Sowohl in der Wirtschaft als auch in der öffentlichen Verwaltung werden Telearbeit und mobiles Arbeiten genutzt. Beschäftigte können – je nach Angebot und Vereinbarung – Anteile ihrer Arbeitsleistung ortsunabhängig erbringen. Datenschutzrechtliche Vorschriften stehen der Einrichtung von Telearbeitsplätzen oder dem mobilen Arbeiten grundsätzlich nicht entgegen.
Der Arbeitgeber oder Dienstherr ist Verantwortlicher im Sinne von Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (DSGVO). Das heißt, er ist dafür verantwortlich, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden (insbesondere Art. 5 Abs. 1 DSGVO). Hierzu besteht eine Rechenschaftspflicht.
Gefahren und Risiken
Verantwortliche und Auftragsverarbeiter müssen beachten, dass die genannten Angebote besondere Gefahren und Risiken bergen. Häufig sind mobile Endgeräte nicht hinreichend abgesichert, werden mit veralteten Systemen betrieben oder mit inaktuellen Sicherheitsupdates. Sie stellen ein Einfallstor für den Zugriff unbefugter Personen auf sensible Daten wie Zugangs- und Zugriffsberechtigungen dar. Auch weitere technische Schwachstellen, wie zum Beispiel die Nutzung von offenen WLAN-Verbindungen, müssen vermieden werden.
Verantwortliche müssen sich – ausgerichtet am Schutzbedarf der auf mobilen Arbeitsplätzen verarbeiteten Daten – mit diesen Gefahren und Risiken auseinandersetzen (siehe hierzu insbesondere Art. 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO). Bei voraussichtlich hohen Risiken muss eine Datenschutz-Folgenabschätzung erstellt werden (Art. 35 Abs. 1 DSGVO). Je nach Ausgestaltung des konkreten Arbeitsplatzes müssen geeignete technische und organisatorische Sicherungsmaßnahmen ergriffen werden, um ein angemessenes Schutzniveau zu erreichen. Zum Nachweis stehen sowohl der Verantwortliche als auch der Auftragsverarbeiter in der Pflicht, diese Maßnahmen in regelmäßig zu evaluierenden Sicherheitskonzepten zu dokumentieren (Art. 32 Abs Satz 1 lit. d und Art. 5 Abs. 2 DSGVO).
Kontrollen zu Hause erlaubt?
Es gab Anfragen, ob der Verantwortliche, der Auftragsverarbeiter, deren Datenschutzbeauftragte (DSB) oder die Datenschutzaufsichtsbehörde im Rahmen der ihnen obliegenden Kontrollaufgaben private Wohnungen von Telearbeitenden betreten dürfen („Betretungsrecht“).
Artikel 13 des Grundgesetzes (GG) garantiert die Unverletzlichkeit der Wohnung. Die Grundrechte sind als objektive Wertordnung sowohl vom Verantwortlichen und dem Auftragsverarbeiter als auch vom DSB und der Aufsichtsbehörde zu beachten, so dass Artikel 13 GG Beschäftigten jedenfalls mittelbar Schutz gewährt. Es besteht damit ein Spannungsverhältnis, wenn gleichzeitig Kontrollaufgaben wahrgenommen werden sollen.
Der Verantwortliche hat nicht nur das Recht, sondern auch die Pflicht, vor und nach der Genehmigung von Telearbeit routinemäßig und in regelmäßigen Abständen zu kontrollieren, ob die Beschäftigten die datenschutzrechtlichen Vorgaben einhalten. Dies gilt vor allem, wenn bei Telearbeit besonders schutzwürdige personenbezogene Daten verarbeitet werden. In diesem Zusammenhang muss der Verantwortliche bei Telearbeitsplätzen Zugang zur Wohnung des Beschäftigten haben.
Aufgrund der Bedeutung des Artikels 13 GG kann in der Vereinbarung von Telearbeit aber nicht eine stillschweigende Zustimmung zum Betreten der Wohnung angenommen werden. Das notwendige Zutrittsrecht des Arbeitgebers oder beauftragter Personen muss daher vertraglich mit dem Beschäftigten vereinbart werden. Davon muss auch das Einverständnis der mit dem Beschäftigten in häuslicher Gemeinschaft zusammenlebenden Personen umfasst sein. Der DSB ist aufgrund der Regelung in Art. 38 Abs. 2 DSGVO in das vertraglich ausgestaltete Zutrittsrecht einzubeziehen.
Befugnisse der Aufsichtsbehörde
Die Datenschutzaufsichtsbehörden verfügen nach Art. 58 Abs. 1 der DSGVO über umfangreiche Untersuchungsbefugnisse. Hierzu zählt auch das Recht zum Zugang zum Grundstück und zu den Geschäfts- oder Diensträumen des Verantwortlichen und des Auftragsverarbeiters. Bezogen auf den Wortlaut ist der Zugang auf Grundstücke und Geschäfts- oder Diensträume beschränkt. Die Privaträume der Beschäftigten sind hiervon ausgenommen.
Bei der Ausübung der Kontroll-Befugnisse muss die Aufsichtsbehörde den Grundsatz der Verhältnismäßigkeit beachten, sofern mit der Ausübung dieser Befugnisse Eingriffe in die Grundrechte der Betroffenen verbunden sind. Nach Erwägungsgrund 129 sollte jede Maßnahme zur Einhaltung der DSGVO geeignet, erforderlich und verhältnismäßig sein, wobei unter anderem die Umstände des Einzelfalls zu berücksichtigen sind.
Sofern es sich um „Dienst-/Geschäftsräume“ im Rahmen der Telearbeit in Privatwohnungen der Beschäftigten handelt, muss der Verantwortliche dafür Sorge tragen, dass die Aufsichtsbehörde Zugang erhält. Sofern der Aufsichtsbehörde der Zugang durch die Beschäftigten verwehrt wird, muss der Verantwortliche auf andere angemessene Weise seiner Rechenschaftspflicht nachkommen. Gleiches gilt für den Verantwortlichen im Fall der Auftragsdatenverarbeitung.
Der Verantwortliche ist zum Nachweis verpflichtet, dass er die Grundsätze für die Verarbeitung personenbezogener Daten einhält. Sollte er seiner Rechenschaftspflicht wegen der Zutrittsverweigerung seiner Beschäftigten nicht nachkommen können, muss er den datenschutzrechtlichen Verstoß verantworten.
Es wird daher empfohlen, die Gewährung von Telearbeit stets von der Einwilligung der Beschäftigten zum „Betretungsrecht“ abhängig zu machen. In einen Auftragsverarbeitungsvertrag wäre eine entsprechende vertragliche Verpflichtung des Auftragsverarbeiters im Sinne des Art. 28 Abs. 1 DSGVO aufzunehmen.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks