Im Home-Office arbeiten war und ist für viele eine neue Herausforderung.
Dabei hatte einige Unternehmen zuvor überhaupt kein “Home-Office“ etabliert, aber eine Vielzahl verrichtet nun genau so ihre Arbeit.
Doch ist diese Art der Arbeit und Verwendung von personenbezogenen Daten überhaupt mit dem Datenschutz vereinbar?
Der Datenschutz schließt dieses nicht grundsätzlich aus.
Eine klare gesetzliche Regelung für die datenschutzrechtliche Zulässigkeit gibt es jedoch nicht.
Es sollte deshalb in jedem Einzelfall unter Berücksichtigung der Art der zu verarbeitenden Daten und der Verwendung sorgfältig geprüft werden, ob die jeweilige Aufgaben oder Tätigkeiten datenschutzrechtlich vertretbar ist.
Die endgültige Entscheidung darüber muss der jeweilige Verantwortliche im Unternehmen treffen.
Wenn es beim Arbeiten im Home-Office personenbezogenen Daten verarbeitet werden, kann dies zu Risiken für die Personen führen, deren Daten verarbeitet werden.
Die Gefahr eines Datenmissbrauchs oder einer unzulässigen Einflussnahme durch Dritte ist hierbei höher, da der Verantwortliche nur eingeschränkte Kontroll- und Einflussmöglichkeiten hat.
Die Risiken lassen sich in der Praxis nicht gänzlich vermeiden.
Sie sind bei besonders schützenswerten personenbezogenen Daten nur dann vertretbar, wenn deren Schutz durch angemessene technisch-organisatorische Maßnahmen und entsprechende Kontrollmöglichkeiten durch den Verantwortlichen gewährleistet sind.
Zu den besonders schützenswerten personenbezogenen Daten gehören vor allem die in Art. 9 Abs. 1 der DSGVO genannten Angaben zur
- rassischen und ethnischen Herkunft
- Gewerkschaftszugehörigkeit
- zu politischen Meinungen
- religiösen oder weltanschaulichen Überzeugungen
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Die DSGVO verwendet hierfür den Begriff der besonderen Kategorie personenbezogener Daten. Eine Verarbeitung dieser Daten ist untersagt, wenn keine Ausnahmen gemäß Art. 9 Abs. 2 und 3 DSGVO bestehen.
Bei der Entscheidung, ob und ggf. unter welchen Vorkehrungen sich bestimmte Aufgaben im Home-Office eignen, gilt es jedoch hinsichtlich des Umgangs mit besonders schützenswerten Daten zu differenzieren.
Auch hier ist im Einzelfall zu entscheiden, ob das Risiko für einen Datenmissbrauch angemessen reduziert wurde oder ob das Restrisiko eine Datenverarbeitung ausschließt.
Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen.
Um ein Arbeiten im Home-Office datensicher zu gestalten, empfiehlt es sich nur Geräte einzusetzen, die durch den Verantwortlichen des jeweiligen Unternehmens zugelassen wurden.
Dieser Einsatz sollte Vorrangig, also vor der Nutzung privater Hard- und Software (Bring your own Device – BYOD) stattfinden.
Sollte es zu einer Verwendung privater Hard- und Software der Beschäftigten kommen, so sind Vereinbarungen über die Kontrolle und Löschung beruflicher Daten sowie die deutliche Trennung von beruflichen und privaten Inhalten zu treffen.
Neben dem Abschluss entsprechender Vereinbarungen ist die Trennung von beruflichen und privaten Inhalten auch technisch sicherzustellen.
Darüber hinaus ist zu beachten, dass mit der dienstlichen Nutzung von für den privaten Gebrauch vorgesehener Software urheberrechtliche Fragestellungen verbunden sein können.
Das Risiko kann minimiert werden, wenn nach Art. 32 DSGVO zumindest die folgenden Vorgaben erfüllt sind:
- Zugang der Berechtigten zu den sensiblen personenbezogenen Daten nur mit PIN und hardwarebasiertem Vertrauensanker (Zwei-Faktor-Authentifizierung)
- Verbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN)
- Verschlüsselung der Daten (Ende-zu-Ende) inkl. Ablageverschlüsselung auf dem mobilen Gerät
- Sperrung von USB-Zugängen und anderen Anschlüssen
- Keine Anbindung von Druckern
- Regelmäßige Schulung/Fortbildung der Beschäftigten zum datensicheren und datenschutzgerechten Umgang mit mobilen Geräten
- Vermeidung des Einsatzes von Smart Home-Geräten wie zum Beispiel smarten Lautsprechern oder digitalen Assistenten in den Räumen, die zum Home-Office genutz werden
- hohe Sensibilität bei Telefonaten im privaten und öffentlichen Raum
- Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung
Müssen zusätzlich Unterlagen oder Datenträger (CDs, USB-Sticks etc.) von Beschäftigten transportiert werden, so ist auch hierbei mit vielerlei Gefahren zu rechnen, die zu einem Verlust oder Beschädigung der Daten führen können.
Daher können wir feststellen, dass die Arbeit im Home-Office viele Anforderungen an den Datenschutz stellt. Dazu kommen natürlich ggf. andere Normen und Richtlinie an einen solchen Arbeitsplatz.
Denn letztendlich ist es genau dass, ein Arbeitsplatz.
Also lassen Sie sich gut beraten.
1 Kommentar