Home-Office und nun?

18. Mai 2020 - IT

Viele berufstätige Menschen, Arbeitnehmer ebenso wie Selbstständige hat es im Angesicht der Corona-Pandemie unversehens ins Home-Office verschlagen. Sowohl für die Arbeitnehmer als auch die Arbeitgeber ist diese Arbeitssituation oftmals neu und insofern im Unternehmen gar nicht geregelt. Nachfolgend soll kurz aufgezeigt werden, worauf Arbeitgeber nun achten sollten, damit das Home-Office nicht zum rechtlichen Stolperstein wird, insbesondere im Hinblick auf Datenschutz und Datensicherheit.

Grundsätzlich gilt: Datenschutz und Datensicherheit verhindern nicht die Arbeit im Home-Office. Wichtig ist allerdings, dass Vorkehrungen für die Sicherheit der Daten getroffen werden, die dem mit der Verarbeitung zusammenhängende Risiko angemessen sind.

Im Home-Office werden Daten an einem anderen Ort und mit anderen Mitteln verarbeitet. Verantwortlicher im Sinne des Datenschutzrechts bleibt aber auch im Home-Office der Arbeitgeber. Er ist somit dafür verantwortlich, dass die Vorschriften der DSGVO und des BDSG eingehalten werden. Insofern ist es unablässig, den Arbeitnehmern Regeln an die Hand zu geben, wie sie sich im Home-Office zu verhalten haben. Dies kann kurz in einer E-Mail geschehen, aber vor allem, wenn Arbeitgeber auch nach Corona das Arbeiten aus dem Home-Office anbieten möchten, sollten entsprechende Arbeitsanweisungen / Betriebsvereinbarungen entworfen werden. Gleiches gilt natürlich auch für Arbeitgeber, die bislang Home-Office ermöglicht haben ohne entsprechende Regelungen aufzustellen.

Arbeitgebern, die dies alles für übertrieben halten und diesen Beitrag beiseitelegen wollen, sei gesagt, dass sie für Datenschutzverstöße im Home-Office ebenso haften, wie für Verstöße im Büro. Erhalten z.B. Dritte im Home-Office Kenntnis von personenbezogenen Daten, so ist die ggf. eine meldepflichtige Datenpanne. Gegen die möglichen Bußgelder der DSGVO ist der Entwurf von entsprechenden Regelungen eine Kleinigkeit.

Folgende Punkte sollen beim Entwurf von Regeln (am besten Fall in einer entsprechenden Arbeitsanweisung / Betriebsvereinbarung) beachtet werden:

1. Umgang mit Dokumenten / personenbezogenen Daten

  • Private und dienstliche Dokumente dürfen auch im Home-Office nicht vermischt werden.
  • Es ist darauf zu achten, dass die anderen Personen, die sich im Haushalt aufhalten, keinen Zugriff auf personenbezogene Daten erhalten. Deshalb sollte der Bildschirm so aufgestellt werden, dass andere ihn nicht ablesen können. Telefonate sollten in Räumen geführt werden, in denen andere nicht mithören können. Ausdrucke sollte möglichst rasch aus dem privaten Drucker entfernt werden. Druckaufträge sollten zudem auch nicht auf Druckern im Unternehmen landen, wo sie der Auftraggeber nicht abholen kann.
  • Die Weiterleitung von geschäftlichen E-Mails auf private E-Mail-Adressen sollte unterbleiben.
  • Idealerweise ist der Raum, in dem man arbeitet, abschließbar. Schriftliche Dokumente sollten ohnehin in einem verschlossenen Behältnis aufbewahrt werden.
  • Beim Papiermüll ist ebenfalls Vorsicht geboten. Geschäftsunterlagen und insbesondere Dokumente mit personenbezogenen Daten sollten immer in das Unternehmen gebracht und dort fachgerecht entsorgt werden. Auf gar keinen Fall sollten solche Unterlagen einfach in den Hausmüll geworfen werden.


2. IT-Geräte, Datenträger, Netzwerkzugang

Auch im Home-Office darf der Arbeitgeber natürlich die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festlegen. Dabei sind die folgenden Dinge zu beachten:

  • Vorrangig sollten die IT Geräte des Unternehmens genutzt werden und nicht private Geräte. So wird gewährleistet, dass die Sicherheitsvorkehrungen wie z.B. Betriebssystem, Virenschutz und Firewall auf dem aktuellsten Stand sind. Eine Privatnutzung dieser Geräte sollte untersagt werden, weil ansonsten der Zugriff auf gespeicherte Daten durch das Unternehmen erschwert werden kann.
  • Der Computer sollte so eingerichtet sein, dass er mit dem privaten Netzwerk durch ein Kabel oder ein verschlüsseltes WLAN verbunden ist. Das WLAN sollte so eingerichtet sein, dass man sich nur mit einem Passwort einwählen kann. An die Komplexität des Passwortes sollten die gleichen Anforderungen gestellt werden, wie an sonstige Passwörter im Unternehmen.
  • Die Speichermedien auf den IT-Geräten und externe Speichermedien sollten ebenfalls verschlüsselt sein. Am besten wird jedoch die Speicherung personenbezogener Daten auf den Geräten im Home-Office insgesamt untersagt.
  • Private Hardware, z.B. externe Festplatten, sollte an dienstliche Hardware auch im Home-Office nicht angeschlossen werden.
  • Wenn man das Zimmer verlässt, sollten die (personenbezogenen) Daten vor unberechtigtem Zugriff geschützt werden. Auf dem Computer sollte deshalb ein Bildschirmschoner mit Kennwort-Schutz aktiviert werden.
  •  Die Online-Verbindung zu den Servern des Unternehmers darf nur über eine sichere VPN Verbindung hergestellt werden.
  • Werden Messenger-Anwendungen verwendet, sollten sie eine ausreichende Ende-zu-Ende Verschlüsselung haben.


3.    Sonstiges

  • Eine entsprechende Sensibilisierung der Mitarbeiter ist unbedingt erforderlich
  • Werden Daten für einen Dritten im Auftrag verarbeitet, ist der zugrunde liegende Vertrag zur Auftragsverarbeitung zu prüfen. Nicht jeder Vertrag lässt die Tätigkeit im Home-Office zu. Manche Verträge enthalten zumindest Einschränkungen oder fordern bestimmte Sicherheitsvorkehrungen. Das betrifft natürlich nur die Fälle, in denen der Arbeitnehmer für den Auftragnehmer tätig ist.
  • Kommt es doch einmal zu einem Datenverlust, sollten die Mitarbeiter auch wissen, dass sie den Vorfall schnellstmöglich melden müssen und an wen sie ihn im Unternehmen melden müssen. Zudem sollte der Verstoß innerhalb der gesetzlichen Fristen an die Aufsichtsbehörde gemeldet werden, sofern erforderlich.

Schließlich ist zu beachten, dass die vorgenannten Punkte zwar nur den Umgang mit personenbezogenen Daten betreffen (nur solche werden bekanntlich durch das Datenschutzrecht geschützt), aber selbstverständlich auch sonstige Geschäftsgeheimnisse schützen. Schon aus eigenen Interessen sollte jedes Unternehmen auch vertrauliche Daten ohne Personenbezug, wie z.B. Geschäftsgeheimnisse, ausreichend schützen. Entsprechende Regelungen sind auch insofern sinnvoll.

Wie gezeigt ist die rechtliche Absicherung der Arbeit im Home-Office kein Hexenwerk. Vor allem wenn ein längerfristiger Einsatz im Home-Office geplant ist, sind diese Regelungen zur Absicherung aller Beteiligter unumgänglich.


Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserer Expertin auf:


Franziska Ladiges
Tel.: 069 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main.

Frau Ladiges berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2019 (31)
November (3) Oktober (1) September (1) August (3) Juli (3) Juni (2) Mai (4) April (3) März (4) Februar (2) Januar (5)
2018 (34)
Dezember (4) November (2) Oktober (4) September (3) August (3) Juli (4) Juni (4) Mai (2) April (7) Januar (1)