DSGVO – Homeoffice, Empfehlung für Arbeitgeber auch zur Corona Pandemie

COVID-19: Tausende KMU und große Konzerne ließen ihre Mitarbeiter im März 2020 ins Homeoffice umziehen. Den betrieblichen Datenschutz traf die Corona-Pandemie meist ebenso unvorbereitet wie die Unternehmen als Ganzes.
Die nun zu ergreifenden Datenschutzmaßnahmen weichen teilweise von denen im Büroalltag ab.

Die notwendigsten Handlungsempfehlungen für Arbeitgeber zur datenschutzkonformen Ausgestaltung der „Telearbeitsplätze“:

Datenschutzrechtliche Verantwortlichkeit

Das Unternehmen ist für den Datenschutz beim Working from Home verantwortlich.
Die datenschutzrechtliche Verantwortung ist nicht an die einzelnen Mitarbeiter (Telearbeiter) delegierbar. Die Firmen ermöglichen ihren Mitarbeitern nicht lediglich die Arbeit von Zuhause aus. Sie tragen vielmehr die Konsequenzen, wenn es bei der Telearbeit in der Wohnung der Arbeitnehmer zur Datenpanne kommt.

Großes Augenmerk ist auf die besonders sensiblen Kategorien personenbezogener Daten im Sinne des Datenschutzrechts zu richten.

Diese sind:
• Sozialdaten
• Gesundheitsdaten
• Biometrische Daten
• Daten zur ethnischen Herkunft
• Daten zur sexuellen Orientierung
• Daten zur weltanschaulichen, politischen oder religiösen Meinung

Die Datenschutzgrundverordnung verlangt: Je sensibler die zu verarbeitenden Daten, desto höher hat der Schutz dieser Daten zu sein.
Schutzvorkehrungen für die Gewährleistung höchster Vertraulichkeit der Daten sind bei der Arbeit am heimischen Schreibtisch geboten.

Datenschutzrechtliche Einbindung des Telearbeiters

Im Idealfall wird vor dem ersten Arbeitstag in den eigenen vier Wänden eine schriftliche Vereinbarung mit dem Mitarbeiter getroffen.
Haben Betriebe noch keine solche datenschutzrechtliche Vereinbarung mit ihren Telemitarbeitern, sollten sie sie jetzt unbedingt nachholen.

Mustervorlagen aus dem Internet erfüllen diesen Zweck meist nicht!

Die Übereinkunft mit dem Angestellten sollte die individuelle Situation sowohl des Unternehmens als auch des Mitarbeiters in seinem häuslichen Umfeld wiedergeben.

Ist ein Telearbeitsplatz nicht eindeutig von der übrigen Wohnung abgetrennt, bedeutet dies, dass eventuelle Haushaltsangehörige des Arbeitnehmers in den Kontrakt einzubinden sind.
So könnte eine Verschwiegenheitserklärung des Heimarbeiters zum Beispiel weitere Familienmitglieder einbeziehen.

In jedem Fall hat die Vereinbarung den Arbeitnehmer über seine Pflichten zu informieren und ist von ihm UND dem Arbeitgeber zu unterschreiben.

 

Datenschutzkonforme Berufsausübung in der Privatwohnung

Die wenigsten Mitarbeiter werden in der Sars-CoV-2-Krise ein abschließbares Arbeitszimmer in ihrer Wohnung vorhalten können.

In diesen Fällen sind die Unternehmen in der Pflicht, alles Erdenkliche zur Wahrung des Datenschutzes zu tun:

• Technisch und digital
• Analog

Die Firmen schaffen durch das Bereitstellen sämtlicher Hard- und Software eine gute Ausgangslage. Zur Erfüllung der Datenschutzgrundverordnung bieten sich weitere Schritte an.

 

Technisch und digital

Verschlüsselungstechnologien:
• Verschlüsselung der Festplatte des beruflichen Notebooks
• Datenträger wie USB-Sticks verschlüsseln
• VPN einrichten
• Verschlüsselte Messenger-Dienste für die firmeninterne Kommunikation nutzen

Digitale/elektronische Sperrungen:
• Automatische Bildschirmsperre nach höchstens zehn Minuten Rechner-Inaktivität
• (USB-) Ports sperren
• Berufliches Notebook für externe Speichermedien sperren

Netzwerkverbindungen und Log-ins:
• LAN-Verbindungen sind sicherer und schneller als (offene) WLAN-Verbindungen
• Passwörter mit hohem Sicherheitsstandard wählen
• Zwei-Faktor-Authentifizierung etablieren

Der Druckerspeicher ist ggf. regelmäßig zu löschen.

 

Analog

  • Beruflichen Laptop mit Blickschutzfilter/-folie versehen
  • Schriftliche Vereinbarung mit dem jeweiligen Mitarbeiter treffen
  • Ggf. (Dienst-) Anweisungen im Wortlaut anpassen(Erneute) Unterrichtung der Mitarbeiter:
    • Berufliche und private Hard-/Software strikt getrennt verwenden
    • Sofortiges Informieren des Arbeitgebers über aufgetretene Datenpannen
    • Über welche Kanäle das Unternehmen über Datenpannen in Kenntnis zu setzen ist
    • Datenminimierung, Datensparsamkeit im Sinne der DSGVO
    • Datenmüllvermeidung: Keine unnötigen Dateien, Kopien, Ausdrucke erstellen
    • Vertrauliche Telefonate sind nicht im Beisein Dritter zu führen
    • Berufliche Speichermedien/Ausdrucke sind schon bei kurzer Abwesenheit vom Arbeitsplatz wegzuschließen
    • (Foto-) Kopien, Ausdrucke und elektronische Speichermedien sind nur in geschreddertem Zustand zu entsorgen
    • Arbeitsplatzhygiene bzw. Clean Desk: Ein sauberer aufgeräumter Schreibtisch erleichtert den nächsten Arbeitsbeginn
    • Das Unternehmen möchte Kontrollmöglichkeiten oder Kontrollinstanzen zur Überprüfung seiner Telemitarbeiter haben

 

Firmen-Filiale „Vertrauen & Kontrolle“ in der Wohnung des Heimarbeiters schaffen

Angesichts der globalen Corona-Krise mit den daraus resultierenden Entlassungen und Kurzarbeit-Regelungen, werden die im Homeoffice Beschäftigten das in sie gesetzte Vertrauen ihrer Firma nicht enttäuschen wollen.

Andererseits ist die gesamte (familiäre) Situation in der Pandemie angespannter und anders zu bewerten als im gewohnten Büroalltag.

Trotz aller Stressfaktoren liegt nicht zuletzt die datenschutzrechtliche Verantwortung bei den Unternehmen. Deshalb sollten sie sich bestimmte Wege der Kontrolle offenhalten.

 

Vertrauen

Eine Atmosphäre des Vertrauens ist für Firmen und Heimarbeiter gleichermaßen wichtig.
Der Arbeitnehmer ist sich über seine größere Eigenverantwortung im Klaren. Er fühlt sich entweder überfordert oder besonders wertgeschätzt.

In beiden Fällen ist es im Interesse der Geschäftsabläufe, die Leistungsfähigkeit des Betriebsangehörigen zu fördern oder zu fordern.

Das Unternehmen ist wiederum auf das Vertrauen seiner „Teleschaffenden“ angewiesen, um Prozesse an Krisenzeiten anzupassen und optimieren zu können.
Nur ein Beschäftigter, der sich verstanden und „abgeholt“ fühlt, wird seinem Chef Unzulänglichkeiten, Probleme, gar Datenpannen zeitnah eingestehen.

Ein den Datenschutz betreffender Vorfall muss von der Firma nicht immer gemeldet werden. Bestehen wegen der Meldepflicht Zweifel, kann ein außerbetrieblicher Datenschutzbeauftragter Unklarheiten beseitigen helfen.

 

Kontrolle

Hierbei ist ein sensibles Vorgehen gefragt. Ehrliche Kommunikation der Gründe für Kontrollen und Transparenz in der Durchführung sind zu bevorzugen.
Der Verweis auf „betriebliches Neuland“ wegen der weltweiten COVID-19-Krise kann hilfreich sein.

Die Mitarbeiter möchten nicht wie Kleinkinder oder Rechtlose behandelt werden. Das zerstörte jegliche Arbeitsmoral.
Kontrollanrufe sollten deshalb tabu sein, genauso wie „Kontrollbesuche“. Die räumliche Privatsphäre sowie die Unverletzlichkeit der Wohnung sind grundgesetzlich geschützt.

Art und Umfang der Kontrollinstrumente sollten in der schriftlichen Homeoffice-Vereinbarung genannt werden.

 

Arbeitgeberpflichten und -rechte: DSGVO vs. IfSG

Die Maßnahmen zum Bevölkerungsschutz auf Grundlage des Infektionsschutzgesetzes (IfSG) während der COVID-19-Pandemie greifen in die Grundrechte der Bürger ein. So auch in die Datenschutzgrundverordnung, die das Grundrecht der informationellen Selbstbestimmung beinhaltet.

Regierungen, Aufsichtsbehörden, Gerichte sind während der Corona-Pandemie gezwungen, nie da gewesene Verhältnismäßigkeiten zu gewichten.
Ein Unternehmen bzw. sein Datenschutzbeauftragter kann ebenfalls in diese missliche Lage geraten:
Privat unternommene Besuche in COVID-19-Risikogebieten – müssen Mitarbeiter sie (auf Nachfrage) offenlegen oder nicht?

Hier gilt es zum Beispiel, die Möglichkeit der Gefährdungsbeurteilung nach dem Arbeitsschutzgesetz und Fürsorgepflichten gegenüber der Beschäftigten gegen die Privatsphäre und Datenschutzrechte des Personals abzuwägen.

Eingriffe in die Rechte der Belegschaft müssen erforderlich sein und das mildeste gangbare Mittel darstellen

 

Corona – Beschäftigtendatenschutz und Übersicht erlaubter und unerlaubter Maßnahmen durch Arbeitgeber unter Beachtung der DSGVO

https://datenschutzbeauftragter-dsgvo.com/corona-beschaeftigtendatenschutz-und-uebersicht-erlaubter-und-unerlaubter-massnahmen-durch-arbeitgeber-unter-beachtung-der-dsgvo/

 

DSGVO – Pandemie Coronavirus – Richtlinien & Maßnahmen zum Homeoffice

https://datenschutzbeauftragter-dsgvo.com/dsgvo-pandemie-coronavirus-richtlinien-massnahmen-zum-homeoffice/