Was muss man datenschutzrechtlich beachten, wenn man aus dem Homeoffice arbeitet?

Unternehmen sind zur Eindämmung der COVID-19-Pandemie angehalten, ihre Mitarbeiter aus dem Home Office arbeiten zu lassen. Die Arbeit aus dem Home Office ist nicht nur eine organisatorische Herausforderung, sondern wirft auch Fragen im Datenschutz auf. 

Egal ob im Büro oder im Home Office - Unternehmen müssen die von ihnen verarbeiteten Daten ausreichend schützen. Welche konkreten Maßnahmen zu treffen sind, schreibt der Datenschutz aber nicht vor. Vielmehr ist jedes Unternehmen angehalten, anhand der verarbeiteten Daten und in Beratung mit seinem Datenschutzbeauftragten selbst angemessene Schutzmaßnahmen zu bestimmen. Wichtige Hinweise bietet das von Unternehmen jeder Größe zu führende Verarbeitungsverzeichnis.

Sind unter den verarbeiteten Daten schutzwürdige Daten - allen voran Gesundheitsdaten -, sind hohe Schutzmaßnahmen anzusetzen. In technischer Hinsicht empfiehlt es sich in diesem Fall, nur über ein Virtual Private Network (VPN) zu arbeiten. Dabei arbeitet ein Mitarbeiter auch im Home Office aus dem hoffentlich gut gesicherten Unternehmensnetzwerk. Das schließt die Gefahr aus, dass die schlecht geschützte heimische Internetverbindung zum Einfallstor für Hacker wird.

Datenschutz im Homeoffice - Die Risiken:

Stellt ein Unternehmen seinen Mitarbeitern keine VPN-Verbindung zur Verfügung, sollte es sie zumindest anhalten, ihre Wlans ausreichend mit WPA2-Passwort zu schützen. Werkseitig eingestellte Passwörter findet man leicht im Internet. Sie bieten deshalb keinen ausreichenden Schutz. Auch ist Unternehmen zu empfehlen, ihren Mitarbeitern eine Liste mit geprüfter Software (z.B. für Videokonferenzen) zur Verfügung zu stellen, die die Arbeit im Home Office erleichtert. Andernfalls werden sich Mitarbeiter selbst geeignete Software suchen. Diese wird nicht immer Datenschutzvorgaben einhalten. 

Rein technische Mittel reichen aber nicht aus, um Mitarbeiter datenschutzkonform im Home Office einzusetzen. Es ist Arbeitgebern außerdem zu empfehlen, mit ihren Mitarbeitern eine Vereinbarung zur Arbeit im Home Office zu schließen. Neben technischen Schutzmaßnahmen, auf die Arbeitgeber Mitarbeiter verpflichten können, sollte man auch praktische Vorgaben für die Arbeit im Home Office machen: Muss der Mitarbeiter allein in einem Zimmer sitzen, wenn er arbeitet? Wie soll er arbeiten, wenn kein separates Zimmer zur Verfügung steht? Und wie werden Schriftstücke entsorgt? Enthalten diese personenbezogene Daten ist der Hausmüll tabu. 

Da die Wohnung eines Mitarbeiters auch dann noch ein rechtlich geschützter Rückzugsort ist, wenn dort gearbeitet wird, sollten sich Arbeitgeber Zutrittsrechte einräumen lassen, z.B. um IT-Ausstattung zu warten oder um die Einhaltung des Datenschutzes zu überprüfen. Natürlich müssen Besuche auf absolut notwendige Fälle reduziert sein und angekündigt werden.

Die rechtlichen Auswirkungen des Home Offices reduzieren sich aber nicht auf das Erfordernis einer Home Office-Vereinbarung. Wie immer sind die von jedem Unternehmen vorzuhaltenden Datenschutzdokumente aktuell zu halten, z.B. das (oben bereits genannte) Verarbeitungsverzeichnis und die Dokumentation der technischen und organisatorischen Maßnahmen. Home Office-relevante Informationen (z.B. die Verwendung eines VPNs oder die Anweisung, in einem separaten Raum zu arbeiten) sind darin zu ergänzen. Auch in der Datenschutz-Schulung von Mitarbeitern sollte das Home Office Berücksichtigung finden.Nachdem die Datenschutzbehörden 2020 nur zurückhaltend Datenschutzverstöße im Home Office verfolgt haben, dürfte sich der Wind gedreht haben. COVID-19 und der damit für viele Unternehmen einhergehende Wechsel ins Home Office sind (leider) kein Novum mehr. Es drohen Bußgelder. Unternehmen, die noch nicht datenschutzrechtlich auf die Arbeit im Home Office reagiert haben, sollten deshalb jetzt damit anfangen.