Stand: 28.09.2022
Mit Beginn dieses Herbstes und der ersten jährlichen Erkältungswelle bleibt der Trend zur Arbeit im Homeoffice weiter bestehen. In der Corona-Zeit wurden viele Arbeitsplätze zumindest zeitweise ebenfalls in die eigenen vier Wände verlegt, um die Mitarbeiter und den Geschäftsbetrieb zu schützen. Je weniger Kontakt die Mitarbeiter haben, desto geringer sind das Risiko einer Erkrankung an dem Virus sowie die Auswirkungen der potenziellen Infektion. Da die Verarbeitung personenbezogener Daten gerade bei Aufgaben, die sich besonders gut zu Hause erledigen lassen, Teil des Jobs der betroffenen Mitarbeiter ist, spielt der Datenschutz auch bei der Einrichtung von Heimarbeitsplätzen eine wichtige Rolle.
Was ist Homeoffice?
Jeder spricht von Homeoffice – doch was ist das eigentlich genau? Wortwörtlich übersetzt bedeutet Homeoffice so etwas wie Heimbüro. Homeoffice ist auch bekannt unter dem Begriff „Telearbeit“ und bezeichnet im Grunde genommen nichts anderes als das Ausüben einer beruflichen Tätigkeit außerhalb der konventionellen Betriebsstätten wie z. B. dem Büro. Der Begriff der Telearbeit geht aber deutlich weiter als der Begriff Homeoffice und erfasst jede Form der Arbeit, die nicht im klassischen Büro erbracht wird. Hierzu gehört neben der Arbeit von zu Hause jede andere Form der sog. mobilen Arbeit. Das Mobile Office ist – wie der Name schon sagt – mobil, sodass es dem Arbeitnehmer ermöglicht wird, von überall zu arbeiten und nicht nur vom festen Arbeitsplatz aus.
Doch neben all den Vorteilen der Flexibilität und Zeitersparnis, die das Homeoffice bietet, gibt es hier auch rechtliche Vorschriften, die beachtet werden müssen. Neben verschiedensten arbeitsrechtlichen Regelungen muss ein besonderes Augenmerk auf den Datenschutz gelegt werden. Verlagert der Mitarbeiter seinen Arbeitsort nach Hause, so entzieht er dem Arbeitgeber damit zu einem gewissen Grad die Einflussmöglichkeit darauf, wie die Daten verarbeitet werden. Aber: Die datenschutzrechtliche Verantwortung endet nicht an der Unternehmenstür! Deshalb gilt: Sobald bei der Arbeit im Homeoffice personenbezogene Daten verarbeitet werden, ist das Ganze datenschutzrelevant und bedarf besonderen Regelungen. Um Datenpannen zu vermeiden, müssen Arbeitgeber daher eindeutige und transparente Regelungen aufstellen, die beiden Seiten bewusst sind.
Checkliste: DS-GVO-konformes Homeoffice
Personenbezogene Daten im Homeoffice – das gilt es zu beachten
Solange Arbeitnehmer zu Hause nur Präsentationen erstellen oder Recherchearbeiten betreiben und dabei keine personenbezogenen Daten verarbeiten, ist dies unproblematisch. Doch sobald Mitarbeiter im Homeoffice mit personenbezogenen Daten hantieren – wozu auch das Schreiben von E-Mails gehört –, müssen die Vorgaben der DS-GVO zur Verarbeitung personenbezogener Daten beachtet werden. Datenschutzrechtlich heikel wird es dabei, wenn es sich um besondere Arten personenbezogener Daten oder Sozialdaten handelt. Für die Beurteilung, ob und welche Schutzmaßnahmen ergriffen werden müssen, ist daher zu differenzieren, mit welchen Daten der Mitarbeiter zu Hause in Berührung kommt.
Was genau unter die Kategorie der personenbezogenen Daten fällt, regelt Art. 4 der Datenschutzgrundverordnung (DS-GVO). Demnach sind personenbezogene Daten all diejenigen Informationen, die eine Person identifizierbar machen. Das können neben dem Namen auch die Telefonnummer, die Anschrift sowie die Kundennummer oder ein Kfz-Kennzeichen sein. Sind solche Daten im Spiel, ist es auch vollkommen egal, ob die Daten von dem Mitarbeiter nur verändert, erfasst oder verschickt werden oder ob diese nur in einer Nebentätigkeit des Mitarbeiters bearbeitet werden. Arbeitet ein Mitarbeiter von zu Hause mit personenbezogenen Daten, müssen aus Datenschutzsicht klare Spielregeln her – denn wird die Arbeit mit nach Hause genommen, trägt der Arbeitgeber weiterhin die Verantwortung für alle Vorgänge und damit auch für die Sicherstellung des Datenschutzes. Er muss den Mitarbeiter daher zur Einhaltung bestimmter Spielregeln verpflichten.
Besonders schützenswerte personenbezogene Daten
Um die Risiken einer Datenpanne sowie deren mögliche Folgen für die Betroffenen Personen bei der Arbeit im Homeoffice zu reduzieren, müssen Unternehmen, deren Mitarbeiter zu Hause mit personenbezogenen Daten arbeiten, angemessene Vorkehrungen treffen. Insbesondere, wenn Mitarbeiter zu Hause mit besonders schützenswerten personenbezogenen Daten arbeiten, ist Vorsicht geboten. Die Homeoffice-Tätigkeit wäre dann nur vertretbar, wenn deren Schutz durch angemessene technische und organisatorische Maßnahmen gewährleistet ist. Zu der Kategorie der besonders schützenswerten personenbezogenen Daten gehören z. B.:
- Beschäftigtendaten: Daten, die Arbeitgeber über die Beschäftigten sammeln, genießen nach § 26 Bundesdatenschutzgesetz (BDSG) einen besonderen Schutz und unterliegen auch oftmals dem Personalaktengeheimnis.
- Sozialdaten: Gesundheitsdaten und Daten, die Sozialversicherungsträger (z. B. Kranken- und Rentenkassen) über ihre Versicherten sammeln, sind besonders schützenswert, denn sie unterliegen dem sog. Sozialgeheimnis.
- Daten nach Art. 9 Abs. 1 DS-GVO: Weitere besonders schützenswerte Daten sind in Art. 9 Abs. 1 DS-GVO aufgeführt. Demnach sind z. B. Gewerkschaftszugehörigkeiten, biometrische Daten oder genetische Daten besonders schützenswert
Die Technische Seite: effizient und sicher im Homeoffice
Das Arbeiten im Homeoffice kann Risiken für die Vertraulichkeit, Integrität und ggf. auch für die Verfügbarkeit von personenbezogen Daten mit sich bringen. Daher ist es umso wichtiger, dass auch die technischen Voraussetzungen stimmen, damit der Arbeitnehmer effizient und sicher im Homeoffice arbeiten kann. Die technische Sicherheit am Arbeitsplatz ist das A & O für einen einwandfreien Datenschutz.
Internetverbindung und Hardware
Um richtig arbeiten zu können, ist eine funktionierende Internetverbindung essenziell. Bereits vor Beginn der Homeoffice-Tätigkeiten sollte daher sichergestellt werden, dass die vorhandene Internetverbindung des Arbeitnehmers den Anforderungen der Tätigkeit entspricht. Hinsichtlich des Datenschutzes ist es Unternehmen zu empfehlen, den Arbeitnehmern für die Arbeit im Homeoffice firmeneigene Hardware zur Verfügung zu stellen und das Verwenden privater Endgeräte zu unterbinden. Erhalten die Mitarbeiter dienstliche Endgeräte wie z. B. Laptops und Mobiltelefone, können somit auch firmeninterne Vorgaben zu regelmäßigen Updates oder der Einrichtung von Firewall und Virenschutz durchgesetzt werden. Mitarbeiter müssen darauf hingewiesen werden, dass die Endgeräte nicht zur Nutzung für private Zwecken erlaubt sind. Zudem sollten die Geräte verschlüsselt werden, sodass die Daten im Falle eines Verlustes des Geräts nicht in falsche Hände geraten. Auch muss abgesichert werden, dass möglicherweise mit im Haushalt lebende Personen des Arbeitnehmers keinen Zugriff auf die Geräte erhalten.
Netzwerkzugriff im Homeoffice
Beim Thema Homeoffice stellt sich zudem die essenzielle Frage: Wie erhält der Mitarbeiter Zugriff auf die notwendigen Unterlagen? Dies wird beispielsweise über einen VPN-Zugang möglich gemacht, kann jedoch aber auch über andere technische Wege funktionieren. Um eine Lösung zu finden, die sowohl den Ansprüchen des Datenschutzes als auch den Anforderungen des praktischen Arbeitsalltags genügt, sollten die verschiedenen Optionen gemeinsam mit dem IT-Dienstleister und dem Datenschutzbeauftragten besprochen werden.
Vorgehen bei der Einrichtung von Heimarbeitsplätzen
Wie geht man als Arbeitgeber nun genau vor, wenn man Mitarbeitern das Arbeiten aus dem Homeoffice unter den genannten Voraussetzungen ermöglichen möchte? Die folgenden Schritte beschreiben, welche Aspekte geprüft und der Reihe nach erledigt werden müssen, um die Pflichten der DS-GVO zu erfüllen und keine Datenpannen zu riskieren. Die wichtigsten Schritte sind:
Die wichtigsten Schritte zur Einrichtung des häuslichen Arbeitsplatzes sind: