Kategorien
Blog

Datenschutz im Homeoffice

Das Homeoffice gilt in vielen Unternehmen als probates Mittel, um die oft verlangte Work-Life-Balance zu fördern und Kosten zu senken. Dank moderner Kommunikationsmittel ist eine Arbeit aus dem heimischen Arbeitszimmer auch oft gleichwertig mit der vor Ort. Dennoch gilt es auch den Datenschutz im Homeoffice zu wahren. Damit Ihnen das gelingt, stellen wir Ihnen einige kurze Empfehlungen zur Verfügung, die Arbeitnehmern und Unternehmen dabei helfen sollen, die Vorgaben der DSGVO im Homeoffice einzuhalten. Sollten Sie nach diesem ersten Überblick an einer Beratung interessiert sein, fragen Sie einfach unverbindlich an.

Personenbezogene Daten?

Zunächst muss festgestellt werden, ob die Daten, die Sie im Home Office verarbeiten, solche mit Personenbezug sind. Personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Umkehrschluss sind demnach Daten von juristischen Personen keine personenbezogenen Daten.

Sollten Sie also vorwiegend intern oder im B2B-Bereich arbeiten, sollten Sie überprüfen, ob Sie überhaupt personenbezogene Daten verarbeiten. Dabei ist zu berücksichtigen, dass selbst in diesen Bereichen die Namen von Ansprechpartnern als Solche gelten.

Verantwortlichkeit und Haftung für Datenschutz im Homeoffice

Dem Betroffenen gegenüber haftet immer der für die Verarbeitung Verantwortliche. Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Im klassischen Angestelltenverhältnis ist der Arbeitgeber wegen seiner Weisungsbefugnis auch Verantwortlicher i.S.d. DS-GVO. Allerdings kann auch der Angestellte von seinem Arbeitgeber in Anspruch genommen werden, wenn er die DAtenschutzverletzung verursacht hat. Im Rahmen des innerbetrieblichen Schadensausgleichs wäre darauf abzustellen, ob der Angestellt den Schaden vorsätzlich, oder (leicht bzw. grob) fahrlässig verursacht hat. Daran bemisst sich seine Haftungsquote. In nahezu jedem Fall dürfte jedoch der Arbeitgeber zumindest teilweise auf dem Schaden sitzen bleiben.

Freie Mitarbeiter, wie bspw. Freiberufler, die projektbezogen oder auf Abruf für ein Unternehmen arbeiten, sind Auftragsverarbeiter. Das bedeutet, dass zwar nach außen immer noch der Auftraggeber Verantwortlicher bleibt, aber den Auftragsverarbeiter in Regress nehmen kann. Das Unternehmen als Auftraggeber sollte deshalb stets (nicht nur bei Leistungserbringung im Homeoffice) einen Auftragsverarbeitungsvertrag mit seinen freien Mitarbeitern schließen.

Welche Vorkehrungen sollten getroffen werden?

Nach Art. 24 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Datenschutz im Unternehmen zu gewährleisten. Dabei müssen im Wege einer Gesamtabwägung stets Art, Umfang, Umstände und der Zweck der Verarbeitung berücksichtigt und mit den potentiellen Risiken abgewogen werden. Je nach Empfindlichkeit der personenbezogenen Daten oder Unternehmensgröße des Verantwortlichen können sich im konkreten Einzelfall abweichende Beurteilungen treffen lassen, sodass Sie Ihre technischen und organisatorischen Maßnahmen stets mit Ihrem Datenschutzbeauftragten oder anderen Beratern abklären sollten, um auch den Datenschutz im Homeoffice Ihrer Mitarbeiter garantieren zu können.

Anforderungen an den Arbeitsplatz

Der Arbeitsplatz, an dem im Homeoffice konkret gearbeitet wird, sollte verschiedene Anforderungen erfüllen:

  • Die Einsichtnahme (stellt Verarbeitung dar) Dritter muss verhindert werden. Das bedeutet, dass der PC einerseits mit einem Passwort (mit verschlüsselter Festplatte) gesichert sein sollte, andererseits der Raum selbst, sowie Aktenschränke abschließbar sein sollten.
  • Der Zugriff auf das Netzwerk des Arbeitgebers sollte ausschließlich durch ein passwortgesichertes Virtual Private Network (VPN) erfolgen.
  • Direkter Zugriff auf Datenbanken mit personenbezogenen Daten sind mit Benutzernamen und Passwort zu sichern.
  • Drucker im Privateigentum sind nicht zu benutzen.
  • Auch Zuhause muss die datenschutzkonforme Vernichtung von Unterlagen gewährleistet sein.

Sollte die Hard- und/oder Software vom Arbeitgeber zur Verfügung gestellt werden, so ist diese keinesfalls privat zu nutzen. Auch private Endgeräte wie USB-Sticks sollten nicht angeschlossen werden.

Kontrollrechte des Arbeitgebers

Wie bereits ausgeführt ist der Arbeitgeber Verantwortlicher für die Datenverarbeitung. Aus diesem Grunde, sollte er sich gegenüber seinem Arbeitnehmer (arbeits-)vertraglich ein Kontrollrecht des Arbeitsplatzes seines Arbeitnehmers sichern, um den Datenschutz im Homeoffice überprüfen zu können. Ohne entsprechende Vereinbarung darf der Arbeitgeber seine Angestellten sowieso nicht ohne Weiteres zur Arbeit im Homeoffice anweisen, sodass es sich anbietet, im Rahmen dieser Vereinbarung auch etwaige Kontrollrechte festzuhalten.

Datenschutz im Homeoffice: Können Verletzungen Kündigungsrecht begründen?

Die meisten Arbeitnehmer haben spätestens seit Einführung der DS-GVO eine Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorgaben und Richtlinien abgegeben. Diese wird in den meisten Fällen als Anlage Teil des Arbeitsvertrages geworden sein, sodass ein Verstoß gegen solche Vorgaben auch eine Pflichtverletzung im Rahmen des Arbeitsverhältnisses darstellt. Natürlich kommt es auch in diesem Fall auf die Schwere des Verstoßes, sowie die Art der betroffenen Daten und die Form des Verschuldens an. Da es sich auch bei einer etwaigen Kündigung um eine Verhaltensbedingte handeln würde, wäre bei einem nicht vorsätzlichen und schwerwiegenden Verstoß auch zunächst eine Abmahnung auszusprechen.

Kannengießer & Sauer Rechtsanwälte Düsseldorf beraten kleine und mittelständige Unternehmen in den Belangen des Datenschutzes. Bei Fragen zum Thema Datenschutz im Homeoffice oder anderen Fragen im Datenschutzrecht stehen wir Ihnen gerne telefonisch oder über unser Kontaktformular zur Verfügung.

Dieser Beitrag erhebt keinen Anspruch auf Vollständigkeit und ersetzt keinesfalls eine anwaltliche Beratung. Vielmehr soll er Interessierten einen groben Überblick über die dargestellte Problematik vermitteln.