Schutz personenbezogener Daten im Home-Office reicht nicht
Kundendaten im Home-Office müssen geschützt werden, damit sie als Geschäftsgeheimnis eingestuft werden, wie ein aktuelles Gerichtsurteil zeigt. Datenschutz ist also nicht alles.
Die Tätigkeit im Home-Office gilt als die neue Normalität. Doch mit der Datenverarbeitung außerhalb des Firmennetzwerkes, mit Remote Work sind zahlreiche Datenrisiken verbunden, alleine schon deshalb, weil die zentralen Sicherheitsmaßnahmen, die ein Unternehmen ergriffen hat, nicht ohne weiteres an den verteilten Standorten für Schutz sorgen.
Die Aufsichtsbehörden für den Datenschutz haben deshalb zahlreiche Hinweise gegeben, wie der Datenschutz im Home-Office organisiert werden soll. So sagt zum Beispiel die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen: Bei der Festlegung, was im Home-Office bearbeitet werden darf und was nicht, obliegt es dem/der Verantwortlichen, Art, Umfang, Umstände und Zwecke der jeweiligen Verarbeitung festzulegen.
Unter Berücksichtigung dieser Voraussetzungen müssen in einer Risikoanalyse die Gefährdungen für die Rechte der Betroffenen, die jeweilige Schadenshöhe und die Eintrittswahrscheinlichkeit untersucht werden. Auf Grundlage des ermittelten Risikowertes, in Abwägung mit den Implementierungskosten und unter Berücksichtigung des Standes der Technik, muss der/die Verantwortliche schließlich wirksame und angemessene technische und organisatorische Maßnahmen (TOM) festlegen und implementieren.
Diese müssen den Schutz der Verarbeitung gewährleisten, indem sie die Risiken auf ein vertretbares Maß reduzieren. Es müssen also in jedem Fall vor dem Beginn der Tätigkeit im Home-Office die dem Risiko, der Arbeitssituation und dem Verarbeitungskontext entsprechenden Prüfschritte absolviert und Vorarbeiten geleistet werden. Wurde die Telearbeit beziehungsweise das mobile Arbeiten neu eingeführt, sollten Regelungen zu Datenschutz und -sicherheit im Homeoffice getroffen und diese den Beschäftigten verständlich und nachvollziehbar erläutert werden.
Was für Daten ohne Personenbezug gilt
Bekanntlich dreht es sich im Datenschutz um die Gewährleistung einer rechtskonformen Verarbeitung personenbezogener Daten. Bei der Festlegung von Maßnahmen im Datenschutz müssen deshalb zuerst die zu schützenden personenbezogenen Daten identifiziert und klassifiziert werden, um den Schutzbedarf zu ermitteln. Besonders zu schützen sind nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) zum Beispiel Gesundheitsdaten.
Doch was ist mit den Daten, die nicht personenbezogen oder personenbeziehbar sind? Natürlich gibt es auch Daten ohne Personenbezug, bei denen die Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt sein muss. Als Unternehmen denkt man dabei an alle Daten, die für die Produktivität und den Geschäftserfolg wichtig sind und an Betriebsgeheimnisse oder Geschäftsgeheimnisse.
Im Vergleich zum Datenschutz werden jedoch die rechtlichen Vorgaben im Bereich Geschäftsgeheimnisse wenig diskutiert, zu Unrecht. Tatsächlich ist es so, dass ein Geschäftsgeheimnis ohne Schutzmaßnahmen rechtlich gar nicht existiert, anders als bei den personenbezogenen Daten.
So besagt das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG): Im Sinne dieses Gesetzes ist ein Geschäftsgeheimnis eine Information
a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Insbesondere bedeutet das, dass derjenige, der sich auf das Vorliegen eines Geschäftsgeheimnisses beruft, zusätzlich nachweisen muss, dass er angemessene Schutzmaßnahmen für die in Frage kommenden Informationen, zum Beispiel in Form von Schutzkonzepten, getroffen hat.
Ohne Schutz kein Geschäftsgeheimnis, auch im Home-Office
Wenn man also Schutzmaßnahmen nicht nachweisen kann, kann man auch den rechtlichen Schutz von Geschäftsgeheimnissen nicht für sich in Anspruch nehmen, darunter Beseitigung und Unterlassung, Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt durch denjenigen, der sich des Geschäftsgeheimnisses unerlaubt bemächtigt hat.
Was aber hat dies mit den Schutzmaßnahmen im Home-Office zu tun? Sehr viel, wie ein aktuelles Urteil unterstreicht.
So hat das LAG Düsseldorf (Landesarbeitsgericht Düsseldorf, Urteil vom 03.06.2020 - Az.: 12 SaGa 4/20) entschieden: Bei privaten Aufzeichnungen eines Arbeitnehmers über Kundenbesuche und Kundendaten handelt es sich ebenso um Geschäftsgeheimnisse wie bei Kundenlisten mit Kundendaten und Absatzmengen. Dieses setzt dabei angemessene Geheimhaltungsmaßnahmen voraus. Ohne solche Maßnahmen fehlt es am Geschäftsgeheimnis und es besteht kein Unterlassungsanspruch.
Das bedeutet: Sind vertrauliche Daten zum Beispiel im Home-Office eines Mitarbeiters oder einer Mitarbeiterin unzureichend geschützt, handelt es sich bei diesen Daten um keine Geschäftsgeheimnisse, mit massiven, rechtlichen Folgen, wie oben bereits betrachtet.
Geschäftsgeheimnisse bei Remote Work
Wenn Unternehmen somit Geschäftsgeheimnisse schaffen wollen, indem sie die entsprechenden Daten schützen, zum Beispiel mit den Maßnahmen, die der Bundesverband mittelständische Wirtschaft (BVMW) e. V. (PDF) empfiehlt, so müssen diese Maßnahmen auch für Remote Work und auch im Home-Office gelten und greifen.
Erfreulich ist jedoch: Wer den Datenschutz im Home-Office ernst nimmt, kann oftmals die ergriffenen Maßnahmen auf andere, zu schützende Daten ausweiten, um damit dann Geschäftsgeheimnisse zu haben.
Dabei muss immer der höchste Schutzbedarf aller betrachteten Daten das geforderte Schutzniveau im Home-Office bestimmen. Ob man aber ein solch übergreifendes Schutzkonzept für Datenschutz und Geschäftsgeheimnisse etabliert, kommt darauf an, ob der Aufwand dadurch nicht unangemessen steigt. Dann sollte man lieber jeweils den Schutzbedarf für jede Datenkategorie ermitteln und entsprechend umsetzen, für personenbezogene Daten und für Informationen, die Geschäftsgeheimnisse sein sollen.