Momentan sind sehr unruhige Zeiten aufgrund des Corona-Virus entstanden. Gerade seitdem fortlaufende Entscheidungen auf Bundes-, Landesebene aber auch auf Kommunalebene den normalen Alltag/Arbeitsalltag wie man ihn kennt einschränken, stehen auch viele Arbeitgeber und Arbeitnehmer vor neuen Herausforderungen.
Je nach Branche sind die Tätigkeiten und der normale Arbeitsalltag entweder komplett lahmgelegt, weil die arbeitsnotwendige Infrastruktur nur an der Arbeitsstelle/ am Arbeitsort verrichtet werden kann oder Branchen wie Pflege und Medizin sind an der Belastungsgrenze angekommen.
Ist es Unternehmen und Arbeitnehmern allerdings möglich, müssen viele ihre Aufgaben im HomeOffice (Modus) erledigen. Dies kann bereits zusätzliche Belastungen und Aufwendungen bedeuten, wenn ein funktionierendes HomeOffice erst kurzerhand noch eingerichtet werden muss. Doch auch, sofern ein HomeOffice bereits eingerichtet ist, oder regelmäßig auf diese Weise gearbeitet wird, müssen viele Dinge beachtet werden.
Dazu gehören auch datenschutzrechtliche Anforderungen und Regelungen die während der Nutzung von HomeOffice seitens des Arbeitgebers aber auch des Arbeitnehmers beachtet und eingehalten werden müssen.
Pflichten des Arbeitgebers:
- Angefangen mit der Einrichtung des HomeOffice Platzes muss den Arbeitnehmern eine solche Hard-, und Softwareausstattung zur Verfügung gestellt werden, welche ein datenschutzkonformes arbeiten ermöglicht. Dazu gehören entsprechend verschlüsselte USB-Sticks, Notebooks, Tablets etc.
- Bei der Kommunikation via Email sollte eine End-to-End Verschlüsselung gewählt werden um bestmöglichen Schutz zu bieten.
- Sofern auf das interne Betriebssystem zugegriffen werden muss, sollte neben einer Zugriffssicherung durch Kennwörter, ein hinreichend überprüfter VPN-Client genutzt werden, damit unbefugter Zugriff auf das Betriebssystem und allen darauf befindlichen Informationen ausgeschlossen werden kann.
- Zudem sollten Arbeitnehmer darüber informiert werden, wie die am Heimarbeitsplatz ausgedruckten Dokumente, aus welchen personenbezogene Daten hervorgehen, sicher aufbewahrt werden oder datenschutzkonform vernichtet werden (Shreddern, Schwärzen, Datentonne).
- Insgesamt ist daher eine entsprechende Richtlinie für das Arbeiten im HomeOffice empfehlenswert und sinnvoll, da so einheitliche Vorgaben an die Arbeitnehmer vermittelt werden können und die Richtlinie eine geeignete organisatorische Maßnahme im Sinne des Art.32 DSGVO darstellen dürfte um die Sicherheit der Datenverarbeitung zu gewährleisten.
Wir konnten unsere Mandanten bei der Erstellung derartiger Richtlinien bereits vermehrt beraten.
Daneben müssen ebenso die jeweiligen Arbeitnehmer im HomeOffice eine datenschutzkonforme Verarbeitung personenbezogener Daten sicherstellen, da sie je nach konkreter Verarbeitungstätigkeit nicht nur weisungsgebunden handeln können, sondern auch in eigener datenschutzrechtlicher Verantwortung.
Pflichten des Arbeitnehmers:
- Zunächst sollten Arbeitnehmer überprüfen, ob ihnen durch ihren Arbeitgeber eine datenschutzadäquate IT-Infrastruktur eingerichtet und übergeben wurde, bevor sie mit ihrer Arbeit und der Verarbeitung von personenbezogenen Daten beginnen.
Grundsätzlich – das gilt natürlich auch am Arbeitsplatz im Unternehmen – sollten Arbeitnehmer auf eine Clean-Desk-Policy achten, d.h. bei Verlassen ihres Arbeitsplatzes den Zugriff auf die verwendeten Geräte wieder zu beschränken und Dritten so, aber auch durch Wegräumen/Versorgen etwaiger Dokumente, die Einsicht und Kenntnisnahme der jeweiligen Informationen durch Dritte zu verhindern. - Es sollte auch während des HomeOffice nicht der eigene Laptop, das eigene Tablet und auch nicht der eigene USB-Stick verwendet werden, da die Arbeitgeber wie oben dargestellt sichere IT-Infrastruktur zur Verfügung stellen sollten, für deren Datenschutz-Konformität auch nur diese einzustehen haben, sodass es ein unnötiges (Haftungs-)Risiko darstellen würde, wenn die Arbeitnehmer aus welchen Gründen auch immer ihre eigenen Geräte verwenden.
- Daneben sollten telefonische Kommunikationen oder Besprechungen, in welchen es um Daten oder Informationen natürlicher Personen geht, diskret abgehalten werden, um die Geheimhaltung, sei es auch den eigenen Familienangehörigen gegenüber zu gewährleisten. Denn andererseits besteht die Gefahr, dass Informationen unwissentlich und ggf. ohne böse Absicht weitergetragen werden und eine Verbreitung nicht mehr aufzuhalten sein dürfte. Dies kann im schlimmsten Fall zu schadensersatzpflichtigen Sanktionen führen, wobei selbstredend auch die Reputation des Arbeitnehmers und Arbeitgebers Schaden nimmt.
- Bei der Versendung von Emails, sollte neben der angesprochenen End-to-End-Verschlüsselung darauf geachtet werden, dass die Emails keinenfalls an die private Email-Adresse, sondern trotz des HomeOffice an die geschäftliche Email-Adresse geschickt werden. Dies sollte allerdings zumindest technisch gesehen kein großes Problem darstellen.
- Sofern es die räumlichen Kapazitäten zulassen, sollte ein Heimarbeitsplatz eingerichtet werden, zu welchem nicht jeder ungehinderten Zutritt hat, sei es durch ein separates Büro oder durch abschließbare Schränke o.Ä.
- Falls der Arbeitgeber auch für eine datenschutzkonforme Vernichtung von Dokumenten etc. gesorgt hat, sollten Arbeitgeber dies auch zwingend wahrnehmen und keine eigene Entsorgung im Hausmüll vornehmen.
Die bereits erwähnte HomeOffice-Richtlinie sollte von allen Beteiligten aufmerksam zur Kenntnis genommen und umgesetzt werden. Bestehen dennoch Fragen oder Unsicherheiten, ist den Arbeitnehmern zu raten sich an ihren Arbeitgeber/ Vorgesetzten zu wenden und bestenfalls Abklärungen mit Ihren Datenschutzbeauftragten zu treffen.