Betrieblicher Datenschutz 3: Datenschutz im Home-Office

29. August 2024

Das Abklingen der Covid-19-Pandemie bedeutete nicht für alle Arbeitnehmer eine Rückkehr in den Betrieb. Viele Unternehmen setzen weiterhin auf die Arbeit von zu Hause. Im Folgenden soll der Datenschutz im Home-Office beleuchtet werden. 

Allgemeine Anforderungen 

Für die Arbeit im Betrieb sowie für die Arbeit im Home-Office, finden die Regelungen der Datenschutz-Grundverordnung (DSGVO) Anwendung. Allerdings ergeben sich bei der Umsetzung der DSGVO im Home-Office aufgrund der individuellen Arbeitssituationen einige Besonderheiten. Grundsätzlich ist der Arbeitgeber auch im Home-Office Verantwortlicher im Sinne des Art. 4 Nr. 2 DSGVO 

Eine zentrale Aufgabe des Verantwortlichen bei der Home-Arbeit stellt die Sicherheit der Verarbeitung nach Art. 32 DSGVO dar. In der Regel fehlt dem Arbeitgeber die Möglichkeit die technischen und organisatorischen Sicherheitsmaßnahmen bei einem Mitarbeiter „vor Ort“ mitzugestalten. Demnach können innerbetriebliche Richtlinien und Vorgaben hilfreich sein. Beispielsweise empfiehlt die Stiftung Datenschutz, dass Regelungen zur Arbeit im Home-Office in einer Betriebsvereinbarung festgelegt werden.  

Bei der Entscheidung darüber, welche Maßnahmen den Mitarbeitern empfohlen werden sollen, sollten die einzelnen Verarbeitungstätigkeiten beachtet werden. Insbesondere kommt es auf die Risiken für die Rechte der betroffenen Personen an. Darüber hinaus ist ebenso der Kreis der betroffenen Personen zu beachten: Dabei kann es sich um die Mitarbeiter selbst sowie Kunden oder Lieferanten handeln.  

Bestimmte Maßnahmen 

Die Umsetzung des Datenschutzes im Home-Office betrifft grundsätzlich viele Fragestellungen. Im Anschluss soll näher auf den Umgang mit Geräten und den Zugang zu personenbezogenen Daten eingegangen werden.  

Grundsätzlich empfiehlt es sich, dass die Nutzung privater und geschäftlicher Geräte getrennt erfolgt. D. h. Mitarbeiter sollten geschäftliche Geräte nicht zu privaten Zwecken nutzen und private Geräte nicht zu geschäftlichen Zwecken. Zumindest sollte die Nutzbarkeit eingeschränkt sein. Nutzen Angestellte ihre privaten Geräte, sollte stets auf die Nutzung so genannter Container-Apps zurückgegriffen werden. Container-Apps sind Anwendungen, die in sogenannten Containern ausgeführt werden. Ein Container ist eine isolierte Umgebung, die alle notwendigen Komponenten wie Code, Laufzeitumgebung, Systembibliotheken und Abhängigkeiten einer Anwendung enthält. Dadurch wird sichergestellt, dass die Anwendung in verschiedenen Umgebungen konsistent und unabhängig von der zugrunde liegenden Infrastruktur läuft.

Im Falle geschäftlicher Geräte ist daran zu denken, dass Mitarbeiter Apps zum privaten Nutzen installieren. Dann könnte es dazu kommen, dass diese einen Zugriff auf personenbezogene Daten von Kunden erhalten. Des Weiteren könnten Mitarbeiter ihre eigenen personenbezogenen Daten auf dem Dienstgerät abspeichern. Beispielsweise wäre dies der Fall, wenn Mitarbeiter private E-Mails mit Dienstgeräten verschicken. Im Falle einer Rückgabe des Gerätes hätte der Arbeitgeber insoweit die Auswirkungen des Fernmeldegeheimnisses zu beachten.  

Hinsichtlich einzelner Verarbeitungstätigkeiten sollte geregelt sein, welcher Mitarbeiter diese vornimmt. Dementsprechend sollte festgelegt sein, wer Zugang zu Dokumenten und Daten hat. Im Home-Office kann es problematisch sein, dass aufgrund der Umgebung unbekannte Dritte unberechtigt Zugang zu personenbezogenen Daten erhalten. Beispielsweise empfiehlt die ehemalige Landesbeauftragte für den Datenschutz Niedersachsen, Dokumente auf dem Laptop und Telefongespräche zu schützen. Dazu zähle es, den Arbeitsplatz nicht bei einem geöffneten Dokument, dass eingesehen werden könne, zu verlassen. Ebenso seien vertrauliche Gespräche so zu führen, dass Dritte sie nicht mithören können. Hinsichtlich des Internetzugangs empfahl sie u.a. die Verwendung eines Virtual Private Networks (VPN). Außerdem sei nach dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz an die Verwendung eines PIN und ggf. der Zwei-Faktor-Authentifizierung bei Dienstgeräten zu denken.  

Fazit 

Im Home-Office verändern sich die Anforderungen, die die DSGVO stellt, grundsätzlich nicht. Lediglich ihre Umsetzung kann im Vergleich zur Büroarbeit schwieriger sein.  

Ausblick auf die Reihe

Im kommenden Teil werden wir uns mit der Nutzung von Whatsapp im geschäftlichen Kontext beschäftigen. Teil 1 behandelte den Umgang mit Bewerberdaten. Teil 2 erörterte die datenschutzkonforme Arbeitszeiterfassung.

Die Einhaltung von Datenschutzvorgaben stellt Unternehmen regelmäßig vor große Herausforderungen. Wir helfen Ihnen als externer Datenschutzbeauftragter – Fordern Sie noch heute Ihr Angebot bei uns an.