Arbeit im Homeoffice: Datenschutzrechtlich ein Fluch?

Foto: Von AllwördenBenjamin von Allwörden, Rechtsanwalt || Foto: Von Allwörden

Von Benjamin von Allwörden, Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht

Für Arbeitgeber und Arbeitnehmer ist die Arbeit aus dem Homeoffice oft eine datenschutzrechtliche Herausforderung. Kaum ein Unternehmen kommt ohne die Verarbeitung personenbezogener Daten aus, die der Gesetzgeber als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ definiert. Welche Grundlagen des Homeoffice man kennen sollte:

Arbeitgeber in der (alleinigen) Verantwortung

Arbeitgeber sind aus rechtlichen Gründen darauf angewiesen, dass Arbeitnehmer einer Tätigkeit aus dem Homeoffice zustimmen. Die Bereitschaft der Arbeitnehmer, in den eigenen vier Wänden zu arbeiten, ändert indes nichts an der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers. Der Arbeitgeber entscheidet über „Zwecke und Mittel“ der Verarbeitung personenbezogener Daten und ist folglich „Verantwortlicher“ im Sinne des Art. 4 der Datenschutzgrundverordnung (DSGVO). Daraus folgt eine alleinige Haftung des Arbeitgebers für Datenschutzverstöße im Außenverhältnis gegenüber den Datenschutzaufsichtsbehörden einerseits (es drohen Bußgelder) und gegenüber den von der Datenverarbeitung betroffenen Personen andererseits (dort drohen Unterlassungs- und Schadenersatzforderungen). Nur im Innenverhältnis können Arbeitgeber unter Umständen und in Abhängigkeit vom Verschuldensgrad des Arbeitnehmers Regress verlangen. Aus der Verantwortung des Arbeitgebers folgt die datenschutzrechtliche Verpflichtung, geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu treffen.

Anzeige

Technik und Organisation

Aus technischer Sicht gilt ganz klar: Der Zugang Dritter zu den Daten (etwa durch „Mithören“ oder „Einsehen“) muss durch technische Sicherheitsmechanismen verhindert werden.

Organisatorische Maßnahmen werden im Idealfall über eine Homeoffice-Richtlinie des Arbeitgebers (als Zusatz zum Arbeitsvertrag) oder, wenn ein Betriebsrat besteht, über eine Betriebsvereinbarung abgebildet. Damit können Verhaltenspflichten der Arbeitnehmer konkretisiert werden. Es sollten unter anderem Vorgaben zu Endgeräten, Sicherheitsmaßnahmen und zum Verhalten bei Datenschutzvorfällen enthalten sein. Durch eine möglichst ausdifferenzierte Homeoffice-Richtlinie (beziehungsweise eine Betriebsvereinbarung) haben Arbeitgeber deutlich erhöhte Aussichten, einer Haftung im Außenverhältnis zu „entkommen“ und können zugleich ihre Arbeitnehmer für die datenschutzrechtlichen Gefahren im Homeoffice sensibilisieren.

Telearbeit oder BYOD?

Begrifflich kann zwischen Telearbeit auf Endgeräten des Arbeitgebers und Arbeit unter Verwendung eigener Geräte des Arbeitnehmers (BYOD = bring your own devices) unterschieden werden. Die Bereitstellung von Hardware durch den Arbeitgeber ist aus datenschutzrechtlicher Sicht immer vorzugswürdig. Denn bei der Nutzung privater Endgeräte bestehen nur sehr eingeschränkte Möglichkeiten eines Arbeitgebers, die technische Arbeitsumgebung anzupassen und Einfluss auf die Datenverarbeitung zu nehmen. Lässt sich die Nutzung privater Endgeräte nicht vermeiden, empfehlen die meisten Aufsichtsbehörden der Länder die Einrichtung von Remote-Verbindungen auf Terminalservern unter Deaktivierung sämtlicher Zwischenspeicherungen auf dem privaten Endgerät.

Anzeige

Virtual Meetings

Videokonferenzen sind aus der Geschäftswelt nicht mehr wegzudenken. Doch unter welchen Voraussetzungen genügen Sie den zahlreichen Anforderungen des Datenschutzrechts? Bei der Wahl eines Dienstleisters sollte – kurz gesagt – darauf geachtet werden, dass die Datenverarbeitungen den Anwendungsbereich der DSGVO nicht verlassen. Von Anbietern, deren Server außerhalb der Europäischen Union liegen, ist folglich eher abzuraten. Zu achten ist auf eine hinreichende Verschlüsselung und die Notwendigkeit einer Registrierung. Gegebenenfalls – je nach technischem Hintergrund – ist ein Auftragsverarbeitungsvertrag mit dem Anbieter zu schließen. Idealerweise wird eine Software für Videokonferenzen in das unternehmenseigene Netz implementiert, um bestmögliche Kontrolle über die Verarbeitung zu erlangen.

>> Fragen an den Autor?
bvallwoerden@va-ra.com

π Web: https://www.business-people-
magazin.de/business/dienstleistung/
durchstarten-im-trafohaus-27921/