Das Corona-Virus beherrscht die aktuelle Medienwelt wie kein zweites Thema. Auch in gesellschaftlicher sowie rechtlicher Hinsicht stellt diese akute Problematik alle Teilnehmer am öffentlichen Leben vor teilweise neue Herausforderungen. Es erreichen uns im Bereich Datenschutz in diesen Tagen vermehrt Anfragen über Themen, die auch schon vor dem Corona-Virus Gegenstand zahlreicher Datenschutzlektüren waren. Viele dieser Anfragen betreffen das Thema „Datenschutz im Homeoffice“ bzw. „Telearbeit“. Wir haben dies zum Anlass genommen und für Sie ein FAQ zum Thema „Homeoffice und Datenschutz“ erstellt.

Datenschutz bei der Arbeit im Homeoffice

Dürfen Mitarbeiterinnen und Mitarbeiter prinzipiell aus dem Homeoffice heraus arbeiten? Die Antwort darauf lautet Ja, sie dürfen. Ein Arbeitnehmer hat darauf aber keinen gesetzlichen Anspruch. Zudem sind bestimmte allgemeine Regelungen (insbesondere zum Datenschutz und zur Datensicherheit) sowohl von Arbeitgeber als auch Arbeitnehmer einzuhalten. Im Einzelfall kann es daher durchaus sein, dass aufgrund von zu sensiblen Daten ein Homeoffice-Arbeitsplatz mit zu hohen datenschutzrechtlichen Risiken verbunden ist. Daher muss im Einzelfall vom Arbeitgeber (zeitgleich auch der datenschutzrechtlich verantwortlichen Stelle) eine Risikoabwägung erfolgen.

Wer ist verantwortlich für den Datenschutz im Homeoffice?

Grundsätzlich ist der Arbeitgeber zur Einhaltung der datenschutzrechtlichen Pflichten verantwortlich. Dieser trägt somit das Risiko eines Datenverlusts und ist folglich auch zur Meldung einer Datenpanne bei der Aufsichtsbehörde verpflichtet. Der Arbeitgeber muss daher den Rahmen schaffen, dass der Mitarbeiter sich rechtskonform verhalten kann. Handelt der Mitarbeiter sodann seinerseits nicht rechtskonform (insb. grob fahrlässig oder vorsätzlich) kann dies wiederrum arbeitsrechtliche Konsequenzen für den Mitarbeiter haben. Die datenschutzrechtliche Verantwortlichkeit bleibt allerdings stets bei der datenschutzrechtlich verantwortlichen Stelle und damit bei dem Arbeitgeber.

Wann kann ein Arbeitsplatz ins Homeoffice verlegt werden?

Dies hängt dem Grunde nach davon ab, ob ein gewisser Mindestschutz für die personenbezogenen Daten auch im Homeoffice gewährleistet werden kann. Grundsätzlich ist der Arbeitgeber für die Sicherstellung der technisch-organisatorischen Maßnahmen (TOM) verantwortlich. Dies gilt auch dann, wenn die Datenverarbeitung nicht in den Räumlichkeiten des Arbeitgebers durchgeführt wird, sondern an anderen Orten. Durch die Verlagerung von Daten – ggf. auch Akten – in den außerbetrieblichen Bereich, verringern sich die Kontrollmöglichkeiten des Arbeitgebers, während die Gefahr unberechtigter Zugriffe steigt.

Bevor daher ein Homeoffice eingerichtet wird, ist zu klären, welche Tätigkeiten außerhalb des Betriebs erledigt werden sollen und ob diese Tätigkeiten und der jeweilige Mitarbeiter überhaupt für Homeoffice geeignet sind. Persönliche Voraussetzung sind umfassendes Vertrauen zu dem jeweiligen Mitarbeiter, ausreichende Kompetenz des Mitarbeiters sowie seine Schulung und Sensibilisierung im Hinblick auf Datenschutz und Datensicherheit. Die Tätigkeit muss auch grundsätzlich auslagerungsfähig sein, was bedeutet, dass keine Präsenz im Betrieb erforderlich ist. Bezüglich der zu verarbeitenden Daten ist zu differenzieren, wie sensibel diese sind: Daten ohne Personenbezug können aus datenschutzrechtlicher Sicht problemlos im Homeoffice verarbeitet werden. Hier ist der begrenzende Faktor das betriebliche Geheimhaltungsinteresse, etwa bei Forschungs- oder Konstruktionsdaten.

Bei personenbezogenen Daten sind aus rechtlicher Sicht angemessene Schutzmaßnahmen erforderlich. Kann angesichts der erweiterten Zugriffsmöglichkeiten im Homeoffice und der Vertraulichkeit der konkret in Rede stehenden Daten kein ausreichendes Sicherheitsniveau geschaffen werden, dürfen diese Daten nicht im Homeoffice verarbeitet werden. Dies dürfte insbesondere typischerweise bei besonderen Kategorien personenbezogener Daten wie etwa Gesundheitsdaten, sowie bei Daten, die einem Berufs- oder Amtsgeheimnis unterliegen, oftmals der Fall sein (BfDI, 18. TB, Kap. 18.9). Dabei ist stets der Einzelfall zu betrachten: Auch Personaldaten sind nicht per se so vertraulich, dass sie nur im Betrieb verarbeitet werden dürften. Daten über Erkrankungen oder Beurteilungen sollten den Betrieb nicht verlassen, während Angaben über Fortbildungen auch im Homeoffice verarbeitet werden können (BfDI, 22. TB, Kap. 11.4). Gerade die IT ermöglicht es aber, anstelle von Klardaten mit Pseudonymen wie zum Beispiel einem Aktenzeichen zu arbeiten. Werden beispielsweise beim Zugriff aus dem Homeoffice Namen und weitere Informationen ausgeblendet, kann auch der Fernzugriff auf eigentlich sensible Daten zulässig sein (BfDI, 20. TB, Kap 6.1.2.1).

Besonders kritisch ist die Arbeit im Homeoffice, wenn dafür Papier-Akten benötigt werden. Diese lassen sich naturgemäß nicht pseudonymisieren, müssen mit dem entsprechenden Verlustrisiko physisch transportiert werden und es gibt typischerweise keine Sicherungskopie. Hier sind besondere Sicherheitsmaßnahmen vorzusehen.

Benötige ich schriftliche Regelungen fürs Homeoffice?

Ja. Grundsätzlich unterliegt die verantwortliche Stelle der Rechenschaftspflicht, sodass datenschutzkonformes Handeln grundsätzlich nachgewiesen werden können muss. Durch eine Homeoffice-Richtlinie oder Vereinbarung kann von der verantwortlichen Stelle nachgewiesen werden, dass sie entsprechende Regelungen zum Homeoffice getroffen hat. Gleichzeitig wird dem Mitarbeiter noch einmal dargelegt, welche konkreten Maßnahmen zur Datensicherheit für diesen im Homeoffice relevant sind. Insoweit kann eine erforderliche Sensibilisierung auch mit Unterzeichnung der entsprechenden Vereinbarung nachgewiesen werden.

Welche Maßnahmen zur Datensicherheit sind im Homeoffice für eine verantwortliche Stelle mindestens einzuhalten?

1. Sichere Aufbewahrungsorte
Das Prinzip der sicheren Aufbewahrungsorte gilt für Unterlagen und den im Homeoffice genutzten PC gleichermaßen. Ein abschließbarer Schrank und ein separates Arbeitszimmer gehören dazu, damit niemand bei der Arbeit über die Schulter schauen oder sich unbefugt Zugang verschaffen kann. Dienstliche Unterlagen sollten daher in einem abschließbaren Schrank aufbewahrt werden.
2. Verschlüsselung
Sowohl E-Mails, Festplatten als auch der Zugang zum Unternehmensnetzwerk sollten verschlüsselt sein, beispielsweise mittels VPN Zugang. Auch externe Datenträger sollten zusätzlich verschlüsselt werden.
3. Firmen-Hardware statt Privatrechner
Es sollten stets aktuelle Sicherheits- und Virensoftware auf den Endgeräten vorhanden sein. Grundsätzlich sollte Firmen-Hardware zur Verfügung gestellt werden. Das hat auch den Vorteil, dass Daten nicht auf privaten Datenträgern gespeichert werden (siehe dazu die konkreten Ausführungen im nächsten Oberpunkt).
4. Trennung von privaten Daten
Es sollten keine privaten Daten auf der Firmen-Hardware gespeichert werden. Persönliche Daten und Software stellen immer ein Sicherheitsrisiko dar. Zusätzlich entstehen später rechtliche Schwierigkeiten, wenn ggf. auf die Hardware durch den Arbeitgeber zugegriffen werden soll.
Wird ein Privatrechner genutzt, dann gehören Firmendaten nicht darauf gespeichert. Es empfiehlt sich zum Beispiel ein rein browserbasierter Zugang zu E-Mail & Co oder aber ein Zugang per Terminal Server oder Citrix.
5. Datenmüll vermeiden für mehr Datenschutz im Homeoffice
E-Mail-Ausdrucke oder Notizen mit personenbezogenen Daten müssen auch datenschutzgerecht entsorgt werden. Das ist im Büro einfacher als im Homeoffice. Im Zweifelsfall muss der Arbeitgeber dem Arbeitnehmer einen geeigneten Aktenvernichter (nach DIN66399) zur Verfügung stellen.
6. Automatische Sperre des Computers
Der Computer sollte auch bei kurzem Verlassen immer gesperrt werden. Der Bildschirm sollte daher so eingestellt werden, dass nach kurzer Inaktivität eine automatische Bildschirmsperre erfolgt.
7. Sichere Passwörter
Passwörter sollten besonders sicher sein. Im besten Fall werden diese von der IT-Abteilung eingerichtet.

Darf der Arbeitnehmer ein privates Endgerät für dienstliche Zwecke nutzen?

Theoretisch ist dies möglich, sollte aber aus mehreren Erwägungsgründen nicht ermöglicht werden. Letztlich müssen die TOM nämlich auch auf den privaten Endgeräten sichergestellt werden. Hier werden regelmäßig auch die Interessen des Arbeitnehmers eine Rolle spielen, da die verantwortliche Stelle die TOM grundsätzlich kontrollieren können muss.

Weiterhin müssen aufgrund des Grundsatzes der Mandantentrennung die dienstlichen sowie privat genutzten Daten strikt voneinander getrennt sein. Dies bedeutet auch, dass der Arbeitgeber dem Arbeitnehmer diktieren muss, welche Apps dieser auf seinem Tablet oder Handy installieren darf (wie Facebook oder WhatsApp). Dies wird in der Praxis zu erheblichen Interessenkonflikten führen, weshalb diese Thematik in der Praxis regelmäßig ein zu hohes Risiko für die verantwortliche Stelle darstellen dürfte.

Mitarbeiter Schulungen zum Datenschutz

Was eine Belehrung auf jeden Fall enthalten sollte und welche Formulierungen Sie als Arbeitgeber auf die sichere Seite bringen, das können Sie einem Faltblatt des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) zur Telearbeit entnehmen.

Datenschutz Schulungen e-Learning

Muss (sofern vorhanden) der Betriebsrat miteinbezogen werden?

Ja. Der Arbeitgeber hat den Betriebsrat bereits im Planungsstadium zur Einführung des Homeoffice zu unterrichten und mit ihm darüber zu beraten (§ 90 BetrVG). Auch der Wirtschaftsausschuss ist vom Arbeitgeber in Bezug zu den mit dem Homeoffice zusammenhängenden neuen Arbeitsmethoden, Änderungen der Betriebsorganisation sowie sonstigen Auswirkungen auf die Interessen der Arbeitnehmer zu informieren (§ 106 Abs. 3 Nr. 5, 9, 10 BetrVG).

Bei Arbeitszeitregelungen, die sich auf Beginn und Ende der täglichen Arbeitszeit einschließlich der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage und Überstundenanordnungen für Arbeitnehmer im Homeoffice beziehen, hat der Betriebsrat mitzubestimmen (§ 87 Abs. 1 Nr. 2 u. 3 BetrVG). Es ist daher sinnvoll, eine Betriebsvereinbarung zum Homeoffice mit dem Betriebsrat abzuschließen.

Damit Ihr Unternehmen auch aus datenschutzrechtlicher Sicht sicher im Homeoffice arbeiten kann, helfen wir Ihnen gerne. Wir unterstützen Sie bei der organisatorischen Gestaltung der Arbeitsplätze Ihrer Mitarbeiterinnen und Mitarbeiter und geben wertvolle Tipps, wie Sie auch weiterhin sicher und datenschutzkonform arbeiten können.

Fazit zum Thema Datenschutz im Homeoffice

Die Einrichtung eines Homeoffice-Arbeitsplatzes ist im Einzelfall möglich. Der Arbeitgeber hat aber die besonderen Regelungen zum Datenschutz und zur Datensicherheit einzuhalten. Der Mitarbeiter ist entsprechend zu sensibilisieren und sollte eine schriftliche Vereinbarung unterzeichnen. Sofern ein Betriebsrat vorhanden ist, sollte mit diesem eine Betriebsvereinbarung getroffen werden.

Bei noch offenen Fragen stehen wir, das Datenschutz-Team von ecoprotec, Ihnen natürlich immer gerne zur Verfügung.