Datenschutz – auch in Zeiten von COVID-19?

Auch wenn das Coronavirus die (Arbeits-)Welt derzeit aus den Angeln zu heben scheint und damit beträchtliche Auswirkungen auf das laufende Geschäft und die damit verbundenen Arbeitsabläufe hat, so muss dennoch darauf hingewiesen werden, dass die Regelungen des Datenschutzes dadurch nicht außer Kraft gesetzt sind.

Doch was gilt es nun aus datenschutzrechtlicher Sicht zu beachten? Wir haben die wichtigsten Aspekte für Sie hier zusammengefasst.

Auch wenn das Coronavirus die (Arbeits-)Welt derzeit aus den Angeln zu heben scheint und damit beträchtliche Auswirkungen auf das laufende Geschäft und die damit verbundenen Arbeitsabläufe hat, so muss dennoch darauf hingewiesen werden, dass die Regelungen des Datenschutzes dadurch nicht außer Kraft gesetzt sind.

Auch weiterhin haben sämtliche datenschutzrechtlichen Festlegungen sowie dessen konforme Einhaltung erhebliche Auswirkungen auf die entsprechenden unternehmerischen Abläufe. Durch die neuen Arbeitsbedingungen kommen in diesem Zusammenhang aber sogar neue Herausforderungen auf Arbeitgeber und Arbeitnehmer zu: Neue Datenanwendungen und Situationen wie insbesondere die Arbeit via Home-Office. Neben zahlreichen arbeitsrechtlichen Aspekten vergessen viele Arbeitgeber in diesem Zusammenhang auch auf die damit verbundenen datenschutzrechtlichen Aspekte bzw. die entsprechende Datensicherheit. Die Arbeit zu Hause birgt vielfache Risiken für die Vertraulichkeit, Integrität und auch die Verfügbarkeit von personenbezogenen Daten. Gerade angesichts der im Fall der nicht DSGVO-konformen Datenverarbeitung drohenden Bußgelder sollte dies auch in der derzeitigen Krise nicht außer Acht gelassen werden.

Doch was gilt es nun aus datenschutzrechtlicher Sicht zu beachten?

Das Risiko eines datenschutzrechtlichen Verstoßes ist nach den entsprechenden Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) zur Datensicherheit zu behandeln, indem technische und organisatorische Maßnahmen getroffen werden, die diese Risiken ausschließen bzw. minimieren.

Um eine rechtskonforme Verarbeitung von personenbezogenen Daten im Home-Office zu gewährleisten, ist es jedenfalls empfehlenswert, Richtlinien für die Mitarbeiter zu entwerfen. Zwar besteht dazu keine gesetzliche Pflicht, es ist aber dennoch sinnvoll und empfehlenswert, die Rahmenbedingungen und Verpflichtungen im Zusammenhang mit dem Arbeiten aus dem Home-Office in einheitlichen Guidelines festzulegen. Zudem sollte jeder Mitarbeiter, der im Home-Office tätig ist, sowohl auf die Einhaltung dieser  Regelungen als auch auf den datenschutzkonformen Umgang bzgl. der relevanten Daten schriftlich verpflichtet werden.

Ebenso wie bei beim „normalen“ Arbeitsplatz auch muss die Vertraulichkeit und Integrität der personenbezogenen Daten gewährleistet sein. Aus diesem in Art. 5 Abs. 1 lit. f) DSGVO festgeschriebenen Verarbeitungsgrundsatz folgt, dass die betroffenen personenbezogenen Daten

(i) vor unbefugter und unberechtigter Verarbeitung sowie vor

(ii) unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Beschädigung zu schützen sind.

Dazu hat die österreichische Datenschutzbehörde bereits „Do’s and Don’ts“ veröffentlicht. Diese decken sich weitgehend auch mit den Empfehlungen anderer Datenschutzbehörden:

• Zugang zu personenbezogenen Daten
  Jedenfalls sicherzustellen ist, dass ausschließlich der entsprechende Home-Office Mitarbeiter Zugang zu den im Zusammenhang mit seiner Arbeitstätigkeit verarbeiteten personenbezogenen Daten hat. Familienangehörige, Mitbewohner oder sonstige Dritte dürfen keinesfalls Zugang zu diesen Daten erhalten. Aus diesem Grund sollten die Beschäftigten angehalten werden, nach Möglichkeit in einem Raum zu arbeiten, der anderen Personen zumindest temporär nicht zugänglich ist. Sollte dies aus Platzgründen nicht durchführbar sein, sollte alternativ zumindest der Bildschirm so positioniert werden, dass kein unbefugter Dritter die Möglichkeit hat, dort vertrauliche Informationen zu lesen. Sobald der Mitarbeiter seinen Arbeitsbereich im Home-Office verlässt, sollte das Notebook bzw. der PC ausgeschaltet oder zumindest die passwortgesicherte Bildschirmsperre aktiviert werden. Ist dies nicht möglich, so sollten die zu schützenden Daten jedenfalls in einem abschließbaren Schrank aufbewahrt werden. Schließlich sollte der Arbeitnehmer sicherstellen, dass er nicht mehr benötigte Unterlagen in datenschutzgerechter Weise zerstört (etwa durch Shreddern des Dokuments).
• Sichere Aufbewahrung von Hardware (insbesondere Diensthandy, Dienstlaptop)
• Verwendung einer geschützten WLAN-Verbindung und - sofern vorhanden - verschlüsselter VPN-Verbindungen. Bei der Nutzung einer offenen ungeschützten WLAN-Verbindung ist jedenfalls der Einsatz einer verschlüsselten VPN Verbindung empfohlen.
• Keine beruflichen Daten auf private Geräte oder die private Cloud speichern. Dies gilt insbesondere für den Fall, wenn kein Betriebsequipment zur Verfügung steht.
• Keine privaten Kommunikationsmittel (WhatsApp, Facebook, Instagram, o.ä.) für den Austausch von beruflichen Informationen verwenden.
• Vermeiden des Ausdruckens von Unterlagen. Sollte dies dennoch notwendig sein, sollten die ausgedruckten Unterlagen entsprechend vernichtet und jedenfalls nicht in der Hausmülltonne entsorgt werden, wenn sie nicht mehr benötigt werden.
• Sicherstellen, dass auch im Home-Office regelmäßige Backups der Daten durchgeführt werden, um das Risiko eines Datenverlusts durch Diebstahl (oder durch eine defekte Festplatte) zu minimieren.
• Die private Nutzung der Hardware des Arbeitgebers wird in vielen Fällen untersagt sein, was aus rechtlicher Sicht sinnvoll ist. Sofern die Privatnutzung gestattet ist, ist der Arbeitnehmer speziell auf seine Pflichten und die Beschränkungen bei der Privatnutzung hinzuweisen. Ferner muss sichergestellt werden, dass Daten der privaten und betrieblichen Nutzung bestmöglich getrennt werden.

Nicht zu übersehen ist weiters vor allem auch im Home-Office-Bereich, dass Datenschutzvorfälle, (also etwa die unbewusste Veröffentlichung von personenbezogenen Daten im Internet, der Zugriff nach einer Hackerattacke auf eine Datenbank oder der bloße Verlust eines Laptops, eines USB-Sticks oder eines Mobiltelefons.) , an den jeweiligen betrieblichen Datenschutzbeauftragten zu melden sind. Wenn ein solcher nicht benannt werden musste, sollte ein Vorfall zunächst an die von der Geschäftsführung hierfür bestimmte Stelle im Unternehmen gemeldet werden. In weitere Folge gilt es dann zu entschieden, wie weiter zu verfahren ist, also insbesondere, ob eine Meldepflicht gegenüber der Datenschutzbehörde und/oder den Betroffenen besteht.

Die hier beschriebenen Vorgaben sollten in jedem Fall beachtet werden, da andernfalls empfindliche Sanktionen, wie Maßnahmen der Aufsichtsbehörden und insbesondere ein Bußgeld drohen.

Sie haben Fragen, Anliegen oder benötigen eine Richtlinie zur Verpflichtung der Mitarbeiter? Dann können wir Ihnen kurzfristig helfen. Zögern Sie nicht und nehmen Sie gerne unverbindlich Kontakt mit uns auf.

Als direkter Ansprechpartner stehe ich Ihnen dafür jederzeit gern zur Verfügung.