DSGVO – Pandemie Coronavirus – Richtlinien & Maßnahmen zum Homeoffice

Mit der Corona-Pandemie stehen viele Arbeitgeber und Arbeitnehmer vor großen Herausforderungen, um zum einen die Arbeitsfähigkeit der Bevölkerung zu gewährleisten sowie aber auch die unerlässlichen Vorgaben zu den datenschutzrechtlichen Hürden zu erfüllen. Welche Maßnahmen sind von beiden Seiten nach Datenschutzrechtlichen Vorgaben unbedingt zu erfüllen?

Die Geschwindigkeit, mit der sich das Virus verbreitet, hat zur Folge, dass die Arbeitsplätze im Home-Office extrem kurzfristig, quasi von heute auf morgen, einzurichten sind. Home-Office ist zwar in vielen Unternehmen schon in Teilbereichen möglich. Auch ohne die aktuelle Gesundheitslage wäre es ein Trend für die Zukunft. Jedoch bestehen hier auch Risiken zur Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit der personenbezogenen Daten. Aufgrund des schnellen Handlungsbedarf besteht nicht die Zeit, um zum Beispiel in Unternehmen mit Betriebsrat noch Betriebsvereinbarungen auszuhandeln, in denen Datenschutz-Richtlinien festgelegt werden, an die sich alle Angestellten zu halten haben.

Lesen Sie hier in unserem Beitrag die Wichtigen und nötigen Punkte zur Umsetzung.

 

Corona ist keine Ausrede – Wer ist Verantwortlicher für die Einhaltung der Richtlinien

Grundsätzlich gilt: Der Arbeitgeber ist Verantwortlichen für die Gewährleistung der Datensicherheit – das gilt selbstverständlich auch fürs Homeoffice. Somit hat der Arbeitgeber auch weiterhin die Einhaltung der geforderten technischen und organisatorischen Maßnahmen (TOM) zu garantieren.

Diesbezüglich haftet selbstverständlich auch der Arbeitgeber weiterhin für etwaige Datenschutzverstöße gegenüber seinen Vertragspartnern und nicht die Arbeitnehmer.

Die Europäische Union hat mit der DSGVO (Datenschutzgrundverordnung) den Schutz von personenbezogenen Daten ausgeweitet und in den Mittelpunkt des Datenschutzes gestellt. Das hat Auswirkungen auf die tägliche Arbeit in privaten oder öffentlichen Unternehmen. An die Vorgaben der Datenschutzgrundverordnung hat man sich auch im Homeoffice zu halten, ausnahmslos.

Überall, wo Daten von Personen gespeichert und für die Arbeit abgerufen werden, hat der Datenschutz Vorrang vor dem eigentlichen unternehmerischen Ziel – somit sind auch in der Corona-Pandemie unumläßlich alle Vorgaben einzuhalten.

 

TIPP unser Beitrag:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-verantwortlicher-und-welche-verantwortung/

 

Personenbezogene Daten und rechtmäßige Verarbeitung:

„Personenbezogene Daten“ sind gemäß BDSG alle persönlichen oder sachlichen Informationen über eine bestimmte oder bestimmbare natürliche Person. Zu den personenbezogenen Daten zählen insbesondere Name, Alter und Anschrift der Person, aber auch Informationen über Religionszugehörigkeit oder Vereinsmitgliedschaften, etc. Fazit: Personenbezogene Daten sind Informationen, mit welchen diese Daten zur genauen Zuordnung der Identiät der Person zählen.

Die Datenschutz-Grundverordnung (DSGVO) setzt in Art. 4 Nr. 1 das bisherige Merkmal „bestimmte“ mit „identifzierte“ und das Merkmal „bestimmbare“ mit „identifizierbare“ Person gleich. Ein Personenbezug ist dann gegeben, wenn die Daten sich auf eine natürliche Person beziehen. Daher gilt das Datenschutzrecht nicht für juristische Personen. Zu den Personenbezogene Daten zählt auch die IP-Adresse. Der BGH hat entschieden, dass IP-Adressen als personenbezogene Daten anzusehen sind. Daraus erwachsen für Webseitenbetreiber und schlussendlich für Unternehmer eine Reihe von großen Herausforderungen.

Hier wird auch definiert, welche weiteren besonderen „sensiblen“ personenbezogene Daten in Art. 9 DSGVO nach Datenkategorien aufgeführt sind:

  • rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

 

TIPP: DSGVO – Die Rechtmäßige Verarbeitung von personenbezogenen Daten.

Welche Verarbeitungszwecke und Rechtfertigungsgründe sind möglich.

https://datenschutzbeauftragter-dsgvo.com/dsgvo-rechtmaessige-verarbeitung-personenbezogenen-daten-welche-verarbeitungszwecke-rechtfertigungsgruende-sind-moeglich/

 

Rechtliche Grundlage für Homeoffice

Die EU-DSGVO gibt hierbei die rechtlichen Grundlagen vor: Gemäß §32 DSGVO (Datenschutzgrundverordnung) hat der Arbeitgeber – unter Berücksichtigung diverser Faktoren (Implementierungskosten, Stand der Technik, etc.) – für einen geeigneten Schutz der Daten durch seinen Arbeitnehmer zu sorgen bzw. dafür geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Grundlage liefert hier der §24 DSGVO, der in Abs. 1 regelt, wer und in welchem Umfang die Verantwortung zum Schutz der personenbezogenen Daten trägt: Die Verantwortung liegt hierbei beim für die Verarbeitung Verantwortlichen, ergo dem Unternehmen, das gemäß Art 5, Abs. 2 Datenschutzgrundverordnung für die Einhaltung zu belangen ist. Grundsätzlich müssen die ergriffenen/zu ergreifenden Schritte aber im Rahmen einer Vereinbarung oder im Zuge des bestehenden Arbeitsvertrages geregelt sein, wobei für etwaige Verstöße das Unternehmen zu belangen ist (außer es liegt ein Fall grober Fahrlässigkeit vor).

 

Nötige Maßnahmen zur Arbeit im Homeoffice

Die zu ergreifenden Maßnahmen sind abhängig von der Sensibilität der zu verarbeitenden Daten über das Homeoffice. Es gilt, je sensibler die Daten, desto höhere Schutzmaßnahmen erforderlich.

  • Speicherung der Daten ausschließlich auf Servern des Unternehmens
  • Datenträger (auf PC, Notebook …) müssen durch Passwort gesperrt sein
  • Verschlüsselung der Daten (E-Mails)
  • Abschließbarer Raum (Arbeitszimmer)
  • Abschließbarer Schrank für Datenträger + Unterlagen
  • Datenschutzkonformer Ausdruck + datenschutzkonforme Vernichtung von Dokumenten in Papierform

Wichtig, dass die jeweils zu treffenden Maßnahmen innerhalb einer vertraglichen Vereinbarung zwischen Arbeitgeber und Arbeitnehmer festzuhalten sind. Oftmals sind diesbezügliche Regelungen schon im Arbeitsvertrag geregelt.

 

Die Risiken beim Arbeiten im Homeoffice

Um die Risiken beim Umgang mit den Daten bei der Arbeit von zu Hause aus zu minimieren, ist nur Software zu verwendet, welche Arbeitgeber oder Datenschutzbeauftragten genehmigt ist. Die Nutzung der IT-Systeme des Betriebs garantiert den Schutz vor Datenklau durch Hacker. Betriebliche Computer, Laptop´s, Surfaces, an denen zu Hause gearbeitet wird, sind mit den Servern des Betriebs verbunden zu sein, um so das Speichern auf Firmenservern zu ermöglichen. Jegliche für den Betrieb relevante Daten sind nicht auf privaten Festplatten, sondern auf den Firmenservern abzulegen.

Ausnahmen sind nur da erlaubt, wo keine Internet-Verbindung besteht und eine Speicherung von Daten auf den Firmenservern nicht möglich ist. Nur dann ist ein Speichern auf einer lokalen Festplatte oder einem anderen lokalen Datenträger erlaubt. Immer vorausgesetzt, dass die Sicherheit der gespeicherten Daten gewährleistet ist, zum Beispiel durch digitale Verschlüsselung.

Aus diesem Grund ist entscheidend, dass betrieblich genutzte PCs nicht zusätzlich für private Zwecke verwendet werden. Über private Downloads könnten Viren oder sonstige Schadware auf den Rechner gelangen. Und durch unvorsichtige private Uploads könnten ungewollt Daten ins Internet gelangen, für deren Sicherheit aber der Arbeitgeber verantwortlich ist.

 

Mögliche Schwierigkeiten – Anpassung Verhalten aller Personen im Haushalt nötig

Ob die oben genannten Schutzmaßnahmen den in §32 DSGVO geforderten Mitteln immer entsprechen, ist fraglich. Grundsätzlich ist Rücksprache mit dem Arbeitgeber zu halten und zu klären, inwieweit von(höchst-) sensiblen Daten zu sprechen ist. Als Faustregel lässt sich dennoch formulieren: Je sensibler die Daten, desto umfangreicher sollten die Schutzmaßnahmen – ob am normalen Arbeitsplatz oder im Home-Office – ausfallen.

Neben Verhaltensweisen, die das digitale Leben betreffen, ist es wichtig, dass bei jedem Verlassen des PCs die Bildschirmsperre angeschaltet wird. Dann kann auch unerwarteter Besuch im privaten Arbeitszimmer nicht an den Rechner. Eine Bildschirmsperre ist ein absolutes Muss, auch während der Corona Pandemie und eventueller Quarantäne.

Desweiteren ist zu beachten: Dokumente sind nicht im Home-Office auszudrucken! Denn wohin mit den Ausdrucken? Im privaten Bereich sind hochsensible Daten nicht genug gesichert. Einbrecher könnten problemlos an Daten kommen. Datensicherung ist nicht nur ein Thema auf digitaler Ebene, sondern ganz besonders auch im privaten Bereich bei der Heimarbeit.

 

Meldung Datenschutzvorfall – wie ist der Umgang damit?

Private Arbeitsplätze sind häufig Ziele von Hackern. Der Datenklau ist in Zeiten von Corona stark angestiegen. Häufig bringt eine fahrlässige Nutzung IT-Systeme sicherheitstechnisch an ihre Grenzen.

Datenschutzvorfälle müssen dem Arbeitgeber oder dem Datenschutzbeauftragen unverzüglich gemeldet werden. Auch dann, wenn nur die Annahme besteht, dass es in Sachen Datensicherheit zu Unregelmäßigkeiten gekommen ist.

Verstöße gegen die betrieblichen Datenschutz-Richtlinien können als arbeitsvertragliche Pflichtverletzungen angesehen und entsprechend bestraft werden. Von der Abmahnung bis zur Kündigung sind verschiedenen Sanktionen denkbar. Fahrlässigkeit im Zusammenhang mit hochsensiblen Daten ist strafbar, im Übrigen auch für den Arbeitgeber.

 

TIPP unser Beitrag:

DSGVO Sofortiges Vorgehen bei Datenpanne und Datenklau – Wann Meldepflicht und wie Vorgehen

https://datenschutzbeauftragter-dsgvo.com/dsgvo-meldepflicht-vorgehen-2/

 

Fazit:

Allgemein gilt aber, personenbezogene Daten nach Vorgaben der DSGVO zu schützen, ist immer – besonders aber während der Coronakrise und dem damit oft verbundenen Arbeiten von Zuhause – einzuhalten.

 

Beratung über max2-consulting GmbH:

Max2-Consulting UG bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/