen Fernzugriff arbeitet. Eine Trennung von privaten und geschäftlichen Daten muss in jedem Fall gesichert sein, eine Vermischung ist unbedingt zu vermeiden. Auch hier sollten alle Maßnahmen individuell innerhalb der getroffenen Vereinbarung dokumentiert werden.

Keine Ausrede beim Datenschutz

Durch die Krise haben sich gerade Familien in schwierigen Situationen wiedergefunden – hin- und hergerissen zwischen Home-Schooling, Haushalt und Home-Office. Doch personenbezogene Daten sind in diesen Zeiten auch vor interessierten Augen der Angehörigen zu schützen.

Simple Maßnahmen, wie Sichtschutzfolien und Bildschirmsperren, schaffen mehr Sicherheit, wenn sie konsequent umgesetzt werden. Bei allen Möglichkeiten gilt es jedoch, die Einzelsituationen und Arbeitsaufgabe des Arbeitnehmers zu beurteilen und daraus angemessene und wirkungsvolle Maßnahmen zur sicheren Arbeit von Zuhause zu definieren. Vorkehrungen zur Sicherheit von personenbezogenen Daten sollten immer verhältnismäßig und angemessen sein.

Fakt ist, dass auch die Pandemie keine Ausrede für vernachlässigten Datenschutz darstellt. Sogar in Ausnahmesituationen müssen Unternehmen grundsätzlich in der Lage sein, Datensicherheit und Datenschutz einzuhalten.

Arbeitgeber sollten sich jetzt darauf einstellen, das Homeoffice auch nach dem Ende der Pandemie weiterhin als Teil der modernen Arbeitswelt zu akzeptieren. Verschärft wird dies durch die aktuelle Entscheidung der Bundesregierung, Home-Office derzeit zur Pflicht zu machen, wenn es nach betrieblichen Gegebenheiten für das Unternehmen möglich ist. Arbeitsminister Hubertus Heil kündigte strenge Kontrollen zur Einhaltung dieser Verpflichtung an.

Unternehmen sollten in jedem Fall gemeinsam mit dem Datenschutzbeauftragten einen Plan entwickeln, wie sie künftig mit geeigneten Mitteln und Vereinbarungen eine sichere Verarbeitung personenbezogener Daten im Home-Office sicherstellen können. Gerade bei kleinen und mittleren Unternehmen (KMU) kann hierbei ein unabhängiger Berater helfen, wenn keine eigene Fachexperten im Unternehmen vorhanden sind.

Über die Autorin:
Mareike Vogt ist Fachexpertin Datenschutz bei TÜV SÜD.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Datensicherheit