Seit der Corona-Pandemie arbeiten viele Besch\u00e4ftigte im Homeoffice. Bei der Verarbeitung von personenbezogenen Daten im Homeoffice erh\u00f6ht sich das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Denn der Arbeitgeber hat nur beschr\u00e4nkte Kontrollrechte und Einflussm\u00f6glichkeiten.<\/p>\n
I. Verantwortlichkeit<\/strong><\/p>\n Auch wenn die Mitarbeiter im Homeoffice t\u00e4tig sind, so bleibt der Arbeitgeber f\u00fcr die Datenverarbeitung gem\u00e4\u00df Art. 4 Nr. 7 DSGVO verantwortlich. Denn der Arbeitgeber bestimmt Zweck und Mittel der Verarbeitung. Das hat zur Folge, dass Schadensersatzanspr\u00fcche und Bu\u00dfgelder gegen\u00fcber dem Arbeitgeber geltend gemacht werden, wenn der Datenschutz im Homeoffice nicht ausreichend umgesetzt wurde.<\/p>\n Als Verantwortlicher hat der Arbeitgeber daher nach Art. 24 DSGVO daf\u00fcr Sorge zu tragen, dass technische und organisatorische Ma\u00dfnahmen umgesetzt werden, um sicherzustellen, dass personenbezogene Daten auch im Homeoffice datenschutzkonform verarbeitet werden.<\/p>\n Das Ziel der technischen und organisatorischen Ma\u00dfnahmen ist es die Risiken f\u00fcr die Schutzziele der DSGVO auf ein Minimum zu minimieren. Bei der Wahl geeigneter Ma\u00dfnahmen sind Art, Umfang, Umst\u00e4nde, Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Folgen einer Verletzung zu ber\u00fccksichtigen.<\/p>\n II. Schutzziele der DSGVO<\/strong><\/p>\n Um geeignete Ma\u00dfnahmen treffen zu k\u00f6nnen, muss man sich zun\u00e4chst dar\u00fcber im Klaren sein, was gesch\u00fctzt werden soll.<\/p>\n Im Homeoffice sollte ein besonderes Augenmerk auf das Schutzziel der Vertraulichkeit gelegt werden. Vertraulichkeit bedeutet, dass sch\u00fctzenswerte Informationen vor unbefugter Preisgabe gesch\u00fctzt werden m\u00fcssen und ausschlie\u00dflich Befugten in der zul\u00e4ssigen Weise zug\u00e4nglich gemacht werden d\u00fcrfen.<\/p>\n Aufgrund der eingeschr\u00e4nkten Kontrollm\u00f6glichkeit im Homeoffice ist hier die Gefahr besonders gro\u00df, dass das Schutzziel der Vertraulichkeit verletzt wird. Denn es besteht das Risiko, dass Familienangeh\u00f6rige, Mitbewohner oder Besucher Zugang zu personenbezogene Daten oder vertraulichen Dokumenten erhalten. Ein weiteres Risiko im Homeoffice ist die Entsorgung von Unterlagen. Aufgrund von Unkenntnis oder Nachl\u00e4ssigkeit kommt es h\u00e4ufig vor, dass vertrauliche Daten (z.B. Bewerbungsunterlagen, Vertr\u00e4ge, Namen mit Telefonnummern) im Hausm\u00fcll landen.<\/p>\n Das Schutzziel der Integrit\u00e4t fordert, dass personenbezogene Daten nicht verf\u00e4lscht werden d\u00fcrfen. Auch hier besteht das Risiko, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten.<\/p>\n Die Verf\u00fcgbarkeit von personenbezogene Daten ist ein Schutzziel, das im engen Zusammenhang mit der Vertraulichkeit und der Integrit\u00e4t steht. Danach m\u00fcssen Daten zur Verf\u00fcgung stehen, wenn sie gebraucht werden. Eine Verletzung dieses Schutzziels liegt vor, wenn z.B. Daten durch unbefugte gel\u00f6scht werden oder wenn Datentr\u00e4ger gestohlen oder verloren gehen.<\/p>\n III. Ma\u00dfnahmen zur Gew\u00e4hrleistung der Schutzziele<\/strong><\/p>\n 1. Allgemein<\/strong><\/p>\n Es gibt keine universellen Vorgaben welche Vorgaben umzusetzen sind, um die oben genannten Schutzziele zu gew\u00e4hrleisten. Denn es kommt generell darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden und welche Risiken f\u00fcr Betroffene bestehen (Kunden, Mitarbeiter, Dienstleister).<\/p>\n Daher werden personenbezogenen Daten und Unternehmensdaten in Stufen – ausgehend von ihrer Schutzbed\u00fcrftigkeit – eingeteilt.<\/p>\n Schutzbedarfskategorie: normales Risiko<\/strong><\/p>\n Unter diese Kategorie fallen Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verh\u00e4ltnissen nicht- oder nicht wesentlich beeintr\u00e4chtigen kann. Dazu geh\u00f6ren z.B. Interne Daten, auf die innerhalb eines<\/p>\n Unternehmens viele Mitarbeiter Zugriff oder \u00f6ffentliche Quellen (Telefon- und Adressb\u00fccher) haben<\/p>\n Schutzbedarfskategorie: hohes Risiko<\/strong><\/p>\n Dazu geh\u00f6ren Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verh\u00e4ltnissen erheblich beeintr\u00e4chtigen kann. Folgende Daten stellen ein hohes Risiko bei der Verarbeitung dar:<\/p>\n \u2022 Besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO (Gesundheit, Gewerkschaftszugeh\u00f6rigkeit, Religion, biometrische Daten\u2026) Schutzbedarfskategorie: sehr hohes Risiko<\/strong><\/p>\n Alle Daten, deren Bekanntwerden den Betroffenen in seiner Existenz gef\u00e4hrden kann. Gefahr des Ruins, der Beeintr\u00e4chtigung der k\u00f6rperlichen Unversehrtheit (Leib- und Leben) oder der pers\u00f6nlichen Freiheit. Das sind insbesondere die nachfolgenden Daten: Je h\u00f6her das Risiko, desto h\u00f6her sind die Anforderungen an die Ma\u00dfnahmen. Sollten Daten verarbeitet werden, die ein hohes oder sehr hohes Risiko f\u00fcr die Betroffenen darstellen, so muss von der Arbeit im Homeoffice in der Regel abgesehen werden.<\/p>\n 2. Konkrete Ma\u00dfnahmen<\/strong><\/p>\n Die nachfolgenden Ma\u00dfnahmen sind empfehlenswert. Dabei ist jedoch darauf zu achten, dass die genannten Ma\u00dfnahmen nicht abschlie\u00dfend sind. Zudem kommt es bei der Auswahl von geeigneten Ma\u00dfnahmen immer auf den konkreten Einzelfall an.<\/p>\n a) Organisatorische Ma\u00dfnahmen<\/p>\n Unter organisatorische Ma\u00dfnahmen versteht man die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensanweisungen f\u00fcr Mitarbeiter.<\/p>\n Per Organisationsanweisungen sollten die nachfolgenden Verbote ausgesprochen werden:<\/p>\n -> Keine Mitteilung oder sonstige Kenntnisnahme von Passw\u00f6rtern durch Dritte b) Technische Ma\u00dfnahmen<\/p>\n Die technischen Ma\u00dfnahmen bezeichnen dabei jeden Schutz f\u00fcr die Sicherheit der Datenverarbeitung, der durch physische Ma\u00dfnahmen umgesetzt werden kann.<\/p>\n Einer der wichtigsten technischen Ma\u00dfnahmen, die der verantwortliche Arbeitgeber ergreifen kann, ist die Bereitstellung der Hard- und Software. Denn die Nutzung privater Ger\u00e4te bringt eine Vielzahl an Gefahren mit sich.<\/p>\n Zum einen besteht das Risiko der Vermischung von privaten und dienstlichen Daten. Dies kann dann z.B. zu Problemen f\u00fchren, wenn das Unternehmen auf seine Unternehmensdaten zugreifen will oder die L\u00f6schvorgaben der DSGVO umsetzen will. Wegen der privaten Daten wird dazu in der Regel n\u00e4mlich die freiwillige Einwilligung des Mitarbeiters notwendig sein.<\/p>\n Greifen Mitarbeiter mit ihren privaten Ger\u00e4ten per VPN \u2013 Tunnel auf das Unternehmensnetzwerk zu, so besteht die M\u00f6glichkeit, dass auf diesem Weg Schadsoftware von dem privaten Ger\u00e4t auf das Unternehmensnetzwerk gelangt.<\/p>\n Des Weiteren sind die folgenden Ma\u00dfnahmen zu ergreifen:<\/p>\n -> Zugang zu personenbezogenen Daten nur mit komplexem Passwort oder vergleichbarer Sicherung PIN (ggf. Zwei-Faktor-Authentifizierung) c) R\u00e4umliche Sicherheit<\/p>\n Auch die r\u00e4umliche Sicherheit muss im Homeoffice beachtet werden. Ger\u00e4te und Daten sind sicher aufzubewahren und sorgf\u00e4ltig zu nutzen. Dazu sollten sie, wenn m\u00f6glich, in einem abschlie\u00dfbaren Zimmer aufbewahrt werden. Sollte das nicht m\u00f6glich sein ist, so sind die Daten und Ger\u00e4te zumindest in einem verschlossenen Schrank aufzubewahren. Bei Verlassen des Raums sollte der Bildschirm des PCs gesperrt werden.<\/p>\n IV. Kontrollrechte<\/strong><\/p>\n Damit die getroffenen Ma\u00dfnahmen auch eingehalten werden k\u00f6nnen, sollte sich der Arbeitgeber vertraglich das Recht einr\u00e4umen lassen, die Wohnung des Besch\u00e4ftigten kontrollieren zu d\u00fcrfen. Das Kontrollrecht kann entweder direkt im Arbeitsvertrag oder individuell, einwilligungsbasiert geregelt werden.<\/p>\n V. Vereinbarung<\/strong><\/p>\n Die getroffenen Regelungen und Ma\u00dfnahmen m\u00fcssen in einer Homeoffice-Vereinbarung festgelegt werden. Gerne k\u00f6nnen Sie dazu unser Muster verwenden auf myGindat im Datenschutz-Gesamtpaket unter 19.08.<\/p>\n <\/p>\n Max Macht Seit der Corona-Pandemie arbeiten viele Besch\u00e4ftigte im Homeoffice. Bei der Verarbeitung von personenbezogenen Daten im Homeoffice erh\u00f6ht sich das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Denn der Arbeitgeber hat nur beschr\u00e4nkte Kontrollrechte und Einflussm\u00f6glichkeiten. I. Verantwortlichkeit Auch wenn die Mitarbeiter im Homeoffice t\u00e4tig sind, so bleibt der Arbeitgeber f\u00fcr die Datenverarbeitung gem\u00e4\u00df Art. 4 … <\/p>\n
\n\u2022 Einkommen,
\n\u2022 Sozialleistungen,
\n\u2022 Strafen
\n\u2022 Videoaufzeichnungen
\n\u2022 Steuer-ID\/ Krankenversicherungsnummer<\/p>\n
\n\u2022 Adresse im Zeugenschutzprogramm
\n\u2022 HIV-Infektion
\n\u2022 Erhebliche strafrechtliche Verfehlungen<\/p>\n
\n-> Kein Zugriff von Dritten auf betrieblich genutzte Software und Ger\u00e4te
\n-> Keine Weiterleitung beruflicher E-Mails auf ein privates Postfach
\n-> Keine sonstige \u00dcberleitung von dienstlichen Daten in den privaten Bereich
\n-> Keine Vernichtung von Dokumenten im Hausm\u00fcll
\n-> Keine Nutzung von USB-Sticks
\n-> Keine Anbindung an private Drucker<\/p>\n
\n-> Die Verbindung zum Firmennetzwerk darf ausschlie\u00dflich \u00fcber einen VPN-Tunnel erfolgen
\n-> WLAN \u2013 Zug\u00e4nge m\u00fcssen mit einem sicheren Passwort abgesichert werden
\n-> Die vom Arbeitgeber bereitgestellten Ger\u00e4te sollten zentral administriert und einer einheitlichen Policy unterworfen werden.<\/p>\n
\nVolljurist<\/p>\n","protected":false},"excerpt":{"rendered":"