1. Home
  2. News
  3. Datenschutz im Homeoffice
  • Infobriefe 01/2021

Datenschutz im Homeoffice

Seit der Corona-Pandemie arbeiten viele Beschäftigte im Homeoffice. Bei der Verarbeitung von personenbezogenen Daten im Homeoffice erhöht sich das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Denn der Arbeitgeber hat nur beschränkte Kontrollrechte und Einflussmöglichkeiten.

I. Verantwortlichkeit

Auch wenn die Mitarbeiter im Homeoffice tätig sind, so bleibt der Arbeitgeber für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO verantwortlich. Denn der Arbeitgeber bestimmt Zweck und Mittel der Verarbeitung. Das hat zur Folge, dass Schadensersatzansprüche und Bußgelder gegenüber dem Arbeitgeber geltend gemacht werden, wenn der Datenschutz im Homeoffice nicht ausreichend umgesetzt wurde.

Als Verantwortlicher hat der Arbeitgeber daher nach Art. 24 DSGVO dafür Sorge zu tragen, dass technische und organisatorische Maßnahmen umgesetzt werden, um sicherzustellen, dass personenbezogene Daten auch im Homeoffice datenschutzkonform verarbeitet werden.

Das Ziel der technischen und organisatorischen Maßnahmen ist es die Risiken für die Schutzziele der DSGVO auf ein Minimum zu minimieren. Bei der Wahl geeigneter Maßnahmen sind Art, Umfang, Umstände, Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Folgen einer Verletzung zu berücksichtigen.

II. Schutzziele der DSGVO

Um geeignete Maßnahmen treffen zu können, muss man sich zunächst darüber im Klaren sein, was geschützt werden soll.

Im Homeoffice sollte ein besonderes Augenmerk auf das Schutzziel der Vertraulichkeit gelegt werden. Vertraulichkeit bedeutet, dass schützenswerte Informationen vor unbefugter Preisgabe geschützt werden müssen und ausschließlich Befugten in der zulässigen Weise zugänglich gemacht werden dürfen.

Aufgrund der eingeschränkten Kontrollmöglichkeit im Homeoffice ist hier die Gefahr besonders groß, dass das Schutzziel der Vertraulichkeit verletzt wird. Denn es besteht das Risiko, dass Familienangehörige, Mitbewohner oder Besucher Zugang zu personenbezogene Daten oder vertraulichen Dokumenten erhalten. Ein weiteres Risiko im Homeoffice ist die Entsorgung von Unterlagen. Aufgrund von Unkenntnis oder Nachlässigkeit kommt es häufig vor, dass vertrauliche Daten (z.B. Bewerbungsunterlagen, Verträge, Namen mit Telefonnummern) im Hausmüll landen.

Das Schutzziel der Integrität fordert, dass personenbezogene Daten nicht verfälscht werden dürfen. Auch hier besteht das Risiko, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten.

Die Verfügbarkeit von personenbezogene Daten ist ein Schutzziel, das im engen Zusammenhang mit der Vertraulichkeit und der Integrität steht. Danach müssen Daten zur Verfügung stehen, wenn sie gebraucht werden. Eine Verletzung dieses Schutzziels liegt vor, wenn z.B. Daten durch unbefugte gelöscht werden oder wenn Datenträger gestohlen oder verloren gehen.

III. Maßnahmen zur Gewährleistung der Schutzziele

1. Allgemein

Es gibt keine universellen Vorgaben welche Vorgaben umzusetzen sind, um die oben genannten Schutzziele zu gewährleisten. Denn es kommt generell darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden und welche Risiken für Betroffene bestehen (Kunden, Mitarbeiter, Dienstleister).

Daher werden personenbezogenen Daten und Unternehmensdaten in Stufen – ausgehend von ihrer Schutzbedürftigkeit – eingeteilt.

Schutzbedarfskategorie: normales Risiko

Unter diese Kategorie fallen Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen nicht- oder nicht wesentlich beeinträchtigen kann. Dazu gehören z.B. Interne Daten, auf die innerhalb eines

Unternehmens viele Mitarbeiter Zugriff oder öffentliche Quellen (Telefon- und Adressbücher) haben

Schutzbedarfskategorie: hohes Risiko

Dazu gehören Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann. Folgende Daten stellen ein hohes Risiko bei der Verarbeitung dar:

• Besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO (Gesundheit, Gewerkschaftszugehörigkeit, Religion, biometrische Daten…)
• Einkommen,
• Sozialleistungen,
• Strafen
• Videoaufzeichnungen
• Steuer-ID/ Krankenversicherungsnummer

Schutzbedarfskategorie: sehr hohes Risiko

Alle Daten, deren Bekanntwerden den Betroffenen in seiner Existenz gefährden kann. Gefahr des Ruins, der Beeinträchtigung der körperlichen Unversehrtheit (Leib- und Leben) oder der persönlichen Freiheit. Das sind insbesondere die nachfolgenden Daten:
• Adresse im Zeugenschutzprogramm
• HIV-Infektion
• Erhebliche strafrechtliche Verfehlungen

Je höher das Risiko, desto höher sind die Anforderungen an die Maßnahmen. Sollten Daten verarbeitet werden, die ein hohes oder sehr hohes Risiko für die Betroffenen darstellen, so muss von der Arbeit im Homeoffice in der Regel abgesehen werden.

2. Konkrete Maßnahmen

Die nachfolgenden Maßnahmen sind empfehlenswert. Dabei ist jedoch darauf zu achten, dass die genannten Maßnahmen nicht abschließend sind. Zudem kommt es bei der Auswahl von geeigneten Maßnahmen immer auf den konkreten Einzelfall an.

a) Organisatorische Maßnahmen

Unter organisatorische Maßnahmen versteht man die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensanweisungen für Mitarbeiter.

Per Organisationsanweisungen sollten die nachfolgenden Verbote ausgesprochen werden:

-> Keine Mitteilung oder sonstige Kenntnisnahme von Passwörtern durch Dritte
-> Kein Zugriff von Dritten auf betrieblich genutzte Software und Geräte
-> Keine Weiterleitung beruflicher E-Mails auf ein privates Postfach
-> Keine sonstige Überleitung von dienstlichen Daten in den privaten Bereich
-> Keine Vernichtung von Dokumenten im Hausmüll
-> Keine Nutzung von USB-Sticks
-> Keine Anbindung an private Drucker

b) Technische Maßnahmen

Die technischen Maßnahmen bezeichnen dabei jeden Schutz für die Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann.

Einer der wichtigsten technischen Maßnahmen, die der verantwortliche Arbeitgeber ergreifen kann, ist die Bereitstellung der Hard- und Software. Denn die Nutzung privater Geräte bringt eine Vielzahl an Gefahren mit sich.

Zum einen besteht das Risiko der Vermischung von privaten und dienstlichen Daten. Dies kann dann z.B. zu Problemen führen, wenn das Unternehmen auf seine Unternehmensdaten zugreifen will oder die Löschvorgaben der DSGVO umsetzen will. Wegen der privaten Daten wird dazu in der Regel nämlich die freiwillige Einwilligung des Mitarbeiters notwendig sein.

Greifen Mitarbeiter mit ihren privaten Geräten per VPN – Tunnel auf das Unternehmensnetzwerk zu, so besteht die Möglichkeit, dass auf diesem Weg Schadsoftware von dem privaten Gerät auf das Unternehmensnetzwerk gelangt.

Des Weiteren sind die folgenden Maßnahmen zu ergreifen:

-> Zugang zu personenbezogenen Daten nur mit komplexem Passwort oder vergleichbarer Sicherung PIN (ggf. Zwei-Faktor-Authentifizierung)
-> Die Verbindung zum Firmennetzwerk darf ausschließlich über einen VPN-Tunnel erfolgen
-> WLAN – Zugänge müssen mit einem sicheren Passwort abgesichert werden
-> Die vom Arbeitgeber bereitgestellten Geräte sollten zentral administriert und einer einheitlichen Policy unterworfen werden.

c) Räumliche Sicherheit

Auch die räumliche Sicherheit muss im Homeoffice beachtet werden. Geräte und Daten sind sicher aufzubewahren und sorgfältig zu nutzen. Dazu sollten sie, wenn möglich, in einem abschließbaren Zimmer aufbewahrt werden. Sollte das nicht möglich sein ist, so sind die Daten und Geräte zumindest in einem verschlossenen Schrank aufzubewahren. Bei Verlassen des Raums sollte der Bildschirm des PCs gesperrt werden.

IV. Kontrollrechte

Damit die getroffenen Maßnahmen auch eingehalten werden können, sollte sich der Arbeitgeber vertraglich das Recht einräumen lassen, die Wohnung des Beschäftigten kontrollieren zu dürfen. Das Kontrollrecht kann entweder direkt im Arbeitsvertrag oder individuell, einwilligungsbasiert geregelt werden.

V. Vereinbarung

Die getroffenen Regelungen und Maßnahmen müssen in einer Homeoffice-Vereinbarung festgelegt werden. Gerne können Sie dazu unser Muster verwenden auf myGindat im Datenschutz-Gesamtpaket unter 19.08.

Max Macht
Volljurist

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo