IT- und datenschutzrechtlichen Vorgaben
Zur Vermeidung der Ausbreitung des Virus COVID-19 (Coronavirus) wird die Vermeidung sozialer Kontakte empfohlen. Wo möglich, sollen Tätigkeiten daher aus dem Home Office erledigt werden. Im Folgenden finden Sie Antworten zu den am häufigsten gestellten Fragen, insbesondere mit Blick auf die IT- und datenschutzrechtlichen Vorgaben, die beim Arbeiten aus dem Home-Office zu beachten sind.
Q: Wie kann der Arbeitgeber vertrauliche Daten vor einem Zugriff Dritter schützen, wenn er seinen Beschäftigten das Arbeiten vom Home Office gestattet?
A: Der Zugang des Arbeitnehmers auf die Systeme des Arbeitgebers sollte über einen gesicherten Zugang (z.B. VPN-Zugang) mit robuster Zugangsverifikation ermöglicht werden. Neben einer Verschlüsselung „in transit“ der Kommunikation mit dem Unternehmensnetzwerk sollten die betrieblichen Endgeräte über vernünftige Schutzmechanismen (Passwortschutz, Verschlüsselung) verfügen.
Q: Was kann der Arbeitnehmer unternehmen, um vertrauliche Daten vor einem Zugriff Dritter zu schützen?
A: Haben Dritte (z.B. Familienangehörige, Mitbewohner) Zugang zu dem Heimarbeitsplatz des Beschäftigten, sollte dieser dafür Sorge tragen, die Risiken eines unbefugten Datenzugriffs durch Dritte zu minimieren (z.B. Sperren des Computers beim Verlassen des Arbeitsplatzes, Abschließen des Arbeitszimmers bei Abwesenheit, vertrauliche Telefonate nur dann führen, wenn ein Mithören ausgeschlossen ist). Personenbezogene und geheimhaltungsbedürftige Daten sollten nur unmittelbar am Heimarbeitsplatz des Beschäftigten verarbeitet werden. Ist dies nicht möglich, so sollten die zu schützenden Daten jedenfalls in einem abschließbaren Schrank aufbewahrt werden. Schließlich sollte der Arbeitnehmer sicherstellen, dass er nicht mehr benötigte Unterlagen in datenschutzgerechter Weise zerstört (etwa durch das Shreddern des Dokuments in kleine Stücke).
Q: Brauche ich eine Home Office Richtlinie?
A: Es besteht keine gesetzliche Pflicht zum Erstellen einer entsprechenden Richtlinie. Es ist aber sehr sinnvoll und empfehlenswert, die Rahmenbedingungen und Verpflichtungen im Zusammenhang mit dem Arbeiten aus dem Home Office in einer einheitlichen Richtlinie festzulegen.
Q: Dürfen Arbeitnehmer physische Daten (Akten, Ausdrucke etc.) mit ins Home Office nehmen bzw. im Home Office Daten ausdrucken?
A: Beim Home Office sollte so weit wie möglich der Grundsatz des vollelektronischen Arbeitens gelten. Die Verwendung physischer Daten sollte auf das absolut notwendige Minimum reduziert werden, da mangels entsprechender technischer Maßnahmen nur bedingt die Möglichkeit besteht, das Risiko des Verlusts oder der Beschädigung zu minimieren. Es sollte daher umfangreich mit Scans, elektro- nischen Akten etc. gearbeitet werden. Ist der Arbeitnehmer dennoch auf physische Unterlagen angewiesen, sollten diese nur in verschlossenen Behältnissen transportiert werden. Die Unterlagen dürfen des Weiteren nicht unbeaufsichtigt gelassen werden.
Q: Wer ist im Rahmen des Home Office für die Sicherstellung angemessener technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) verantwortlich?
A: Der Arbeitgeber. Er bleibt auch beim Home Office die datenschutzrechtlich verantwortliche Stelle und ist für die Einhaltung der Vorgaben aus der DSGVO verantwortlich.
Q: Dürfen Arbeitnehmer zu Hause eigene Geräte (z.B. Drucker, Bildschirme etc.) an den betrieblichen PC anschließen?
A: Grundsätzlich sollte die Verwendung von Geräten, die nicht durch den Arbeitgeber zur Verfügung gestellt wurden, untersagt werden. Nur so lassen sich Sicherheitsbeeinträchtigungen für die betriebliche Hard- und Software vermeiden. Im Einzelfall werden sich gemeinsam mit dem Arbeitgeber aber sicher pragmatische Lösungen finden lassen.
Q: Darf der Arbeitnehmer die betriebliche Hardware im Home Office auch privat verwenden?
A: Die private Nutzung der Hardware des Arbeitgebers wird in vielen Fällen untersagt sein, was aus rechtlicher Sicht sinnvoll ist. Sofern die Privatnutzung gestattet ist, ist der Arbeitnehmer speziell auf seine Pflichten und die Beschränkungen bei der Privatnutzung hinzuweisen. Ferner muss sichergestellt werden, dass Daten der privaten und betrieblichen Nutzung bestmöglich getrennt werden.
Q: Darf der Arbeitnehmer seinen eigenen Computer für die Tätigkeit im Home Office verwenden?
A: Sofern möglich, sollte von der Nutzung privater Hardware bei der Ausübung der Tätigkeit im Home Office abgesehen werden. Ist die Nutzung privater Geräte unausweichlich, sollte der Arbeitgeber die technischen Voraussetzungen für die Verwendung privater Geräte sicherstellen (Installation und Implementierung angemessener IT-Sicherheitssysteme, Trennung privater und betrieblicher Daten (z.B. im Rahmen einer Container-Lösung), umfangreiche Datenvermeidung auf dem privaten Endgerät, Mobile Device Management). Im Idealfall sollten Tätigkeiten von Privatgeräten aus nur in der „Cloud“, also dem Unternehmensnetzwerk des Arbeitgebers stattfinden, so dass eine saubere Datentrennung erfolgt. Die Rahmenbedingungen der Nutzung privater Geräte sollte der Arbeitgeber in einer Richtlinie abbilden, an die sich der Arbeitnehmer halten muss.
Q: Kann der Arbeitnehmer Programme nutzen, die auf seinem privaten Endgerät installiert sind (z.B. MS Office)?
A: Regelmäßig nicht. Bei der Nutzung installierter Software kann es zu Problemen in Bezug auf die notwendigen Lizenzen kommen. Der Arbeitnehmer hat regelmäßig eine Lizenzvereinbarung abgeschlossen, nach der die betriebliche Nutzung ausdrücklich untersagt ist.
Wir haben für Sie umfassende Informationen und Handlungsempfehlungen zu zahlreichen rechtlichen Implikationen im Kontext der Coronavirus-Pandemie zusammengestellt: Coronavirus - Antworten zu rechtlichen Implikationen
