Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk

Das Homeoffice datenschutzkonform ausgestalten

Aufgrund der Coronapandemie haben viele Unternehmen die Tätigkeit ihrer Mitarbeiter kurzfristig in das Homeoffice verlegt. Zahlreiche im Unternehmen spätestens seit dem Geltungsbeginn der DSGVO in 2018 fein austarierten Abläufe sind damit durcheinander geraten. Die Datenschutz-Aufsichtsbehörden hatten zu Beginn der Pandemie noch angedeutet, nachsichtig zu sein. Diese anfängliche Nachsicht dürfte jedoch nun enden, nachdem ausreichend Zeit bestand, die notwendigen datenschutzrechtlichen Ausgestaltungen vorzunehmen. Was ist datenschutzrechtlich also zu tun?

Position der Datenschutz-Aufsichtsbehörden

Noch in 2019, kurz vor dem Beginn der Coronakrise, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ( BfDI ) seinen Standpunkt und Empfehlungen zum „Telearbeit und Mobiles Arbeiten“ vorgestellt.  Danach ist beim Homeoffice z. B. auf die folgenden Punkte zu achten :

  • „Eine private Nutzung der vom Arbeitgeber zur Verfügung gestellten IT-Ausstattung ist nicht zulässig.“
  • „Private Hard- und Software dürfen für Telearbeit und das Mobile Arbeiten nicht eingesetzt werden.“
  • „Verantwortlichkeiten im Umgang mit personenbezogenen Daten sind umfassend vertraglich festzulegen.“
  • „Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung).“
  • „Keine Anbindung von Druckern.“
  • „Regelmäßige Schulung / Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten.“
  • „Die Datenschutzgrundsätze für Telearbeit und Mobiles Arbeiten sind in einer Betriebs-/Dienstvereinbarung festzuschreiben.“

Nach Beginn der Coronapandemie konnte den Positionierungen verschiedener Datenschutz-Aufsichtsbehörden entnommen werden, dass die Anforderungen beim raschen Wechsel zunächst nicht zu hoch angesetzt werden. Zum Teil waren solche Positionierungen jedoch auch klar  befristet, z. B. bis April 2020 . Nachdem nun einige Zeit verstrichen ist und Gelegenheit bestand, die notwendigen Anpassungen vorzunehmen, liegt es nahe, dass auch die Datenschutz-Aufsichtsbehörden wieder zu ihren ursprünglichen, strengen Vorgaben zurückkehren.

Unabhängig von dem Vorgehen der Datenschutz-Aufsichtsbehörden bestehen jedoch auch vertragliche Verpflichtungen, gegen die verstoßen werden kann, wie im folgenden Abschnitt dargestellt.

Auftragsverarbeitungen

Wie bereits in dem Beitrag zum Thema Homeoffice und Auftragsverarbeitungen dargestellt, wird es bei bestehenden Auftragsverarbeitungen vertraglicher Anpassungen bedürfen, dies insbesondere dann, wenn man auf Auftragnehmerseite der Auftragsverarbeitung steht. Dies deshalb, weil in der Auftragsverarbeitung üblicherweise die technischen und organisatorischen Maßnahmen geregelt sind, wie sie im Betrieb bestehen, nicht jedoch, wie sie im Homeoffice bestehen. Oftmals finden sich z. B. Regelungen zu Brandmeldeanlagen, mehrfachen Schließsystemen, Backupsystemen und ggf. einem Wachschutz. Auf der Grundlage des so beschriebenen Schutzniveaus hat der Auftraggeber sodann den Auftrag erteilt und der Auftragnehmer hat sich verpflichtet, diesen Schutzstandard im Wesentlichen einzuhalten.  Im Homeoffice wird der Schutzstandard in dieser Form jedoch nicht bestehen.

Zwar sehen einige Auftragsverarbeitungsverarbeitungen (AVV) Klauseln zu einem Homeoffice vor. Diese sind jedoch üblicherweise sehr pauschal und hinsichtlich der Wirksamkeit daher fraglich. Zudem wird bei vielen  Homeoffice-Klauseln  von der Situation ausgegangen, dass lediglich vereinzelt eine Tätigkeit per Fernwartung o. ä. erfolgt. Nicht umfasst ist jedoch in aller Regel eine umfassende Verlagerung der Tätigkeit auf das Homeoffice. Fehlt es an einer Homeoffice-Klausel wird eine umfassende Tätigkeit als Auftragsnehmer einer Auftragsverarbeitung vom Homeoffice aus unzulässig sein. Wurden die von den Datenschutzbehörden zum Teil vorgeschlagenen Klauseln verwendet, bedarf eine Verlagerung ins Homeoffice zudem einer vorherigen ausdrücklichen Zustimmung des Auftraggebers unter Regelung spezieller technischer und organisatorischer Maßnahmen.

Videokonferenzsysteme und sonstige neue Techniken

Genaue Vorgaben zu technischen und organisatorischen Maßnahmen sind in der DSGVO selbst nur sehr pauschal, insbesondere in Art. 32 DSGVO, geregelt. Letztlich ist vor allem der  Stand der Technik  einzuhalten. Diesen zu bestimmen ist jedoch zum einen sehr schwer, weil es in der Regel eine Vielzahl an gesonderten, technischen Empfehlungen und Dokumenten zu beachten gilt, z. B. das IT-Grundschutz-Kompendium des BSI. Zum anderen besteht das praktische Problem, dass eine technische Ausgestaltung oftmals nur begrenzt möglich ist: Wenn eine externe Videokonferenzlösung verwendet werden soll, hat man z. B. nur begrenzten Einfluss darauf, wie mit den Daten tatsächlich umgegangen wird. Sogar die genaue Ermittlung, wie solche Systeme technisch ausgestaltet sind, um diese zu bewerten, bereitet erhebliche Schwierigkeiten.

Selbst wenn eine Lösung gefunden und ordnungsgemäß ausgestaltet wurde, muss regelmäßig überprüft werden, ob Anpassungen erforderlich sind. Wird beispielsweise die Videokonferenz-Lösung eines Anbieters mit Sitz in den USA gewählt, wird es maßgeblich (neben der Möglichkeit der Nutzung von Standardvertragsklauseln, die von der EU-Kommission freigegeben wurden) darauf ankommen, dass das Unternehmen unter dem EU-US-Privacy-Shield zertifiziert ist, und zwar auch mit der Sonderzertifizierung für HR-Daten. Dies muss vor der Nutzung sichergestellt sein. Der  EuGH wird jedoch voraussichtlich im Sommer 2020 über die Zulässigkeit des EU-US-Privacy-Shields entscheiden . Da der EuGH das ähnliche Vorgängersystem „Safe-Harbor“ bereits als unzulässig eingestuft hat, besteht die nicht unbegründete Befürchtung, dass auch das EU-US-Privacy-Shield in absehbarer Zeit als unwirksam eingeordnet werden kann. Wegen dieser Befürchtung prüfe die EU-Kommission bereits Alternativen zum EU-US-Privacy-Shield, wie aus einer Antwort der EU-Kommission auf eine Anfrage hervorgeht.

Unabhängig davon, wie das Urteil ausfällt, bleibt damit die Erkenntnis, dass auch bereits eingeführte Systeme stets auf eine weiterhin bestehende Rechtmäßigkeit hin überprüft werden müssen.

Haftung des Arbeitgebers und Kontrollen des Arbeitgebers in der Wohnung des Arbeitnehmers

Sind Arbeitnehmer im Homeoffice tätig, verbleibt die Haftung beim Arbeitgeber. Angesichts des erheblichen Bußgeldrahmens der DSGVO ist es daher im besonderen Interesse eines Unternehmens, auf die ordnungsgemäße Ausgestaltung zu achten. Aufgrund des Haftungsprivilegs von Arbeitnehmern, wonach diese grundsätzlich nur bei grober Fahrlässigkeit oder Vorsatz in eine anteilige oder volle Haftung geraten können, sind Unternehmen daher gut beraten, den  Arbeitnehmern und sonstigen Mitarbeitern klare Vorgaben zu machen , z. B. durch eindeutige QM-Anweisungen speziell für das Homeoffice. Dabei sollte geprüft werden, ob es tatsächlich sinnvoll ist, eine Sonder-QM-Anweisung für das Homeoffice vorzusehen oder vielmehr die bestehenden QM-Anweisungen durchzugehen und jeweils Abschnitte mit Sonderregelungen für das Homeoffice zu ergänzen.

Der  Arbeitgeber wird zudem Kontrollen  durchzuführen haben. Dies muss nicht stets bedeuten, dass Vor-Ort-Kontrollen zu erfolgen haben, insbesondere nicht während der Kontaktbeschränkungen aufgrund der Coronapandemie. Jedoch sollte ein abgestuftes System festgelegt werden, das z. B. aus regelmäßigen Schulungen, Gesprächen mit einzelnen Mitarbeitern, stichprobenhaften Kontrollen sowie intensivierten Kontrollen bei Verdachtsfällen besteht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat z. B. noch in 2019 gefordert, dass ein Arbeitgeber  Zugang zur Wohnung eines Arbeitnehmers  haben muss, um Kontrollen durchzuführen. In welchem Umfang solche Kontrollen des Arbeitgebers in der Privatwohnung des Arbeitnehmers rechtlich möglich sind, wenn der Arbeitnehmer dies verweigert sowie welche Konsequenzen dies für die Homeoffice-Tätigkeit des Arbeitnehmers bedeutet, ist gesondert zu bewerten. Jedenfalls empfiehlt sich eine möglichst frühzeitige, arbeitsrechtliche Regelung hierzu, möglicherweise auch als Standardregelung für zukünftige Arbeitsverhältnisse.

Kontrollen in der Wohnung des Mitarbeiters  können jedoch nicht nur durch den Arbeitgeber vorzusehen sein, sondern auch durch die Datenschutz-Aufsichtsbehörden selbst.

Weiter ist insbesondere zu beachten, dass auch  Vor-Ort-Kontrollen in der Wohnung eines Mitarbeiters durch Auftraggeber einer Auftragsverarbeitung  erfolgen können. Denn in den Auftragsverarbeitungsvereinbarungen (AVV) wurde vereinbart, dass dieser regelmäßige Kontrollen durchzuführen hat, auch wenn dies nicht stets Vor-Ort-Kontrollen bedeutet. Auch deshalb kommt es maßgeblich auf die „Homeoffice-Klausel“ in den Auftragsverarbeitungsvereinbarungen (AVV) an (siehe hierzu bereits oben).

Informationspflichten und neue Technik-Tools

Ein großer Bestandteil der DSGVO ist die Verpflichtung zur Information der Betroffenen. Nach Artt. 13, 14 DSGVO sind Betroffene vor der Datenverarbeitung bestimmte Informationen zu erteilen. Neben „einfachen“ Informationen wie dem Namen des Verantwortlichen und den Kontaktdaten eines etwaigen Datenschutzbeauftragten sind auch speziellere Informationen zu erteilen, wie z. B. die Rechtsgrundlage für die Verarbeitungen und die Speicherdauer. Weiter ist jedoch auch mitzuteilen,  an welche Dritten Daten  übermittelt werden, und ob  Datenübermittlungen in das Ausland  außerhalb der EU / des EWR erfolgen. Dies umfasst auch Auftragsverarbeiter.

Beispiel:

Wenn die Videokonferenz-Lösung eines US-Anbieters eingesetzt wird, darf diese nur dann verwendet werden, wenn die Betroffenen zuvor darüber informiert wurden, dass die Daten über diesen Videokonferenz-Anbieter verarbeitet werden, dass der Videokonferenz-Anbieter in einem Drittland sitzt (oder konkreter: die Daten in einem Drittland verarbeitet werden), und dass trotz dieses Drittlandbezugs ein angemessenes Datenschutzniveau gewahrt ist. Dies klingt zunächst sehr aufwändig. Eine solche Beschreibung kann jedoch in aller Regel rasch gefunden werden, wenn die tatsächlichen Rahmenbedingungen erfüllt sind (z. B. eine ordnungsgemäße Zertifizierung nach dem EU-US-Privacy-Shield). Wichtiger ist jedoch, dass im Unternehmen die Informationen auch rechtzeitig erteilt werden. Hierbei ist zu beachten, dass der Betroffene zu informieren ist. Erfolgt z. B. eine Videokonferenz zwischen zwei Mitarbeitern im Unternehmen über einen Einzelunternehmer-Kunden, ist dieser Kunde zu informieren, da dessen personenbezogene Daten betroffen sind. Im Mindestmaß wird daher eine  „Datenschutzinformation“ zu den üblichen Kundenverträgen, die ohnehin bereits als Anlage  vorhanden sein sollte, zu ergänzen sein.

Anforderungen an den Offline-Bereich

Datenschutzrechtliche Anforderungen ergeben sich auch für den „Offline-Bereich“, also im Homeoffice befindliche, papierne Unterlagen, Aktenordner sowie der allgemeine Schutz vor unbefugtem Zutritt und Zugang. Damit ist auch sicher zu stellen, dass Familienmitglieder keine Einsicht nehmen. Die genauen Maßnahmen zur Ausgestaltungen hängen davon ab, welche Unterlagen üblicherweise bei Mitarbeitern vorhanden sind und wie „sensibel“ die in diesen enthaltenen Daten sind. So sind z. B. andere Schutzmaßnahmen zu ergreifen, wenn Gesundheitsdaten oder die Religionszugehörigkeit betroffen sind. Dabei ist zu beachten, dass solche sensiblen Daten rasch vorliegen können. Eine Verarbeitung der Religionszugehörigkeit erfolgt z. B. regelmäßig in der Lohnbuchhaltung hinsichtlich der Kirchensteuer.

Alle Fachbeiträge zeigen