Corona macht es möglich…
Kaum vorbei schon wieder da: Beschäftige müssen / sollen wieder in das Homeoffice.
Aber es gibt Regeln für den Datenschutz zu beachten.
Homeoffice vs. mobiles Arbeiten vs. Telearbeit
Oft erklärt – aber ich will es noch einmal klarstellen.
Der Begriff „Homeoffice“ ist rechtlich nicht definiert. Und er unterscheidet sich zur Telearbeit.
Telearbeit ist definiert in § 2 Abs. 7 Satz 2 Arbeitsstättenverordnung (ArbStättV):
Telearbeitsplätze sind vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat.
Ein Telearbeitsplatz ist vom Arbeitgeber erst dann eingerichtet, wenn Arbeitgeber und Beschäftigte die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer Vereinbarung festgelegt haben und die benötigte Ausstattung des Telearbeitsplatzes mit Mobiliar, Arbeitsmitteln einschließlich der Kommunikationseinrichtungen durch den Arbeitgeber oder eine von ihm beauftragte Person im Privatbereich des Beschäftigten bereitgestellt und installiert ist.
Homeoffice dagegen ist ein Teil des mobilen Arbeitens. Also ähnlich, als ob man den Laptop nimmt und sich z.B. ins Café oder den Zug setzt und dort arbeitet.
Wir wollen hier aber nicht Arbeitsrecht sondern den Datenschutz im Homeoffice betrachten – und so nebenbei auch gleich die Datenschutz-Regeln beim mobilen Arbeiten erfassen.
Datenschutz und Datensicherheit gilt überall
Ob die Beschäftigten nun im Unternehmen arbeiten oder an einem anderen Ort ist dem Datenschutz egal.
Es gelten die gleichen Regeln. Und damit fangen die Probleme an.
Denn das Unternehmen als Verantwortlicher im Sinne der DSGVO muss sicherstellen, dass die Daten auch im Homeoffice richtig geschützt werden.
Während im Unternehmen aber in der Regel klare Strukturen der technisch-organisatorischen Maßnahmen vorliegen, ist am Homeoffice oder beim mobilen Arbeiten lange nicht alles sauber gelöst.
Die Aufsichten für Datenschutz empfehlen deshalb dafür klare Regeln in Form von Arbeitsanweisungen, die das Verhalten und die Gegebenheiten vor Ort regeln.
Der Verantwortliche = Unternehmen muss sich dazu auch vor Ort von der Einhaltung überzeugen.
Und da geht es dann los:
- Soll das Unternehmen wirklich auf eine Inaugenscheinnahme bei den Beschäftigten in deren privaten Umfeld eine Kontrolle durchführen?
- Und wie soll das bei mobilen Arbeiten gehen?
Die Aufsichten empfehlen deshalb, die Arbeitsanweisung mit den technisch-organisatorischen Maßnahmen für Homeoffice / mobiles Arbeiten sich unterschreiben zu lassen.
Für diese Arbeitsanweisung müssen die Regeln – also die Kriterien – festgelegt werden.
Dies erfolgt am besten in einem kurzen Meeting zwischen Personalabteilung, IT und Datenschutzbeauftragten des Unternehmens.
Ja, muss das sein?
Vielleicht denken Sie jetzt, wenn die Beschäftigten nicht mit personenbezogenen Daten arbeiten, braucht man die folgenden Regeln nicht.
Bedenken Sie, dass auch andere Daten schützenswert sind. Oder wollen Sie wirklich Unternehmensinfos oder Produktdaten öffentlich machen?
Also ja – es muss sein…
Checkliste für die Arbeitsanweisung
Folgende Topics müssen dabei zwingend betrachtet werden:
- Arbeitsumgebung
- Hier werden die Dinge der Vertraulichkeit und Verfügbarkeit definiert.
Z.B. Fenster schließen, Mithören / Mitsehen der Familienmitglieder bei vertraulichen Gesprächen
- Hier werden die Dinge der Vertraulichkeit und Verfügbarkeit definiert.
- Genutzte Hardware
- Dienstliche Geräte sollten unbedingt eingesetzt werden.
- Umgang mit Papierdokumenten
- Digital ja – aber wie geht man Papier um? Wie wird gedruckt? Wie wird entsorgt.
- Nutzung von Videokonferenzsystemen
- Klarer Umgang mit Videosystemen. Auftragsverarbeitungsvertrag vorhanden? Sicheres Drittland? Betriebsrat einbezogen
- Sehr wahrscheinlich muss dieser Punkt durch eine Datenschutzfolgenabschätzung für das Videosystem ergänzt werden.
- Beachten Sie auch, wie Gespräche / Videokonferenz mit Inhalten von Gesundheitsdaten geregelt sind.
- IT-Sicherheit
- Wie ist die Datenübertragung ins Unternehmen geregelt?
- Öffentliche WLAN-Hotspots
- Sicherheitsupdates
- Verschlüsselung der Hardware
- Nutzung von Cloud-Diensten
- Zusammenarbeit / Collaboration über Cloud-Dienste
- Alle DSGVO Vorgaben eingehalten?
- Nutzung von Messengern
- Welche Messenger ja / ein
- Sind die eingesetzten auch sicher oder generieren diese Datenschutzverletzungen?
- Allgemeine organisatorische Regelungen
- Datenschutz-Schulung der Beschäftigten für Homeoffice / mobiles Arbeiten, damit diese wissen, wie sie sich verhalten müssen
- Datenschutzverletzungen
- Wie wird damit umgegangen? Meldewege?
Das Ergebnis
Alle die oberen Punkte fließen dann in eine Arbeitsanweisung.
Bedenken Sie auch eventuell eine Mitbestimmungspflicht eines Betriebsrats / Personalrats.
Vergessen Sie auch nicht, die Informationspflichten nach Artikel 13 DSGVO für die Beschäftigten anzupassen.
Links
- § 2 Abs. 7 Satz 2 Arbeitsstättenverordnung (ArbStättV). Link
- Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) vom Datenschutz Niedersachsen (LfD). Link (PDF)
- Datenschutzrechtliche Regelungen bei Homeoffice Best-Practice-Prüfkriterien (18. Mai 2020). Link PDF
- Datenschutz:Plötzlich im Homeoffice –und nun? (24. März 2020). Link PDF
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |