Datenschutz im Home-Office

Datenschutz im Home-Office

Nicht erst seit der Corona-Pandemie, aber besonders in den letzten Monaten, hat sich das Home-Office in vielen Branchen etabliert. Mehrere Monate galt die die „Home-Office-Pflicht“ und viele Millionen Arbeitnehmer arbeiteten von Zuhause aus. Doch wie sieht das mobile Arbeiten eigentlich aus Sicht des Datenschutzes aus? Dieser Artikel – Teil 2 unserer Blog-Reihe zum Home-Office – fasst für Sie die wichtigsten Themen zum Thema „Datenschutz im Home-Office“ zusammen.

Hier schreibt: Steffen Hahn, Fachanwalt für Arbeitsrecht aus Viersen.

In Teil 1 der Blog-Reihe zum Homeoffice („Gibt es ein Recht auf Home-Office“) konnten Sie schon lesen, dass 56% der Jobs in Deutschland zumindest teilweise im Home-Office ausgeführt werden können. Auch nach dem Wegfall der Home-Office-Pflicht im Zuge der Corona-Pandemie (§ 28b Absatz 4 IfSG) werden sehr wahrscheinlich einige Arbeitnehmer weiterhin im Home-Office tätig sein.

Um das Infektionsgeschehen einzudämmen, wurden 2020 viele Arbeitsplätze in kurzer Zeit ins Home-Office verlagert. Im Fokus lag deshalb vor allem die kurzfristige Anschaffung bzw. der Aufbau von Infrastruktur, wie z. B. Hard- und Software sowie Netzwerklösungen.

Doch neben diesen essenziellen Dingen, die das Home-Office erst erstmöglichen, gilt es auch die rechtliche Seite zu berücksichtigen. Hier ist vor allem der Datenschutz wichtig, denn aus datenschutzrechtlicher Sicht gilt es für das rechtssichere Arbeiten im Home-Office einiges zu beachten.

Wie ist das Home-Office definiert?

Das Home-Office ist Teil des „mobilen Arbeitens“, welches sich dadurch auszeichnet, dass der Arbeitnehmer die Arbeit von einem Ort außerhalb der eigentlichen Betriebsstätte erbringt. Der mobile Arbeitsort kann entweder frei vom Arbeitnehmer gewählt werden, z. B. einem Café (aufgrund von öffentlichem WLAN und der Möglichkeit, dass fremde Personen auf den Laptop schauen können, nicht zu empfehlen), oder es wird ein fester Ort, zum Beispiel das Büro im Haus bzw. der Wohnung des Arbeitnehmers, vereinbart.

„Homeoffice, auch Telearbeit genannt, ist eine flexible Arbeitsform, bei der die Beschäftigten ihre Arbeit vollumfänglich oder teilweise aus dem privaten Umfeld heraus ausführen.“
(Definition von Haufe)

oder auch

„[mit Kommunikationstechnik ausgestatteter] Arbeitsplatz im privaten Wohnraum“
(Definition des Dudens)

Wir beschäftigen uns in diesem Artikel mit dem Arbeiten in der privaten Wohnung des Arbeitnehmers. Die Arbeit findet also vor allem mit IT-Kommunikationstechnik statt.

Sobald personenbezogene Daten im Home-Office verarbeitet werden, gelten Vorschriften aus Sicht des Datenschutzes, vor allem der DSGVO.

Hierauf schauen wir im weiteren Verlauf des Artikels genauer.

Was sagt die DSGVO (Datenschutz-Grundverordnung)?

Sobald personenbezogene Daten verarbeitet und in einem Dateisystem gespeichert werden, gilt unter anderem die Datenschutz-Grundverordnung, kurz DSGVO.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z. B. Name, Wohnort, Steuernummer oder Religionszugehörigkeit. Mit dem Begriff „Verarbeitung“ sind zum Beispiel das Erheben, Speichern, Ändern, Übermitteln, Verknüpfen und auch Löschen gemeint. Sobald Sie als Unternehmen (oder auch als Verein) also personenbezogene Daten verarbeiten, gilt die DSGVO. Die gesamten und allgemeinen Vorschriften der DSGVO können wir an dieser Stelle nicht ausreichend betrachten, da diese sehr umfangreich sind. Deshalb schauen wir hier auf die Regelungen, die sich auf das Arbeiten im Home-Office beziehen. Denn auch im Home-Office müssen die Regelungen der DSGVO eingehalten werden.

Der Arbeitgeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und hat Vorkehrungen zu treffen, dass alle personenbezogenen Daten rechtmäßig verarbeitet werden – auch vom Arbeitnehmer, egal an welchem Arbeitsplatz. Der Arbeitgeber ist also für die Datenverarbeitung verantwortlich und haftet unter Umständen auch für Verstöße des Arbeitnehmers.

Das Problem am Home-Office-Konstrukt: Im Unternehmen bzw. im Betriebsgebäude hat der Arbeitgeber die Kontrolle über die Daten und über die IT-Infrastruktur. Im Home-Office hat er jedoch in der Regel keine direkte Kontroll- und Zugriffsmöglichkeit über die Daten und über das IT-Sicherheitsniveau. Eine Einzelkontrolle ist nahezu unmöglich, sodass allgemein geltende Regelungen getroffen werden müssen. Diese betreffen in unseren digitalen Zeiten vor allem die IT-Sicherheit.

In Art. 32 DSGVO werden die klassischen Schutzziele der IT-Sicherheit als zentrale Elemente der sicheren Datenverarbeitung genannt: Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme und IT-Dienste, die in Zusammenhang mit der Datenverarbeitung stehen sowie Belastbarkeit der Systeme:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

(Art. 32 DSGVO)

Jede Verarbeitung von personenbezogenen Daten ist nach Art. 30 DSGVO in ein Verzeichnis der Verarbeitungstätigkeiteneinzutragen. Werden Verarbeitungstätigkeiten in das Home-Office verlagert, so ist dies auch in dem Verarbeitungsverzeichnis festzuhalten. Der Datenschutzbeauftragte sollte bei den Themen Home-Office und Datenverarbeitung mit einbezogen werden (Art. 38 DSGVO).

Gibt es allgemein gültige Vorgaben für den Datenschutz im Home-Office?

Nein, allgemeingültige Vorgaben gibt es nicht. Die jeweils gültigen Regelungen werden stark von der Art der Daten bedingt, die von dem Arbeitnehmer im Home-Office verarbeitet werden.

Verarbeitet er nur anonymisierte Daten? Hat er Zugriff auf personenbezogene Daten (zum Beispiel Namen, Adressdaten, Bestellhistorien)? Werden eventuell sogar personenbezogene Daten nach Art. 9 Abs. 1 DSGVO oder Sozialdaten nach § 67 Abs. 1 SGB X bearbeitet? Das sind Daten, aus denen unter anderem politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen – aber auch Gesundheitsdaten. Werden letzte Daten verarbeitet, so gelten wesentlich strengere Vorschriften als bei der Verarbeitung von reinen Rechnungsdaten.

Eng verbunden mit der Art der personenbezogenen Daten steht auch die Frage, welche Risiken sich durch die Verarbeitung für die Rechte und Freiheiten der jeweiligen Personen ergeben. Da die Konstellation der Datenverarbeitung, des Unternehmens und des Home-Office jeweils sehr individuell ist, muss auch eine individuelle Abschätzung dazu erfolgen. Das Ziel des Datenschutzes ist es, die Sicherheit der personenbezogenen Daten zu gewährleisten. Hierfür sollten technische und organisatorische Maßnahmen festgelegt werden, die das Ziel haben, die Daten sicher zu verarbeiten.

IT-Sicherheit im Home-Office
Die IT-Sicherheit im Home-Office ist essenziell

Technische und organisatorische Maßnahmen (TOMs) im Home-Office

Die „technischen und organisatorischen Maßnahmen“ (TOMs) sind ein essenzieller Teil der IT-Sicherheit aus Sicht der DSGVO. Diese sollten nicht nur im Betriebsgebäude gelten, sondern auch das Arbeiten im Home-Office berücksichtigen. Mit den TOMs soll die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit (siehe oben) der verarbeiteten personenbezogenen Daten sichergestellt werden.

Aus Art. 24 DSGVO lässt sich unter anderem ableiten, dass der Verantwortliche die umgesetzten TOMs auch überprüfen und ggf. aktualisieren muss. Deshalb ist es ratsam, dass zwischen Arbeitgeber und Arbeitnehmer eine Vereinbarung getroffen wird, die regelt, dass der Arbeitgeber (nach Absprache) Zugang zur Wohnung des Arbeitnehmers hat. Hierbei muss auch das Einverständnis der in häuslicher Gemeinschaft lebenden Personen geregelt werden.

Doch welche Risiken gibt es, vor denen die TOMs schützen sollen? Nachfolgend dazu ein paar Beispiele:

  • Unbefugtes Eindringen in IT-Systeme, sodass die Eindringlinge:
    • Zugriff auf Informationen und Daten erhalten
    • Software- oder Hardware beschädigen könnten
    • Daten manipulieren oder löschen können
  • Ausfall von Hardware oder Software-Systemen
  • Fehlerhaftes Löschen von Geräten oder Datenträgern, sodass noch Restdaten auf den Geräten vorhanden sind
  • Verlust von (wichtigen) Daten
  • Unbefugter Zugriff auf Personaldaten oder Kundendaten
  • Unbefugter Zugriff auf interne Daten, z. B. Kalkulationen, technische Zeichnungen, …

Die TOMs sollten unter Berücksichtigung des Schutzbedarfs der Daten, des Stands der Technik und der Implementierungskosten definiert und umgesetzt werden – hierfür gibt es also keine allgemeingültigen Vorschriften, sondern diese sind individuell und nach Bedarf zu definieren.

Es ist ratsam, Arbeitnehmer auf die Beachtung des Datenschutzes und der damit verbundenen Regeln und Maßnahmen im Home-Office hinzuweisen, zum Beispiel durch eine Schulung oder durch eine schriftliche Dokumentation. Ebenfalls sollte ein Ansprechpartner für Fragen zum Datenschutz benannt werden, damit die Arbeitnehmer wissen, an wen sie sich bei Fragen wenden können. Der Ansprechpartner ist auch bei ggf. aufkommenden Sicherheitsvorfällen fristgerecht zu kontaktieren.

An dieser Stelle möchten wir Ihnen ein paar Beispiele für TOMs nennen, die sich auch auf Home-Office-Arbeitsplätze beziehen:

Zugangskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungssysteme ist zu verhindern. Hierfür können zum Beispiel diese Maßnahmen festgelegt werden:

  • Ein abschließbarer Arbeitsraum ist im Home-Office immer vorzuziehen
  • Authentifikation mit Benutzername und Passwort für das Anmelden an allen Rechnern inkl. Bildschirmsperre nach einer festgelegten Zeitspanne von Inaktivität
  • Bildschirme müssen so positioniert sein, dass eine direkte Einsichtnahme durch Personen, die den Raum betreten, nicht möglich ist
  • Verwendung von Anti-Viren-Software
  • Verschlüsselung von Datenträgern (Server, Rechner und externe Festplatten) per FileVault
  • Einsatz von Firewalls: geschlossene Firewall gegenüber unangeforderten Daten aus dem Internet. Alle mit dem Router verbundenen Computer, Smartphones und anderen Geräte werden vor Angriffen aus dem Internet geschützt.
  • Einsatz von VPN-Technologie (Virtual Private Network) zwischen Home-Office-Arbeitsplätzen und der Betriebsstätte
  • Passwortschutz und / oder Fingerabdrucksperre auf Smartphones
  • Mindestanforderungen für Passwörter (z. B. mindestens 10 Zeichen, mindestens ein Sonderzeichen, Verwendung von Namen und Geburtsdaten ist untersagt, für jeden Login und jeden User ist ein neues Passwort zu generieren, …)
  • Das WLAN-Netz muss durch ein den Mindestanforderungen entsprechendes Passwort gesichert werden
Arbeitsgeräte und Datenträger verschlüsseln und absichern
Arbeitsgeräte und Datenträger: unbedingt verschlüsseln und absichern

Zutrittskontrolle

Ein unbefugter räumlicher Zutritt ist zu verhindern. Das ist in einem Betriebsgebäude z. B. durch einen Pförtner, durch Schlüsselkarten, abschließbare Aktenschränke etc. umzusetzen. In einem Home-Office ohne einzelnes, abschließbares Büro ist dies jedoch nahezu nicht realisierbar. Bei sensiblen Personendaten, die nicht nur digital verarbeitet werden, könnte zum Beispiel ein abschließbarer Schrank vom Arbeitgeber gestellt werden.

Zugriffskontrolle

Diese Maßnahmen sollen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Art. 32 Abs. 4 DSGVO fordert, dass die eigenen internen Abläufe im Betrieb so organisiert sein müssen, dass es auch intern nicht zu Sicherheitsverletzungen kommt. Ein Produktionsmitarbeiter benötigt z. B. keinen Zugriff auf Personaldaten. Das gilt auch für den Datenschutz im Home-Office.

In einem Home-Office können dies zum Beispiel sein:

  • Es besteht ein Berechtigungsmanagement, sodass jeder Mitarbeiter nur Zugriff auf die Datenkategorien hat, die er für seine Aufgaben benötigt
  • Der zur Verfügung gestellte Rechner (z. B. Laptop) darf nur von dem Arbeitnehmer und von autorisierten Personen (z. B. der IT-Abteilung) genutzt werden
  • Es dürfen nur genehmigte Programme auf dem Rechner installiert und genutzt werden
  • Eine private Nutzung der vom Arbeitgeber gestellten IT-Ausstattung ist unzulässig, sie darf nur für betriebliche Zwecke verwendet werden
  • Das Speichern personenbezogener Daten auf privater Hardware ist untersagt
  • Einsatz eines Aktenvernichters
  • Physische Löschung von Datenträgern vor deren Wiederverwendung
  • Datenträger der Server, Rechner und externe Festplatten sind mit FileVault verschlüsselt
  • Sichere Aufbewahrung von Datenträgern
  • Die Daten werden ausschließlich im Firmennetzwerk (Server des Arbeitgebers) gespeichert und nicht lokal auf dem Rechner (dadurch wird auch der Datenverlust bei Diebstahl oder Defekt minimiert)
Aktenvernichter im Home-Office
Aktenvernichter im Home-Office - auch physische Daten müssen geschützt werden

Datenübertragung und Datentransport

Um sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, können zum Beispiel folgende Maßnahmen definiert werden:

  • Vertrauliche Telefonate sind nicht bei geöffnetem Fenster zu führen oder im Garten / auf dem Balkon
  • Zur sicheren Übertragung der Daten zwischen den Betriebsstätten und Home-Office-Plätzen ist eine VPN-Verbindung eingerichtet
  • E-Mails werden mit TLS/SSL verschlüsselt, zusätzlich findet eine Authentifizierung mit User und Passwort statt
  • Datenträger werden mit einem Passwort geschützt
  • Datenträger (Server, Rechner, externe Festplatten) sind mit FileVault verschlüsselt
  • Bei der Übertragung von Datensätzen, z. B. Adresslisten, per E-Mail werden diese Dateien mit einem Passwort versehen, das dem Empfänger separat mitgeteilt wird

Zuverlässigkeit und Aktualität

Verwendete Software wird regelmäßig aktualisiert. Wenn vorhanden, ist die Software so konfiguriert, sich bei erhältlichen Updates automatisch zu melden. Dieses Update wird dann zeitnah durchgeführt. Hierunter fallen unter anderem:

  • Automatische Updatehinweise im Betriebssystem
  • Automatische Updatehinweise in verwendeten Browsern
  • Automatische Updatehinweise in verwendeter Software
  • Aktuelle Version der Virenscanner-Software

Einmal pro Quartal wird die gesamte verwendete Software manuell auf mögliche Aktualisierungen überprüft und diese Updates werden durchgeführt. Diese Maßnahmen können zum Beispiel vom Arbeitnehmer selbst oder von der zuständigen IT-Abteilung durchgeführt werden.

Home-Office: Arbeitsvertrag oder Heimarbeitsvereinbarung
Home-Office im Arbeitsvertrag oder in einer Heimarbeitsvereinbarung regeln

Wie wird das Home-Office im Arbeitsvertrag geregelt?

Der Arbeitgeber darf gemäß § 106 GewO den Inhalt, Ort und die Zeit der Arbeitsleistung seiner Mitarbeiter bestimmen:

„Der Arbeitgeber kann Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen, soweit diese Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind. (…)“

Es ist daher ratsam, die Themen Inhalt, Ort und Zeit im Arbeitsvertrag für beide Seiten verbindlich zu regeln. Nun sahen aber vor der Pandemie viele Arbeitsverträge kein Arbeiten im Home-Office vor. Ein bestehender Arbeitsvertrag muss deshalb aber nicht unbedingt geändert werden. Wichtig zu wissen: Ist im Arbeitsvertrag Homeoffice als regelmäßiger Arbeitsort festgelegt, kann der Arbeitgeber dies nicht einfach zurücknehmen.

In der Regel ist es sinnvoll, Zusatzvereinbarungen zum Arbeitsvertrag zu treffen, in denen das Arbeiten im Home-Office geregelt wird („Heimarbeitsvereinbarung“). Diese Zusatzvereinbarungen können entweder individuell oder für alle Beschäftigten im Unternehmen oder eine Beschäftigtengruppe im Rahmen einer Betriebsvereinbarung (zum Beispiel einer „Home-Office-Richtlinie“) getroffen werden.

Eine solche Heimarbeitsvereinbarung kann zum Beispiel diese Themen berücksichtigen:

  • Arbeitsrechtliche Anforderungen
  • Miet- und eigentumsrechtliche Anforderungen
  • Zugangs- und Kontrollrechte (siehe TOMs)
  • Datenschutzrichtlinien
  • Regelungen zur Arbeitszeit (Einteilung der Arbeitszeit, Nachweis der Arbeitszeit)
  • Arbeitsmittel
  • Haftung

Diese Themen sollten individuell auf die Anforderungen des Unternehmens zugeschnitten werden. Damit beide Seiten – Arbeitgeber und Arbeitnehmer – jetzt und auch nach der Pandemie weiterhin von den Vorteilen des Homeoffice profitieren, empfehlen wir eine für beide Seiten verbindliche Vereinbarung zu treffen.

Gerne berät Steffen Hahn, Fachanwalt für Arbeitsrecht, Sie individuell und persönlich zu den Möglichkeiten einer Heimarbeitsvereinbarung.

Ihr Anwalt für Arbeitsrecht in Viersen

Vereinbaren Sie einen Termin mit unserer Kanzlei für Arbeitsrecht in Viersen. Ich berate Sie zu Themen wie Home-Office, Regelungen im Arbeitsvertrag und Heimarbeitsvereinbarungen – aber auch zu Fragen im Wirtschaftsrecht und Insolvenzrecht.

Steffen Hahn

0 21 62 – 571 57 00
info@kanzlei-hahn.net

Bildquellen (in absteigender Reihenfolge):
Jelena – stock.adobe.com
lordn – stock.adobe.com
Daniel Krasoń – stock.adobe.com
M. Schuppich – stock.adobe.com
nmann77 – stock.adobe.com