Umzug ins Homeoffice – Wer das Homeoffice auch nach der Krise zukunftssicher aufstellen will, braucht tragfähige Regeln für den Datenschutz.
Der COVID-19 Ausbruch in Deutschland zwang viele Unternehmen dazu, auch die Verarbeitung personenbezogener Daten im Homeoffice zu ermöglichen. Wer dabei den Datenschutz nur rudimentär betrachten konnte, sollte jetzt prüfen, wie die rechtlichen Vorgaben nachträglich erfüllt werden können, um Mitarbeitern auch nach der Krise ein datenschutzkonformes Homeoffice zu ermöglichen.
Arbeitgeber bleibt auch im Homeoffice für die Datenverarbeitung verantwortlich
Verarbeiten Mitarbeiter eines Unternehmens personenbezogene Daten, ist der Arbeitgeber für die Verarbeitung dieser personenbezogenen Daten verantwortlich. Daran ändert sich nichts, wenn Mitarbeiter ihre Tätigkeit aus dem Homeoffice ausüben. Der Arbeitgeber muss also dafür sorgen, dass die Datenverarbeitung auch im Homeoffice gemäß den rechtlichen Vorgaben erfolgt.
Die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers besteht in der Regel auch bei sogenannten freien Mitarbeitern oder Leiharbeitnehmern.
Gesetzliche Anforderungen an die Sicherheit der Verarbeitung
Neben zahlreich anderen Pflichten, muss der Arbeitgeber als Verantwortlicher für die Sicherheit der Verarbeitung von personenbezogenen Daten sorgen. Hierzu sind durch den Arbeitgeber geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um ein Schutzniveau zu gewährleisten, das dem Risiko der Datenerarbeitung für die Rechte und Freiheiten der Betroffenen angemessen ist (Art. 32 Abs. 1 DSGVO). Die TOMs müssen die Vertraulichkeit (Schutz gegen unbefugten Zugriff), Verfügbarkeit (jederzeitige Abrufbarkeit der Daten) und Integrität (Schutz gegen Verfälschung) der Datenverarbeitung sicherstellen.
Wird die Datenverarbeitung aus den Räumlichkeiten des Unternehmens in das Homeoffice verlagert, können neue Risiken für die Vertraulichkeit der Daten entstehen. Personenbezogene Daten können z.B. durch Mitbewohner oder Familienangehörige eingesehen werden. Auch können Daten bei der Übertragung aus dem Heimnetzwerk des Mitarbeiters in das Firmennetzwerk durch Dritte „abgegriffen″ werden. Als Verantwortliche müssen Arbeitgeber die bestehenden Maßnahmen zur Sicherheit der Verarbeitung daher überdenken und ggf. anpassen, wenn die Datenverarbeitung in das Homeoffice der Mitarbeiter verlagert wird.
Der Arbeitgeber muss dafür sorgen, dass auch dort dem Verarbeitungsrisiko angemessene TOMs getroffen werden. Diese Anforderungen ergeben sich nicht erst seit dem COVID-19 Ausbruch in Deutschland. Für die Arbeit im Homeoffice empfiehlt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit im Faltblatt „Telearbeit und Mobiles Arbeiten″ (Stand Januar 2019), Seite 13 f. folgende Mindestmaßnahmen:
- Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN).
- Verschlüsselung der Daten (Ende-zu-Ende-Sicherheit) inkl. Ablageverschlüsselung auf dem mobilen Gerät.
- Sperrung von USB-Zugängen und anderen Anschlüssen.
- Keine Anbindung von Druckern.
- Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung.
- Regelmäßige Schulung / Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten
Diese Maßnahmen sind vorrangig auf einen Schutz der Daten vor unbefugtem Zugriff ausgerichtet. Daneben können – je nach der Verarbeitung – weitere Maßnahmen notwendig sein. So greifen vormals im Netzwerk des Unternehmens eingesetzte Datensicherungsmechanismen bei einer Datenverarbeitung im Homeoffice häufig nicht mehr ein und müssen durch geeignete Alternativen ersetzt werden. Wird eine Datenverarbeitung z.B. im Homeoffice auf das Notebook des Mitarbeiters verlagert, ist auch an ein geeignetes Datensicherungskonzept zu denken. Zudem sind Maßnahmen zu treffen, wie mit einem Datenschutzvorfall im Homeoffice des Mitarbeiters im Sinne der Art. 33, 34 DSGVO umzugehen ist.
Umsetzung von Maßnahmen der Verarbeitungssicherheit in Unternehmen
Um den Herausforderungen des Homeoffice für den Datenschutz gerecht zu werden, verfügen Unternehmen, die bereits vor dem COVID-19 Ausbruch Homeoffice ermöglicht haben, in der Regel über eine Homeoffice-Vereinbarung. Eine Homeoffice-Vereinbarung enthält für die Mitarbeiter bindende Vorgaben zum Schutz der personenbezogenen Daten in ihren eigenen Räumlichkeiten. Gleichzeitig erlauben solche Vereinbarungen dem Arbeitgeber im Einzelfall auch die Durchführung von Kontrollen im Homeoffice des Mitarbeiters.
Unternehmen, die das Thema Homeoffice auf rechtlicher Ebene bislang noch zögerlich angegangen sind, standen mit dem COVID-19 Ausbruch in Deutschland plötzlich vor der Herausforderung, ihre Arbeitsfähigkeit durch die Ermöglichung von Homeoffice-Tätigkeiten aufrecht zu erhalten und gleichzeitig alle rechtlichen Anforderungen zu beachten.
Keine rechtliche Ausnahme vom Datenschutz in Krisenlagen
Die Corona-Krise zwang viele Unternehmen, die Geschäftstätigkeit schlagartig und fast vollständig in das Homeoffice zu verlagern. Vor dem Hintergrund des exponentiellen COVID-19 Ausbruchs und den sich fast täglich ändernden behördlichen Maßnahmen zum Infektionsschutz waren Unternehmen gezwungen auch Kernprozesse des Unternehmens aus dem Homeoffice zu steuern. Die sich dabei stellenden datenschutzrechtlichen Herausforderungen standen am Ende einer langen Liste weiterer Punkte, die Geschäftsführer und Vorstände im Rahmen der Krisenlage abzuarbeiten hatten. Oftmals war es daher nur möglich, das absolute Mindestmaß an erforderlichen Datenschutzmaßnahmen umzusetzen.
Angemessene Schutzmaßnahmen im Homeoffice sicherstellen
Die DSGVO und das BDSG sehen zwar ausreichende Rechtsgrundlagen vor, die eine Verarbeitung personenbezogener Daten – gerade auch von Mitarbeitern – zum Zwecke des Infektionsschutzes erlauben können. Krisenzeiten befreien Unternehmen aber nicht generell von den Vorgaben des Datenschutzrechts. Insbesondere besteht weiterhin eine gesetzliche Pflicht, die Datenverarbeitung durch angemessene Schutzmaßnahmen zu sichern. Auch wenn die Einhaltung des Datenschutzes in einigen Unternehmen mitunter hinter dem Erhalt der Arbeitsfähigkeit zurückstehen musste, sollten Unternehmen beachten, dass es weder die DSGVO, noch das BDSG vorsehen, die Sicherheit der Verarbeitung im Falle „höherer Gewalt″ auch nur vorübergehend zu reduzieren.
Gleichzeitig muss jedoch klargestellt werden, dass die Vorgaben der DSGVO für technische und organisatorische Maßnahmen zum Datenschutz bereits im Ausgangspunkt nicht dazu vorgesehen sind, jegliche Risiken einer Datenverarbeitung auszuschließen. Stattdessen folgt die DSGVO einem risikobasierten Ansatz: So müssen die Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen im Einzelfall ermittelt und durch technische und organisatorische Maßnahmen auf ein für die Betroffenen hinnehmbares Risiko minimiert werden. Welche Maßnahmen erforderlich sind, um im Einzelfall ein noch angemessenes Datenschutzniveau zu erreichen, kann daher nicht absolut bestimmt werden.
Erste Veröffentlichungen einzelner Datenschutzbehörden deuten an, dass die Behörden mit Augenmaß vorgehen und in der Krise an betroffene Unternehmen keine unlösbaren Anforderungen stellen. So erkennt etwa Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, in der Pressemitteilung vom 24. März 2020 an:
„Für viele Mitarbeiterinnen und Mitarbeiter heißt es gerade: Ab sofort Homeoffice! Viele Unternehmen und Behörden kannten dies bisher gar nicht oder nur in Ausnahmefällen. Deswegen wird vielerorts gerade improvisiert, um den Betrieb am Laufen zu halten und dabei die Bedürfnisse aller Beschäftigten möglichst gut zu erfüllen.“
Als Hilfestellung hierfür weist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Informationsblatt „Plötzlich im Homeoffice: Und nun?″ (Stand: 24. März 2020) darauf hin, dass ein Arbeitsplatz „am besten″ in „einem eigenen Raum oder in einer eigenen Ecke″ einzurichten ist. Eine zwingende Einzelvorgabe ist dies jedoch nicht. Steht dem Mitarbeiter ein abgetrennter Platz nicht zur Verfügung, muss die Datensicherheit in anderer Weise – z.B. durch eine Displayschutzfolie – sichergestellt werden. Entscheidend ist letztlich, dass mittels sofort umsetzbarer Maßnahmen der Datenschutz in ähnlicher Weise gewährleistet wird wie im Büro.
Vertragliche Anforderungen fürs Homeoffice klären
Unternehmen, die als Auftragsverarbeiter personenbezogene Daten für Dritte verarbeiten, stehen oftmals noch vor weiteren Herausforderungen. So ist die Datenverarbeitung aus dem Homeoffice häufig bereits vertraglich verboten oder steht unter einem Zustimmungsvorbehalt des Verantwortlichen.
In der Corona-Krise musste die Arbeit aber gleichwohl oft von „heute auf morgen″ in das Homeoffice verlagert werden. Geschieht dies, ist der Auftragsverarbeiter vertragsbrüchig und kann sich u.a. gegenüber dem Verantwortlichen schadensersatzpflichtig machen. Auftragsverarbeiter sollten daher die vertraglichen Grundlagen prüfen – wurde dies in der Krise vernachlässigt, sollte dies nunmehr nachgeholt werden und der Dialog mit dem Vertragspartner gesucht werden.
Handlungsbedarf für ein künftig datenschutzkonformes Homeoffice
Ein erstes Lagebild nach dem COVID-19 Ausbruch in Deutschland zeigt bereits: Die Arbeit im Homeoffice hat sich in vielen Unternehmen eingespielt. Auch nach Aufhebung der strengen Infektionsschutzmaßnahmen ist es daher unwahrscheinlich, dass die Arbeit im Homeoffice wieder umgehend vollständig aufgehoben wird. Vielmehr ist damit zu rechnen, dass künftig viele Unternehmen die Vorteile – zumindest gelegentlicher – Arbeit von Mitarbeitern im Homeoffice nutzen werden.
Unternehmen sollten daher nicht zurückschauen, sondern den Blick nach vorn wenden. Übereilt oder noch gar nicht getroffene Datenschutzmaßnahmen für das Homeoffice sollten überprüft und auf Basis angemessener Planung langfristig implementiert werden. Hierfür eignet sich etwa eine Homeoffice-Vereinbarung, eine entsprechende Richtlinie oder eine Betriebsvereinbarung.
Gleichzeitig ist nämlich zu erwarten, dass auch die Datenschutzbehörden mit der Rückkehr zu einem normalen Arbeitsalltag vermehrt den Blick auf den Datenschutz im Homeoffice richten werden. So stellt etwa das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Informationsblatt „Plötzlich im Homeoffice: Und nun?″ eindeutig klar:
Sollte sich jedoch eine unvorbereitete Homeoffice-Situation über einen längeren Zeitraum hinziehen, ist es notwendig, dass dafür in Ihrem Unternehmen bzw. in Ihrer Behörde ein schriftliches Konzept erstellt wird. In diesem Konzept müssen insbesondere die technischen und organisatorischen Maßnahmen beschrieben werden, um Daten sicher und datenschutzgerecht im Homeoffice verarbeiten zu können.
Unternehmen, die den Datenschutz im Homeoffice bislang noch nicht im Detail betrachtet haben, sollten daher jetzt tätig werden. Nur so kann es gelingen, etwaige Datenschutzdefizite, die aufgrund der beschriebenen Herausforderungen entstanden sind, zu bereinigen und gestärkt aus der Krise hervorzugehen.
In unserer Blogserie zu „Coronavirus: Handlungsempfehlungen für Unternehmen″ zeigen wir anhand der aktuellen Situation unternehmensbezogene Stolpersteine auf, die in Krisenzeiten zu beachten sind. Bereits erschienen sind Beiträge zu Verhandlungen, Verjährungen und Verfristungen sowie Haftungsfragen bei Absagen von Messen- und Veranstaltungen, zum Datenschutz trotz Corona und zu Möglichkeiten von Aktiengesellschaften zur Cash-Ersparnis sowie Vermögensübertragungen zu steuergünstigen Konditionen. In weiteren Beiträgen gehen wir ein auf die Erstellung eines Notfallplans, auf Vertriebsverträge und Tips Lieferanten in Krisenzeiten und auf Auswirkungen auf Lebensmittel- und Hygieneverordnungen. Im Anschluss haben wir uns mit der streitigen (gerichtliche) Auseinandersetzung befasst, sind auf kartellrechtliche Auswirkungen sowie die Bedeutung für den Kapitalmarkt eingegangen. Näher befasst haben wir uns auch mit „infizierten″ Vertragsverhandlungen, den Änderungen in Mittel- und Osteuropa sowie mit klinischen Studien und dem neuen EU-Leitfaden für Sponsoren uns Prüfärzte. Weiter geht es mit Pflichten zur Abgabe der Steuererklärung und eventuell steuerstrafrechtlichen Haftungsrisiken, dem Moratorium für Zahlungsverpflichtungen von Verbrauchern und Kleinstunternehmern, Unterstützungsmaßnahmen für Start-ups, das Kurzarbeitergeld, sowie den Erleichterungen für Stiftungen und Vereine und GmbH-Gesellschafterbeschlüsse. Es folgten weitere Beiträge zu Kooperationen im Gesundheitswesen und zu Sachspenden an Krankenhäuser, zum Marktzugang für persönliche Schutzausrüstung und Medizinprodukte, zur Beschlagnahmemöglichkeit von Schutzausrüstung durch den Staat und zu Auswirkungen auf laufende IT-Projekte.
Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und zu den Auswirkungen für Ihr Unternehmen haben, sprechen Sie unser CMS Response Team jederzeit gerne an.