GESCHRIEBEN VON

Julia Storkenmaier
Rechtsanwältin Julia Storkenmaier ist Associate bei der Hamburger Anwaltskanzlei CMS Hasche Sigle, wo sie nationale und internationale Klienten in Sachen IT-Vertragsrecht unterstützt. Spezielle Kenntnisse besitzt sie im Datenschutz und im Recht der neuen Medien, wo sie außer zum Domain- und Internetrecht auch zu den Themenfeldern Social Media, Games und Digital Business berät. So unterstützt sie beispielsweise bei der rechtskonformen Umsetzung von Online-Marketing-Projekten und dem Einsatz von Messenger-Diensten.
https://www.bakertilly.de

Datenschutz 2021: Rechtssicherheit im Homeoffice

Geschrieben von Julia Storkenmaier

Wie im Büro bleibt der Arbeitgeber auch im Homeoffice für die ordnungsgemäße Verarbeitung personenbezogener Daten verantwortlich und muss dafür sorgen, dass die personenbezogenen Daten im Einklang mit der DSGVO verarbeitet werden. Insbesondere bei einem Datenschutzvorfall muss der Arbeitgeber einer Aufsichtsbehörde nachweisen, dass er die für den Schutz personenbezogener Daten erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat.

Zusätzliche Herausforderungen beim Datenschutz im Homeoffice

Das Arbeiten im Homeoffice erschwert es jedoch, diese Anforderungen umzusetzen: Familienmitglieder oder Mitbewohner können Unternehmensdaten wie personenbezogene Daten leichter einsehen, durch den Einsatz privater Hardware (BYOD) können zusätzliche IT-Sicherheitslücken entstehen, die einen unbefugten Datenzugriff wahrscheinlicher machen und schließlich schwächt die örtliche Trennung zwischen Arbeitgeber und Arbeitnehmer die Kontroll- bzw. Einflussmöglichkeit des Arbeitgebers.

Was müssen Arbeitgeber tun?

Arbeitgeber sollten ihre Mitarbeiter daher zuallererst für den Schutz personenbezogener Daten im Homeoffice sensibilisieren (z.B. durch Meetings und Rundmails). Zusätzlich sollte eine Unternehmensrichtlinie in Form einer sogenannten „Homeoffice-Richtlinie“ erstellt werden. Kommt es zu einem Datenschutzvorfall, kann der Arbeitgeber durch eine ausreichende Homeoffice-Richtlinie ein Bußgeld vermeiden.

Was sollte in der Homeoffice-Richtlinie geregelt werden?

In der Homeoffice-Richtlinie sollte unter Anderem geregelt werden, wann ein Arbeitnehmer Ausdrucke erstellen darf und wie er diese zu entsorgen hat. Dabei sollte darauf hingewiesen werden, dass das Erstellen von Ausdrucken vermieden werden sollte, wenn dies nicht zwingend erforderlich ist und dass eine Entsorgung nicht im Papiermüll, sondern nur im Büro oder durch ausreichend sichere Aktenvernichter erfolgen darf.

Dem Arbeitnehmer sollte erklärt werden, wie er seine Arbeitsumgebung zu gestalten hat. Wenn der Arbeitnehmer in seinem Zuhause kein eigenes abschließbares Büro zur Verfügung hat, so sollte der Bildschirm jedenfalls so platziert werden, dass er von Dritten nicht eingesehen werden kann. Am Ende des Tages sollte der Schreibtisch freigeräumt und die Unterlagen beispielsweise in einem Schrank eingeschlossen werden.

Wenn möglich BYOD vermeiden

Wenn möglich sollte dem Arbeitnehmer betriebliche Hardware, insbesondere Firmenlaptops, zur Verfügung gestellt werden. Die Nutzung privater Laptops (BYOD) birgt stets die Gefahr, zusätzlicher IT-Sicherheitslücken, da erforderliche Updates nicht direkt auf das Gerät aufgespielt werden können. Zudem ist eine strikte Trennung zwischen privaten Daten des Arbeitnehmers und Unternehmensdaten erforderlich (z.B. durch Container-Apps oder andere virtuelle Umgebungen), damit der Arbeitgeber auf die Unternehmensdaten problemlos zugreifen kann.

Die aufgeführten Regelungen sind nur Beispiele und können die von einem Unternehmen zu treffenden Maßnahmen nicht abschließend widerspiegeln. Welche Regelungen in einer Homeoffice-Richtlinie tatsächlich getroffen werden sollten, hängt stark von dem jeweiligen Unternehmen und den betroffenen Arbeitnehmern ab. Die Checklist des Bayerischen Landesamts für Datenschutzaufsicht (Best Practice Homeoffice (bayern.de)) kann Unternehmen bei der Einordnung der von ihnen umzusetzenden Maßnahmen unterstützen.

Zusammenfassung

Datenschutz muss nicht nur im Büro, sondern auch im Homeoffice umgesetzt werden. Mit einer guten Homeoffice-Richtlinie können Arbeitgeber ihre Arbeitnehmer für den Schutz personenbezogener Daten sensibilisieren und sich bei Datenschutzvorfällen gegenüber Aufsichtsbehörden exkulpieren bzw. ein Bußgeld zumindest reduzieren.

Mehr erfahren