DSGVO-konformes Arbeiten im Home-Office

Um mögliche Risiken durch persönliche Kontakte zu reduzieren und damit die Verbreitung des Corona-Virus zu verlangsamen, bietet sich das „Home-Office“ als eine geeignete Maßnahme an. Viele Unternehmen erwägen daher, ihren Mitarbeitern b.a.w. einen Heimarbeitsplatz einzurichten. Vor dem Hintergrund der Schließung von Kindergärten und Schulen würde dies zudem vielen Eltern die Organisation der Betreuung ihrer minderjährigen Kinder erleichtern.

Auch bei der Einrichtung eines Homeoffice-Arbeitsplatzes sind datenschutzrechtliche Grundsätze sowohl auf Seiten des Arbeitgebers wie auch durch die Beschäftigten zu beachten. Die wichtigsten Regeln im Überblick:

Aufgaben des Arbeitgebers:

In der Regel sollte die Arbeit im Home-Office nicht am privaten PC, sondern an einer vom Arbeitgeber bereitgestellten IT-Ausstattung erfolgen. Es ist die Pflicht des Arbeitgebers, darauf zu achten, dass diese IT-Ausstattung ein DSGVO-konformes Arbeiten ermöglicht. Hierzu gehören u.a.:

  • Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen.
  • Alle bereitgestellten Speichermedien (z.B. Festplatten im Desktop oder Notebook, USB-Sticks) sollten verschlüsselt werden.
  • Zugriffe auf das zentrale IT-System des Arbeitgebers sollten nach Möglichkeit ausschließlich über ein VPN erfolgen.
  • Die elektronische Datenübermittlung (also z.B. E-Mail, Zugriffe auf zentrale Daten) sollte nach dem Stand der Technik verschlüsselt sein.
  • Es sind verbindliche Regeln zum Umgang und Vernichtung von sensiblen Unterlagen sowie Ausdrucken zu definieren. Unter Umständen sollte der Arbeitgeber den Beschäftigten auch im Homeoffice Shredder oder Datentonnen zur Verfügung stellen.

Darauf müssen Beschäftigte im Homeoffice achten:

Für eine Arbeit im Home-Office gelten auf Seiten der Beschäftigten grundsätzlich die gleichen datenschutzrechtlichen Regeln wie bei einer Tätigkeit im Büro:

  • Werden personenbezogene Daten im Homeoffice verarbeitet, ist darauf zu achten, dass die Daten nicht von Dritten eingesehen werden können. Sensible Unterlagen sollten für Dritte – und das sind in diesem Zusammenhang auch Familienmitglieder und private Besucher – nicht frei zugänglich ausgebreitet werden.
  • vertrauliche Telefonate sollten nicht in Gegenwart Dritter geführt werden.
  • Personenbezogene Daten sollten nach Möglichkeit in einem separaten, abschließbaren Raum verarbeitet werden. Ist dies nicht möglich, sollte zumindest die Aufbewahrung dieser Daten in einem abschließbaren Schrank erfolgen.
  • Für die vom Arbeitgeber für die Tätigkeit im Home-Office zur Verfügung gestellte IT-Ausstattung gelten die betrieblichen Regelungen zur privaten Nutzung unverändert fort. Der Zugang zum PC bzw. Notebook sollte gesperrt werden, wenn – auch kurzzeitig – nicht an ihm gearbeitet wird.
  • Die Übertragung von Daten muss ausschließlich über gesicherte Transportwege erfolgen.
  • Berufliche E-Mails dürfen nicht zur Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden.
  • Auch beim Arbeiten im Home-Office müssen die Daten regelmäßig gesichert werden. Falls möglich sollte dies durch Hochladen auf ein zentrales IT-Systems des Unternehmens erfolgen. Die Daten dürfen nicht auf privaten USB-Sticks gespeichert werden.
  • Die im Unternehmen geltenden Sicherungs- und Löschregeln sind auch im Home-Office zu beachten.
  • Das Vernichten von Unterlagen muss datenschutzgerecht erfolgen.

Home-Office-Richtlinie

Unabhängig von aufgrund der drohenden Ausbreitung des Corona-Virus eingeleiteten Maßnahmen bietet es sich an, die Arbeit im Home-Office durch eine entsprechende betriebliche Vereinbarung („Home-Office-Richtlinie“) grundsätzlich zu regeln. Bei der Ausarbeitung einer solchen Richtlinie sollte der Datenschutzbeauftragte einbezogen werden. Ist im Unternehmen ein Betriebsrat vorhanden, so ist auch dieser einzubeziehen.