Die Arbeit im Homeoffice oder beim mobilen Arbeiten erfordert neben erhöhten technischorganisatorischen Maßnahmen im Umgang mit personenbezogenen Daten stets vorab auch eine Homeoffice-Vereinbarung.
Arbeiten im Homeoffice stellt nicht nur Arbeitnehmerinnen und Arbeitnehmer vor eine große Herausforderung, sondern auch Arbeitgeberinnen und Arbeitgeber, da diese auch im Homeoffice für die Verarbeitung personenbezogenen Daten durch ihre Mitarbeiterinnen und Mitarbeiter verantwortlich bleiben.
Bevor die Arbeit in das Homeoffice verlagert wird, sollten folgende Punkte aus datenschutzrechtlicher Sicht beachtet werden:
-
Eignung der Tätigkeit für das Homeoffice
Arbeitgeberinnen und Arbeitgeber sollten sich stets die Frage stellen, ob die Tätigkeit sich für das Homeoffice eignet. Bei dieser Betrachtung ist zunächst von großer Relevanz die Art der zu verarbeitenden personenbezogenen Daten. Je schützenswerter die personenbezogenen Daten sind, desto weniger eignet sich deren Bearbeitung im Homeoffice. Handelt es sich beispielsweise um Daten nach Artikel 9 DSGVO (z.B. Gesundheitsdaten), Sozialdaten oder Beschäftigtendaten ist daher besonders Vorsicht geboten.
-
Homeoffice Vereinbarung
Die Arbeit im Homeoffice bedarf einer ausdrücklichen Vereinbarung – typischerweise eine Betriebsvereinbarung Homeoffice – in der sich mindestens folgender Inhalt wiederfinden sollte:
- Welche Arbeiten dürfen von zu Hause aus erledigt werden
- Wer stellt die technischen Geräte und Internetzugang (einschließlich Wartung und Reparatur) zur Verfügung
- Ist der Einsatz privater Hard- und Software erlaubt
- Muss der Arbeitsplatz besonders gesichert werden
- Regelungen zum Beschäftigtendatenschutz zur Arbeitszeit, zur Erreichbarkeit und Ableistung eines bestimmten Anteils der Arbeitszeit am betrieblichen Arbeitsplatz.
Da Art. 13 Grundgesetz die Unverletzlichkeit der Wohnung garantiert, haben Arbeitgeberinnen und Arbeitgeber kein generelles Zugangsrecht zu Wohnungen von Mitarbeiterinnen und Mitarbeitern. Ist der Zutritt ausdrücklich gewollt, so bedarf es für den Zugang zur Wohnung der Mitarbeiterinnen und Mitarbeitern einer wirksamen Einwilligung.
-
Technisch-organisatorische Maßnahmen
Gefahren im Homeoffice können andere sein als am betrieblichen Arbeitsplatz. Diese müssen Arbeitgeberinnen und Arbeitgeber vorab ermitteln und geeignete technisch-organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten (Art. 32 DSGVO).
Hilfreiche Informationen zum datenschutzkonformen Home-Office finden Sie in dieser Orientierungshilfe bzw. dieser umfangreichen Checkliste.
Geeignet sind Maßnahmen, die:
- die die Mitarbeiterinnen und Mitarbeiter für den Datenschutz im Homeoffice sensibilisieren. Dies kann durch Schulungen zum Datenschutz erreicht werden.
- die räumliche Sicherheit im Blick haben. Gibt es einen gesonderten Arbeitsplatz, gesonderten Raum, ab vom übrigen Wohnbereich, der auch verschlossen werden kann? Können Telefonate oder Videokonferenzen von unberechtigten Dritten (insbesondere von Familienangehörigen oder Nachbarn) in räumlicher Nähe mitgehört werden? Können Arbeitsunterlagen und Notebooks, die personenbezogene Daten enthalten, nach Feierabend verschlossen verwahrt werden? Es sind nur so viele Unterlagen im Homeoffice zu verwahren, wie unbedingt erforderlich. Gegebenenfalls ist für das Homeoffice eine Obergrenze für Unterlagen mit personenbezogenen festzulegen.
- die Datensicherheit beim IT-Einsatz gewährleisten. Wenn möglich sollen nur technische Geräte und Software eingesetzt werden, die vom Arbeitgeber oder von der Arbeitgeberin bereitgestellt werden. Werden eigene Geräte oder Software (Bring your own Device – BYOD) verwendet, so ist sicherzustellen, dass die dienstlichen und privaten Daten voneinander getrennt gehalten werden, Passwort gesichert sind und unterschiedliche Passwörter für den privaten und dienstlichen Gebrauch verwendet werden. Der Zugang zu personenbezogenen Daten sollte nur über eine gesicherte VPN (Virtual Private Network) Verbindung erfolgen und Ende-zu-Ende verschlüsselt werden. Bei der Rufumleitung vom dienstlichen auf das private Telefon sollte sichergestellt werden, dass Gesprächsteilnehmerinnen und Gesprächsteilnehmer außerhalb der Organisation nur die Büronummer sehen. Ein sehr guter VPN-Service für die Nutzung eines privaten oder geschäftlichen mobilen Endgeräts an öffentlichen Hotspots ist NordVPN* oder von GDATA*. Eine Übersicht über aktuelle getestete Virenschutzprogramme finden Sie hier. Wir empfehlend den Top getesteten Virenschutz von GDATA*.
Werden diese Vorgaben eingehalten, steht einer erfolgreichen Arbeit im Homeoffice nichts im Wege.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen*:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Diese Seite enthält mit * gekennzeichnete Affiliatelinks/Werbelinks als Unterstützung zur Finanzierung des Blogs.