Home-Office

Im Home-Office arbei­ten war und ist für vie­le eine neue Herausforderung.

Dabei hat­te eini­ge Unter­neh­men zuvor über­haupt kein “Home-Office“ eta­bliert, aber eine Viel­zahl ver­rich­tet nun genau so ihre Arbeit. 

Doch ist die­se Art der Arbeit und Ver­wen­dung von per­so­nen­be­zo­ge­nen Daten über­haupt mit dem Daten­schutz vereinbar?

Der Daten­schutz schließt die­ses nicht grund­sätz­lich aus.

Eine kla­re gesetz­li­che Rege­lung für die daten­schutz­recht­li­che Zuläs­sig­keit gibt es jedoch nicht.

Es soll­te des­halb in jedem Ein­zel­fall unter Berück­sich­ti­gung der Art der zu ver­ar­bei­ten­den Daten und der Ver­wen­dung sorg­fäl­tig geprüft wer­den, ob die jewei­li­ge Auf­ga­ben oder Tätig­kei­ten daten­schutz­recht­lich ver­tret­bar ist.

Die end­gül­ti­ge Ent­schei­dung dar­über muss der jewei­li­ge Ver­ant­wort­li­che im Unter­neh­men treffen.

Wenn es beim Arbei­ten im Home-Office per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, kann dies zu Risi­ken für die Per­so­nen füh­ren, deren Daten ver­ar­bei­tet werden.

Die Gefahr eines Daten­miss­brauchs oder einer unzu­läs­si­gen Ein­fluss­nah­me durch Drit­te ist hier­bei höher, da der Ver­ant­wort­li­che nur ein­ge­schränk­te Kon­troll- und Ein­fluss­mög­lich­kei­ten hat.

Die Risi­ken las­sen sich in der Pra­xis nicht gänz­lich vermeiden. 

Sie sind bei beson­ders schüt­zens­wer­ten per­so­nen­be­zo­ge­nen Daten nur dann ver­tret­bar, wenn deren Schutz durch ange­mes­se­ne tech­nisch-orga­ni­sa­to­ri­sche Maß­nah­men und ent­spre­chen­de Kon­troll­mög­lich­kei­ten durch den Ver­ant­wort­li­chen gewähr­leis­tet sind.

Zu den beson­ders schüt­zens­wer­ten per­so­nen­be­zo­ge­nen Daten gehö­ren vor allem die in Art. 9 Abs. 1 der DSGVO genann­ten Anga­ben zur

  • ras­si­schen und eth­ni­schen Herkunft
  • Gewerk­schafts­zu­ge­hö­rig­keit
  • zu poli­ti­schen Meinungen
  • reli­giö­sen oder welt­an­schau­li­chen Überzeugungen
  • gene­ti­sche Daten
  • bio­me­tri­sche Daten zur ein­deu­ti­gen Iden­ti­fi­zie­rung einer natür­li­chen Person
  • Gesund­heits­da­ten
  • Daten zum Sexu­al­le­ben oder der sexu­el­len Ori­en­tie­rung einer natür­li­chen Person.

Die DSGVO ver­wen­det hier­für den Begriff der beson­de­ren Kate­go­rie per­so­nen­be­zo­ge­ner Daten. Eine Ver­ar­bei­tung die­ser Daten ist unter­sagt, wenn kei­ne Aus­nah­men gemäß Art. 9 Abs. 2 und 3 DSGVO bestehen.

Bei der Ent­schei­dung, ob und ggf. unter wel­chen Vor­keh­run­gen sich bestimm­te Auf­ga­ben im Home-Office eig­nen, gilt es jedoch hin­sicht­lich des Umgangs mit beson­ders schüt­zens­wer­ten Daten zu differenzieren.

Auch hier ist im Ein­zel­fall zu ent­schei­den, ob das Risi­ko für einen Daten­miss­brauch ange­mes­sen redu­ziert wur­de oder ob das Rest­ri­si­ko eine Daten­ver­ar­bei­tung ausschließt.

Je sen­si­bler und damit schüt­zens­wer­ter per­so­nen­be­zo­ge­ne Daten sind, des­to stär­ker sind sie zu schützen.

Um ein Arbei­ten im Home-Office daten­si­cher zu gestal­ten, emp­fiehlt es sich nur Gerä­te ein­zu­set­zen, die durch den Ver­ant­wort­li­chen des jewei­li­gen Unter­neh­mens zuge­las­sen wurden.

Die­ser Ein­satz soll­te Vor­ran­gig, also vor der Nut­zung pri­va­ter Hard- und Soft­ware (Bring your own Device – BYOD) stattfinden.

Soll­te es zu einer Ver­wen­dung pri­va­ter Hard- und Soft­ware der Beschäf­tig­ten kom­men, so sind Ver­ein­ba­run­gen über die Kon­trol­le und Löschung beruf­li­cher Daten sowie die deut­li­che Tren­nung von beruf­li­chen und pri­va­ten Inhal­ten zu treffen.

Neben dem Abschluss ent­spre­chen­der Ver­ein­ba­run­gen ist die Tren­nung von beruf­li­chen und pri­va­ten Inhal­ten auch tech­nisch sicherzustellen.

Dar­über hin­aus ist zu beach­ten, dass mit der dienst­li­chen Nut­zung von für den pri­va­ten Gebrauch vor­ge­se­he­ner Soft­ware urhe­ber­recht­li­che Fra­ge­stel­lun­gen ver­bun­den sein können.

Das Risi­ko kann mini­miert wer­den, wenn nach Art. 32 DSGVO zumin­dest die fol­gen­den Vor­ga­ben erfüllt sind:

  • Zugang der Berech­tig­ten zu den sen­si­blen per­so­nen­be­zo­ge­nen Daten nur mit PIN und hard­ware­ba­sier­tem Ver­trau­ens­an­ker (Zwei-Fak­tor-Authen­ti­fi­zie­rung)
  • Ver­bin­dung aus­schließ­lich über ein soge­nann­tes Vir­tu­al Pri­va­te Net­work (VPN)
  • Ver­schlüs­se­lung der Daten (Ende-zu-Ende) inkl. Abla­ge­ver­schlüs­se­lung auf dem mobi­len Gerät
  • Sper­rung von USB-Zugän­gen und ande­ren Anschlüssen
  • Kei­ne Anbin­dung von Druckern
  • Ver­mei­dung des Ein­sat­zes von Smart Home-Gerä­ten wie zum Bei­spiel smar­ten Laut­spre­chern oder digi­ta­len Assis­ten­ten in den Räu­men, die zum Home-Office genutz werden
  • hohe Sen­si­bi­li­tät bei Tele­fo­na­ten im pri­va­ten und öffent­li­chen Raum
  • Kei­ne pri­va­te Nut­zung der beruf­lich zur Ver­fü­gung gestell­ten IT-Ausstattung

Müs­sen zusätz­lich Unter­la­gen oder Daten­trä­ger (CDs, USB-Sticks etc.) von Beschäf­tig­ten trans­por­tiert wer­den, so ist auch hier­bei mit vie­ler­lei Gefah­ren zu rech­nen, die zu einem Ver­lust oder Beschä­di­gung der Daten füh­ren können.

Daher kön­nen wir fest­stel­len, dass die Arbeit im Home-Office vie­le Anfor­de­run­gen an den Daten­schutz stellt. Dazu kom­men natür­lich ggf. ande­re Nor­men und Richt­li­nie an einen sol­chen Arbeitsplatz.

Denn letzt­end­lich ist es genau dass, ein Arbeitsplatz.

Also las­sen Sie sich gut beraten.

Kommentar hinzufügen