Autoren

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More

Wiebke Reuter, LL.M.

Associate

Read More

Rita Danz, Maître en droit

Associate

Read More
Autoren

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More

Wiebke Reuter, LL.M.

Associate

Read More

Rita Danz, Maître en droit

Associate

Read More

17. März 2020

COVID-19 – Home Office – FAQ

IT- und datenschutzrechtlichen Vorgaben

Zur Vermeidung der Ausbreitung des Virus COVID-19 (Coronavirus) wird die Vermeidung sozialer Kontakte empfohlen. Wo möglich, sollen Tätigkeiten daher aus dem Home Office erledigt werden. Im Folgenden finden Sie Antworten zu den am häufigsten gestellten Fragen, insbesondere mit Blick auf die IT- und datenschutzrechtlichen Vorgaben, die beim Arbeiten aus dem Home-Office zu beachten sind.

 

Q: Wie kann der Arbeitgeber vertrauliche Daten vor einem Zugriff Dritter schützen, wenn er seinen Beschäftigten das Arbeiten vom Home Office gestattet?

A: Der Zugang des Arbeitnehmers auf die Systeme des Arbeitgebers sollte über einen gesicherten Zugang (z.B. VPN-Zugang) mit robuster Zugangsverifikation ermöglicht werden. Neben einer Verschlüsselung „in transit“ der Kommunikation mit dem Unternehmensnetzwerk sollten die betrieblichen Endgeräte über vernünftige Schutzmechanismen (Passwortschutz, Verschlüsselung) verfügen.

 

Q: Was kann der Arbeitnehmer unternehmen, um vertrauliche Daten vor einem Zugriff Dritter zu schützen?

A: Haben Dritte (z.B. Familienangehörige, Mitbewohner) Zugang zu dem Heimarbeitsplatz des Beschäftigten, sollte dieser dafür Sorge tragen, die Risiken eines unbefugten Datenzugriffs durch Dritte zu minimieren (z.B. Sperren des Computers beim Verlassen des Arbeitsplatzes, Abschließen des Arbeitszimmers bei Abwesenheit, vertrauliche Telefonate nur dann führen, wenn ein Mithören ausgeschlossen ist). Personenbezogene und geheimhaltungsbedürftige Daten sollten nur unmittelbar am Heimarbeitsplatz des Beschäftigten verarbeitet werden. Ist dies nicht möglich, so sollten die zu schützenden Daten jedenfalls in einem abschließbaren Schrank aufbewahrt werden. Schließlich sollte der Arbeitnehmer sicherstellen, dass er nicht mehr benötigte Unterlagen in datenschutzgerechter Weise zerstört (etwa durch das Shreddern des Dokuments in kleine Stücke).

 

Q: Brauche ich eine Home Office Richtlinie?

A: Es besteht keine gesetzliche Pflicht zum Erstellen einer entsprechenden Richtlinie. Es ist aber sehr sinnvoll und empfehlenswert, die Rahmenbedingungen und Verpflichtungen im Zusammenhang mit dem Arbeiten aus dem Home Office in einer einheitlichen Richtlinie festzulegen.

 

Q: Dürfen Arbeitnehmer physische Daten (Akten, Ausdrucke etc.) mit ins Home Office nehmen bzw. im Home Office Daten ausdrucken?

A: Beim Home Office sollte so weit wie möglich der Grundsatz des vollelektronischen Arbeitens gelten. Die Verwendung physischer Daten sollte auf das absolut notwendige Minimum reduziert werden, da mangels entsprechender technischer Maßnahmen nur bedingt die Möglichkeit besteht, das Risiko des Verlusts oder der Beschädigung zu minimieren. Es sollte daher umfangreich mit Scans, elektro- nischen Akten etc. gearbeitet werden. Ist der Arbeitnehmer dennoch auf physische Unterlagen angewiesen, sollten diese nur in verschlossenen Behältnissen transportiert werden. Die Unterlagen dürfen des Weiteren nicht unbeaufsichtigt gelassen werden.

 

Q: Wer ist im Rahmen des Home Office für die Sicherstellung angemessener technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) verantwortlich?

A: Der Arbeitgeber. Er bleibt auch beim Home Office die datenschutzrechtlich verantwortliche Stelle und ist für die Einhaltung der Vorgaben aus der DSGVO verantwortlich.

 

Q: Dürfen Arbeitnehmer zu Hause eigene Geräte (z.B. Drucker, Bildschirme etc.) an den betrieblichen PC anschließen?

A: Grundsätzlich sollte die Verwendung von Geräten, die nicht durch den Arbeitgeber zur Verfügung gestellt wurden, untersagt werden. Nur so lassen sich Sicherheitsbeeinträchtigungen für die betriebliche Hard- und Software vermeiden. Im Einzelfall werden sich gemeinsam mit dem Arbeitgeber aber sicher pragmatische Lösungen finden lassen.

 

Q: Darf der Arbeitnehmer die betriebliche Hardware im Home Office auch privat verwenden?

A: Die private Nutzung der Hardware des Arbeitgebers wird in vielen Fällen untersagt sein, was aus rechtlicher Sicht sinnvoll ist. Sofern die Privatnutzung gestattet ist, ist der Arbeitnehmer speziell auf seine Pflichten und die Beschränkungen bei der Privatnutzung hinzuweisen. Ferner muss sichergestellt werden, dass Daten der privaten und betrieblichen Nutzung bestmöglich getrennt werden.

 

Q: Darf der Arbeitnehmer seinen eigenen Computer für die Tätigkeit im Home Office verwenden?

A: Sofern möglich, sollte von der Nutzung privater Hardware bei der Ausübung der Tätigkeit im Home Office abgesehen werden. Ist die Nutzung privater Geräte unausweichlich, sollte der Arbeitgeber die technischen Voraussetzungen für die Verwendung privater Geräte sicherstellen (Installation und Implementierung angemessener IT-Sicherheitssysteme, Trennung privater und betrieblicher Daten (z.B. im Rahmen einer Container-Lösung), umfangreiche Datenvermeidung auf dem privaten Endgerät, Mobile Device Management). Im Idealfall sollten Tätigkeiten von Privatgeräten aus nur in der „Cloud“, also dem Unternehmensnetzwerk des Arbeitgebers stattfinden, so dass eine saubere Datentrennung erfolgt. Die Rahmenbedingungen der Nutzung privater Geräte sollte der Arbeitgeber in einer Richtlinie abbilden, an die sich der Arbeitnehmer halten muss.

 

Q: Kann der Arbeitnehmer Programme nutzen, die auf seinem privaten Endgerät installiert sind (z.B. MS Office)?

A: Regelmäßig nicht. Bei der Nutzung installierter Software kann es zu Problemen in Bezug auf die notwendigen Lizenzen kommen. Der Arbeitnehmer hat regelmäßig eine Lizenzvereinbarung abgeschlossen, nach der die betriebliche Nutzung ausdrücklich untersagt ist.

 

Q: Kann die Weiterleitung betrieblicher E-Mails auf den privaten E-Mail-Account des Arbeitnehmers eingerichtet werden?

A: Hiervon sollte im Regelfall abgesehen werden. Bei einer entsprechenden Weiterleitung kann der Arbeitgeber seinen datenschutzrechtlichen Pflichten (z.B. Sicherstellung der ordnungsgemäßen Aufbewahrung und Einhaltung angemessener technischer und organisatorischer Maßnahmen) nicht mehr angemessen nachkommen.

 

Q: Muss ich den Arbeitnehmer über die Datenverarbeitung im Rahmen des Home Office gesondert informieren?

A: Die datenschutzrechtliche Informationspflicht besteht umfassend. Sofern die bestehenden Datenschutzhinweise für Mitarbeiter keine Informationen zur Datenverarbeitung beim Home Office enthalten, bedarf es einer separaten Informa

 

Q: Was muss ich aus arbeitsrechtlicher Sicht beachten?

A: Zu den arbeitsrechtlichen Auswirkungen der Corona-Pandemie im Allgemeinen und Home-Office Möglichkeiten haben wir eine arbeitsrechtliche FAQ erstellt.

 

Zur PDF-Version: COVID-19 – Home Office – FAQ

 

Wir haben für Sie umfassende Informationen und Handlungsempfehlungen zu zahlreichen rechtlichen Implikationen im Kontext der Coronavirus-Pandemie zusammengestellt: Coronavirus - Antworten zu rechtlichen Implikationen

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Coronavirus

Ohne Corona-Impfung kein Einlass?

Datenschutzrechtliche Aspekte bei der Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen

17. Februar 2021
Briefing

von Rita Danz, Maître en droit

Klicken Sie hier für Details
Informationstechnologie

Werbung nach dem neuen Glücksspielstaatsvertrag

19. November 2020
In-depth analysis

von Jan Feuerhake, LL.M. (Melbourne) und Wiebke Reuter, LL.M.

Klicken Sie hier für Details
Informationstechnologie

Umsetzungsfrist abgelaufen: Seit 12. Juli 2020 ist die P2B-VO für Online-Vermittlungsdienste und –Suchmaschinen in Kraft

24. Juli 2020

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details