Datenschutz und IT-Sicherheit im Homeoffice

Ein Recht auf Homeoffice gibt es zwar grundsätzlich nicht – in vielen Unternehmen hat COVID-19 aber jetzt Fakten geschaffen und viele Arbeitnehmerinnen und Arbeitnehmer in das (Zwangs-)Homeoffice versetzt. Viele Unternehmen, die ihre Mitarbeiter auf die Schnelle und nur provisorisch eingerichtet ins Homeoffice geschickt haben, müssen das Pferd nun von hinten aufzäumen und sicherstellen, dass sie gesetzliche Anforderungen erfüllen. Auch und insbesondere in der Corona-Krise dürfen Unternehmen nicht den Schutz personenbezogener Daten, die Datensicherheit, den Schutz von Geschäftsgeheimnissen und die unternehmenseigene IT-Infrastruktur aus dem Blick verlieren. Daher geht es im Folgenden um:

• die datenschutzrechtlichen Rahmenbedingungen,
• Datensicherheit durch technisch-organisatorische Maßnahmen,
• das Thema „Bring your own Device“,
• die Zulässigkeit von Collaboration Tools und
• zusammengefasst die akuten „To Do’s“ der Unternehmen in Form einer Checkliste.

Datenschutzrechtliche Vorgaben fürs Homeoffice

Ausdrückliche gesetzliche Regelungen extra für das Homeoffice oder mobiles Arbeiten – also immer, wenn der Mitarbeiter nicht im Büro, sondern an einem selbst eingerichteten Arbeitsplatz arbeitet – existieren in der Datenschutzgrundverordnung (DSGVO) oder im Bundesdatenschutzgesetz (BDSG-neu) nicht.

EXKURS: Weitere Regelungen gelten es aber bei sog. „Telearbeitsplätzen“ i.S.d. § 2 Abs. 7 Arbeitsstättenverordnung (ArbStättVO), d.h. wenn es sich beim Arbeitsplatz zu Hause um „einen vom Arbeitgeber fest eingerichteten Bildschirmarbeitsplatz im Privatbereich der Beschäftigten, für den der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat“ handelt. Dann sind zwingend die weiteren Vorgaben der ArbStättV, z.B.  zur vertraglichen Vereinbarung oder zu den ergonomischen Anforderungen zum Schutz der Gesundheit der Beschäftigten zu beachten.

Im Home Office wie auch bei der Telearbeit, sind neben den Vorschriften des Arbeitsrechts, z.B. zur täglichen Höchstarbeitszeit, zu Pausen und Ruhezeiten sowie zur Aufzeichnung der Arbeitszeit, auch datenschutzrechtliche Vorgaben einzuhalten: Der Arbeitgeber als datenschutzrechtlich Verantwortlicher bleibt schließlich– genau wie bei der Arbeit im Büro –  verpflichtet, nach den allgemeinen Grundsätzen für die Einhaltung des Datenschutzes zu sorgen.

Datensicherheit: Geeignete technische und organisatorische Maßnahmen (sog. TOMs)

Besonderes Augenmerk ist daher auf die Datensicherheit zu legen. Insbesondere müssen Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs der Umstände und der Zwecke der Datenverarbeitung geeignete technische und organisatorische Maßnahmen ergreifen, die auch die jeweilige Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen berücksichtigen. Mit anderen Worten: die Maßnahmen müssen Datensicherheit gewährleisten, wobei bei der Auswahl das Schutzniveau nach Stand der Technik und das Risiko für die Betroffenen in Ausgleich zu bringen sind.

Welche konkreten TOMs zu ergreifen sind, ist also immer im Einzelfall zu ermitteln und hängt unter anderem davon ab, wer was für Daten in welchem Umfang verarbeitet, welche Risiken für die Betroffenen drohen und mit welchem Aufwand welche Möglichkeiten der Sicherung bestehen. Mit Blick auf der Arbeit von zu Hause empfehlen wir insbesondere Maßnahmen zur

• Wahrung der üblichen Arbeitsdisziplin, insbesondere Ordnung, sichere Aufbewahrung von Arbeitsmaterialien, Vorgaben zum effektiven Passwortschutz und gewissenhafte Entsorgung von Datenträgern unter Einhaltung der sonst im Betrieb üblichen Schutzstufen und –klassen;
• Gewährleistung der technischen Sicherheit, insbesondere die Sicherheit der eingesetzten Endgeräte und Einsatz verschlüsselter Schnittstellen;
• Einsatz von Geräten, insbesondere klare Regelungen zu privater Nutzung von betrieblicher IT bzw. betrieblicher Nutzung privater Geräte (siehe dazu unten zu BYOD);
• Schutz der IT-Infrastruktur, insbesondere durch eine besonders gesicherte Verbindung (z.B. VPN);
• Aktualisierung von Virenschutzprogrammen und eingesetzter Software;
• Sensibilisierung und ggf. weitere Schulung von Mitarbeitern;
• Klares Prozedere bei Datenpannen und IT-Problemen; siehe auch: FAQ zu Meldepflichten
• Einräumung von Kontrollrechten des Arbeitgebers sowie ggf. des Datenschutzbeauftragten;
• Vorgabe eines eindeutigen Zugriffs- und Berechtigungssystem.

Die Liste ist sicher ein guter Start, aber nicht abschließend und sollte unbedingt auf die konkreten Gegebenheiten des jeweiligen Unternehmens angepasst werden. Insbesondere bei der Verarbeitung sensitiver Daten sind ggf. höhere Anforderungen an die TOMs zu stellen.

Um zudem sicher zu stellen, dass die Maßnahmen (TOMs) für die Datensicherheit auch im Homeoffice eingehalten werden, empfiehlt sich, die Mitarbeiter durch eine „Homeoffice Policy“ entsprechend zu verpflichten. Dies dient nicht zuletzt der Erfüllung der Pflicht des Verantwortlichen, die von ihm eingeleiteten Maßnahmen und Vorkehrungen zur Datensicherheit nachweisen zu können. Zur Erfüllung der Nachweispflicht ist es außerdem empfehlenswert, eine schriftliche Bestätigung der Beschäftigten einzufordern und diese zu archivieren.

Sonderfall: Verarbeitung sensitiver Daten

Besondere Vorsicht bei der Erlaubnis der Arbeit im Homeoffice ist geboten, wenn Mitarbeiter mit der Verarbeitung besonders sensibler Daten betraut sind. Zu den besonders schützenswerten personenbezogenen Daten nach der DSGVO gehören vor allem die in Art. 9 Abs. 1 genannten Informationen zur rassischen und ethnischen Herkunft, Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Achtung: Einzelne Datenschutzaufsichtsbehörden haben in der Vergangenheit die Zulässigkeit der Verarbeitung sensitiver personenbezogener Daten im Homeoffice unter Verweis auf die besonderen Herausforderungen für die Datensicherheit abgelehnt. Es empfiehlt sich daher, die Verarbeitung von sensitiven Kunden- bzw. Beschäftigtendaten im Mobile Office soweit wie möglich auszuschließen. Für einen generellen Ausschluss der Verarbeitung sensitiver Daten gibt es allerdings keine gesetzliche Grundlage. Vielmehr ist auch hier im Einzelfall zu entscheiden, ob das Risiko für einen Datenmissbrauch angemessen reduziert werden kann oder ob ein unvermeidbares Restrisiko eine Datenverarbeitung im Rahmen von Homeoffice ausschließt. Dabei gilt: Je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker müssen sie geschützt werden.

Weitere geeignete TOMs können in diesem Zusammenhang insbesondere sein:

• Vermeidung der lokalen Datenhaltung durch Dateneingabe sowie Bildschirmausgabe über ein sog. Terminalserversystem;
• Datenübertragung nur mittels Ende-zu-Ende-Verschlüsselung (z.B. über VPN)
• Mehrfaktorauthentifizierung am Client.

„Bring-Your-Own-Device“

Nicht immer können oder wollen Arbeitgeber ihren Beschäftigten betriebliche Laptops oder Smartphones zur Nutzung im Homeoffice bereitstellen. Nicht selten nutzen Beschäftigte daher ihre privaten Endgeräte zur Arbeit von zuhause. Diese unter dem Stichwort „Bring-Your-Own-Device“ (kurz „BYOD“) bekannte Praxis birgt aber arbeitsrechtliche und datenschutzrechtliche Risiken. Grundsätzlich sind in diesem Fall nämlich die Zugriffs- und Kontrollrechte des Arbeitgebers umfassend beschränkt, da nicht ausgeschlossen werden kann, dass auch auf private Daten der Beschäftigten zugegriffen wird. Zudem kann nicht gewährleistet werden, dass die vorgeschriebenen Maßnahmen der Datensicherheit vollumfänglich eingehalten werden.

Abhilfe kann eine entsprechende Nutzungsvereinbarung schaffen, in der insbesondere Regelungen über zugelassene Endgeräte, Trennungspflichten von beruflichen und privaten Daten, Aufbewahrungs- und Zugangsvorgaben, die Nutzung des Endgeräts durch den Arbeitnehmer sowie den Zugriff des Arbeitgebers auf das Endgerät des Arbeitnehmers getroffen werden und in der dem Arbeitgeber in zulässigem Umfang Administrations- und Fernzugriffsrechte eingeräumt werden.

Collaboration Tools: Audio- und Videokonferenzen

Gerade in Zeiten von Homeoffice gewinnt der Einsatz cloudbasierter (Video-)Konferenztools an enormer Bedeutung. Ob unter Kollegen oder mit den Kunden – die möglichst direkte Kommunikation ist im Homeoffice wichtiger denn je. Neben wirtschaftlichen Erwägungen, wie den entstehenden Kosten oder der technischen Verfügbarkeit des Dienstes, müssen auch rechtliche Aspekte in die Auswahlentscheidung einfließen. Denn auch im Falle der Einbindung eines externen Dienstleisters bleibt der Arbeitgeber grundsätzlich Verantwortlicher im Sinne des Datenschutzrechts.

Soweit die einzusetzende Software Funktionen vorhält, die über das betrieblich Erforderliche hinausgehen (z.B. das Fertigen von personenbeziehbaren Nutzungsstatistiken, etc.), dürfen diese regelmäßig nicht genutzt werden und müssen vor dem Einsatz der Software deaktiviert werden. Sowohl aus eigenem Interesse, als auch zum Zwecke der Sicherstellung der Integrität und Vertraulichkeit der Kommunikation, sollte auf eine verschlüsselte Übertragung Wert gelegt werden. Sind sensitive personenbezogene Daten, Geschäftsgeheimnisse oder Informationen, die einem Berufsgeheimnis unterliegen, Gegenstand der Kommunikation, ist eine verschlüsselte Übertragung verpflichtend.

Typischerweise wird zwischen dem Unternehmen und dem Anbieter der jeweiligen Tools ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO abzuschließen sein. Wer auf Nummer sicher gehen will, wählt einen Dienst, der die Daten ausschließlich in der EU verarbeitet. Sofern das Hosting bzw. die Bereitstellung der SaaS-Software zumindest (auch) auf Servern außerhalb der Europäische Union bzw. des Europäischen Wirtschaftsraumes stattfindet, müssen mit dem Dienstleister zusätzliche Garantien vereinbart werden (z.B. Standard-Vertragsklauseln gemäß 2010/87/EU, Zertifizierung unter dem US-EU Privacy Shield, etc.).

Checkliste

• Werden unter Berücksichtigung der Besonderheiten des Arbeitens im Home Office geeignete organisatorische und technische Maßnahmen ergriffen, um die Sicherheit der Daten zu gewährleisten?
• Besteht eine Vereinbarung (Homeoffice Policy) zwischen Arbeitgeber und Beschäftigten zur Arbeit im Homeoffice?
• Können oder müssen die Mitarbeiter auf eigene Geräte zurückgreifen und gibt es dazu eine Nutzungsvereinbarung (BYOD)?
• Falls Privatgeräte verwendet werden müssen: Werden betriebliche und private Daten getrennt?
• Existiert ein Berechtigungssystem, um zu gewährleisten, dass Beschäftigte nur auf die für ihre Arbeit erforderlichen Bereiche Zugriff haben?
• Sind die verwendeten Geräte technisch auf dem aktuellsten Stand und werden laufend aktualisiert? Sind Virenscanner und Firewalls aktiv?
• Ist die Nutzung der betrieblichen Endgeräte zu privaten Zwecken sowie der Einsatz von privaten USB-Speichern untersagt oder anderweitig geregelt?
• Wird eine passwortgeschützte WLAN-Verbindung zu Hause verwendet?
• Erfolgt ein Zugriff auf die IT-Infrastruktur des Arbeitgebers mittels besonders gesicherter Verbindung (VPN)?
• Existiert eine Passwortrichtlinie?
• Wurden die Beschäftigten geschult und entsprechende Informationen ausgehändigt? Wurden diese bestätigt (durch Unterschrift, etc.)?
• Wurden beim Einsatz von Video- und Audiokonferenz-Tools Funktionen, die über das betrieblich Erforderliche hinausgehen, vor dem Einsatz der Software deaktiviert?
• Wurde mit dem Tool-Anbieter ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO abgeschlossen?
• Verarbeitet der Tool-Anbieter die Daten ausschließlich innerhalb der EU? Wenn nicht: Existieren zusätzliche Garantien (z.B. Standard-Vertragsklauseln gemäß 2010/87/EU, Zertifizierung unter dem US-EU Privacy Shield, etc.)?