Motivation des Unternehmens und Nutzen für den Mitarbeiter
Der allgemeine Trend geht Richtung Flexibilität (und Freiheiten?) bei der Ausgestaltung von Arbeitsplätzen. Viele Unternehmen möchten den Beschäftigten als „guter Arbeitgeber“, die Möglichkeit geben, sich einen Arbeitsplatz in der eigenen Wohnung („Home-Office“) zur besseren Vereinbarkeit von Familie und Beruf einzurichten. Gleichzeitig bleibt das Unternehmen voll für die in der Privatwohnung verarbeiteten personenbezogenen Daten, einschließlich ihrer Sicherheit, verantwortlich. Laut mehreren Studien kann das Unternehmen und der Mitarbeiter von einem Home-Office enorm profitieren. Sinkende Bürokosten, effizienteres Zeitmanagement und weniger Krankentage sind oftmals die Folge. Dabei darf der Datenschutz und die Datensicherheit aber nicht außer Acht gelassen werden.
Zielsetzung der Home-Office Richtlinie
Dadurch, dass der private Arbeitsplatz nicht die gleichen Sicherheitsstandards wie das Unternehmen gewährleisten kann, besteht ein erhöhtes Missbrauchspotenzial durch Dritte, das weitestgehend eingrenzt werden soll. So besteht beispielsweise ein erhöhtes Risiko, dass beim Transport der Daten zwischen dem Arbeitsplatz und Wohnung oder am Heimarbeitsplatz selbst, Unbefugte Kenntnis von schützenswerten Daten erlangen können. Dieses Risiko soll mit verbindlichen Handlungsanweisungen des Unternehmens im Umgang mit personenbezogenen Daten reduziert werden.
Mit der Unternehmensrichtlinie sollen daher einheitliche Standards für den Datenschutz im Home-Office geschaffen werden. Durch die Einhaltung der definierten Standards kommt das Unternehmen zudem seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen.
Verbindliche technische und organisatorische Maßnahmen in einer Home-Office Richtlinie sind Voraussetzung für den sicheren Austausch von personenbezogenen Daten und die Möglichkeit im Home-Office zu arbeiten.
In den Vorgaben von Auftraggebern bei einer Zusammenarbeit im Rahmen einer Auftragsverarbeitung nach Art. 28 der Datenschutz-Grundverordnung (DS-GVO) ergibt sich ebenfalls die Notwendigkeit einer verbindlichen Regelung, da der Auftragsverarbeiter mit seinen Dienstleistungen (z.B. 24/7-Support durch Softwareunternehmen) gegenüber seinem Kunden nachweispflichtig ist, wie mit Arbeitsplätzen bei Mitarbeitern zuhause umgegangen wird.
Konkrete Umsetzung von Home-Office
Nach unseren Erfahrungen in der Betreuung von z.B. Softwareunternehmen sind die technischen Maßnahmen oftmals ausreichend berücksichtigt wie beispielsweise:
-
- ausschließliche Nutzung der vom Unternehmen zur Verfügung gestellten betrieblichen Geräte und Software-Tools
- Zugriff auf das Unternehmensnetzwerk über eine gesicherte Verbindung
- Häuslicher Router ist mit höchster Sicherheitsstufe konfiguriert
- Beachtung der Vorgaben an ein sicheres Passwort, das sich aus einer Passwort-Richtlinie ergibt
- …
Organisatorische Maßnahmen hingegen werden schlichtweg „vergessen“ bzw. nicht als Regelungsbedarf erkannt. Dabei gilt es auch dazu einiges zu beachten wie beispielsweise:
-
- Sichere Aufbewahrung des Geräts nach Beendigung der Arbeit (z.B. abgeschlossener Schrank)
- Sperren des Geräts bei kurzzeitigem Verlassen des Heimarbeitsplatzes
- Bei längeren Abwesenheiten oder am Ende des Arbeitstages das Gerät herunterfahren
- Im privaten Gebrauch befindliche und genutzte Sprachassistenzsysteme (z.B. ALEXA etc.) sollten im Home-Office entfernt werden und dürfen nicht genutzt werden
- Unternehmensdaten dürfen nicht auf eigenen (privaten) Medien gespeichert werden
- …
Wichtiger Hinweis: Die in der DS-GVO hinterlegte Rechenschaftspflicht für alle ergriffenen Maßnahmen erlangen erst dann Verbindlichkeit, wenn sie dokumentiert sind!
(Oftmals erhalten wir in unserer Beratungspraxis den Hinweis, dass diese Prozesse bereits gelebt werden, aber man noch keine Gelegenheit/Zeit fand Entsprechendes zu dokumentieren)
Verantwortung und Anforderungen an die Mitarbeiter
Für die Einhaltung der Vorgaben dieser Unternehmensrichtlinie sind die Mitarbeiter verantwortlich, die über einen Home-Office Arbeitsplatz verfügen. Alle Mitarbeiter des Unternehmens, welche ihre Arbeitsleistung ganz oder teilweise im Home-Office erbringen, haben auf die Einhaltung dieser Unternehmensrichtlinie zu achten und auf diese Weise dazu beizutragen, dass auch am Arbeitsplatz in der Privatwohnung sorgsam mit personenbezogenen Unternehmensdaten umgegangen wird.
Das Unternehmen kann sich der Verantwortlichkeit nicht entziehen und bleibt gegenüber der betroffenen Person der Verantwortliche auch im datenschutzrechtlichen Sinne. Der einzelne Mitarbeiter handelt lediglich für das Unternehmen und hat dessen Vorgaben zu beachten.
Daher ist zusätzlich zu den Regelungen aus der Home-Office Richtlinie darauf zu achten, dass alle Mitarbeiter des Unternehmens zur Vertraulichkeit verpflichtet sind und damit einer Verschwiegenheitspflicht unterliegen. Die von den Mitarbeitern im Home-Office verarbeiteten personenbezogenen Daten sind nicht für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder Unbefugten zugänglich zu machen.
Fazit
Nutzung eines Home-Office Arbeitsplatzes? Ja, gerne! Solange die Anforderungen an Datenschutz und Datensicherheit berücksichtigt und verbindliche Vorgaben eingehalten werden.
(Dieser Beitrag entspricht unseren Erfahrungen in der Betreuung von Softwareunternehmen und sozialen Einrichtungen und stellt keine Rechtsberatung dar. Wenn Sie zu diesem Thema Beratung wünschen freuen wir uns über Ihre Kontaktaufnahme und helfen gerne weiter)
von Thorsten Jordan, zu letzt aktualisiert am 07.04.2020
Bildquelle: Bild von edar auf pixabay
Hilfreiche Links:
Stellungnahme des Beauftragten für den Datenschutz de EKD zu Home Office
Datenschutzwegweiser Telearbeit und Mobiles Arbeiten vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Sonderinformation zum mobilen Arbeiten während der Corona-Pandemie vom Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)