Deutschland im Home-Office: Was gilt es dabei datenschutzrechtlich zu beachten? Wie sollte die Sicherheit am Arbeitsplatz aussehen? Lesen Sie mehr bei uns!
Ob nun gesetzlich vorgegeben oder aus der unternehmerischen Fürsorgepflicht heraus – wenn die Tätigkeit es zulässt, setzen die meisten Unternehmen inzwischen auf Home-Office, um die Gesundheit ihrer Mitarbeiter und aller anderen Personen zu schützen. Auch wenn unklar ist, wie lange die Einschränkungen des öffentlichen Lebens im Zuge der Corona-Krise noch aufrechterhalten werden, sollten Unternehmen darauf achten, den vielen rechtlichen Fallstricken zu entgehen, die durch die Arbeit im Home-Office entstehen. Wichtig ist, dass Mitarbeiter nicht einfach nach Hause geschickt werden, sondern dass alle notwendigen Maßnahmen getroffen werden. In den Bereichen Datenschutzrecht, IT-Sicherheit oder dem Schutz von Geschäftsgeheimnissen erhöhen sich die Risiken. Mit den entsprechenden Maßnahmen lassen sich allerdings auch diese gut in den Griff bekommen, wie der folgende Beitrag zeigen möchte.
Sicherheit am Arbeitsplatz!
Im ersten Schritt ist entscheidend, dass der heimische Arbeitsplatz allen rechtlichen und technischen Anforderungen genügt. Dabei ist im Grunde das Gleiche zu beachten wie bei der Einrichtung des betrieblichen Arbeitsplatzes. Zumeist besteht der einzige Unterschied darin, dass die Vorgaben schwieriger umzusetzen sind oder man sich überhaupt zum ersten Mal damit beschäftigen muss. Im Büro sind die Voraussetzungen aus Sicht des Arbeitnehmers oft schon standardmäßig vorhanden. Zunächst sollte der Raum, in dem gearbeitet wird, abschließbar und die Arbeitsmittel wie Laptop, Speichermedien oder Akten auf Papier besonders vor dem Zugriff und der Einsichtnahme Dritter geschützt sein. Das gilt umso mehr, wenn man nicht allein wohnt. Neben der physischen Einrichtung des Arbeitsplatzes muss bei den meisten Tätigkeiten der Zugriff auf das Netzwerk und die Kommunikationsmittel der betrieblichen Arbeitsstätte gewährleistet werden. Laufwerke, E-Mail-Verkehr und Telefonie müssen auch im Home-Office genutzt werden. Jedoch ist deren sichere Nutzung durch die Verteilung der Arbeitsplätze für den Arbeitgeber schwieriger zu kontrollieren und damit höheren Risiken ausgesetzt. Um rechtliche Konsequenzen, die von datenschutz- und wettbewerbsrechtlichen Bußgeldern über zivilrechtliche Schadensersatzforderungen bis hin zu Geld- und Freiheitsstrafen im schlimmsten Fall reichen können, zu vermeiden, sollte auf an das Home-Office angepasste Sicherheitsmaßnahmen besonderer Wert gelegt werden.
Vorsicht bei Datenverarbeitungen und Kommunikation
Zu den technischen Sicherheitsmaßnahmen gehört in jedem Fall die Einrichtung eines VPN-Netzwerks oder einer vergleichbaren Einrichtung, um einen sicheren Zugriff auf die firmeninternen Daten zu gewährleisten. Datenübertragungen durch Mitarbeiter, ebenso wie die verwendeten Speichermedien, sollten verschlüsselt sein, damit man als Unternehmen auf der sicheren Seite ist. Selbstverständlich sollten PC oder Laptop passwortgeschützt sein. Überhaupt empfiehlt es sich, die Arbeit so weit wie möglich digital zu gestalten und weitestgehend darauf zu verzichten, wichtige Informationen auf Papier festzuhalten. Wird dennoch mit Papier gearbeitet, sollte auf eine sichere Unterbringung, beispielsweise in abschließbaren Schränken, sowie auf eine ordnungsgemäße Entsorgung geachtet werden.
Im gesamten Bereich der Kommunikation ist besondere Vorsicht geboten, da hier viele Risiken lauern. Dazu zählen insbesondere unsichere Datenübertragungen oder Unternehmen, die die Kommunikationsdaten erfassen, speichern oder in (unsichere) Drittstaaten übertragen. Eine weitere Maßnahme zur Risikominimierung im Home-Office ist daher in jedem Fall die strenge Trennung privater und geschäftlicher Kommunikation. Private Datenträger sind nicht zu benutzen. Auch die berufliche Kommunikation auf privaten Geräten, insbesondere mit datenschutzrechtlich problematischen Anwendungen wie WhatsApp, sollte unterbleiben.
Datenschutzrecht weiterhin beachten
Selbstverständlich gelten auch datenschutzrechtlich im Home-Office die gleichen Regeln wie am dienstlichen Arbeitsplatz. Personenbezogene Daten, vor allem sensible und solche aus den besonderen Kategorien (Art. 9 DSGVO) wie zum Beispiel Gesundheitsdaten, sind vor unberechtigten Zugriffen zu schützen. Hier ist im Einzelfall abzuwägen, ob nicht aufgrund einer erhöhten Schutzwürdigkeit bei der Datenverarbeitung im Home-Office zu hohe Risiken entstehen und welche Maßnahmen jeweils zu treffen sind. Um die Kontrolle zu behalten, sollte die unternehmensinterne Kommunikation umfassend geplant werden. Welche Tools sollen verwendet werden? Können diese ein ausreichendes Niveau an Datensicherheit gewährleisten und wird gegebenenfalls eine sicherere Business-Version angeboten? Schließlich sollten auch die Mitarbeiter über die zu nutzenden Kommunikationsmittel informiert werden.
Vertrauliche Unternehmensinformationen? Geschäftsgeheimnisse schützen!
Besonders aufpassen müssen Unternehmen, die mit Geschäftsgeheimnissen umgehen. Denn im Rahmen des Home-Office‘ ist gerade eines ganz entscheidend: Nach der Definition des § 2 Nr. 1 GeschGehG muss eine Information, um als Geschäftsgeheimnis eingestuft zu werden, unter anderem Gegenstand angemessener Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber sein. Setzt man die Unternehmensgeheimnisse nun unbedacht den Risiken des Home-Office‘ aus, kann es unter Umständen sein, dass die zuvor noch angemessenen Geheimhaltungsmaßnahmen den erhöhten Anforderungen nicht genügen.
Unter Geheimhaltungsmaßnahmen fallen zunächst alle Vorkehrungen, die geheime Informationen vor einem rechtswidrigen Erlangen, Nutzen oder Offenlegen schützen. Um die Angemessenheit solcher Maßnahmen sicherzustellen, sollte folgendermaßen vorgegangen werden: In einem ersten Schritt müssen die Zuständigkeiten klar definiert sein, das heißt, wer für den Schutz von Geschäftsgeheimnissen in welcher Funktion zuständig ist. Danach sollten die Geheimnisse identifiziert und je nach Schutzwürdigkeit aufgeteilt werden, um die Höhe der Anforderungen an die Angemessenheit der Schutzmaßnahmen zu bestimmen. Diese hängt von der Art des Geschäftsgeheimnisses ab, aber auch von seinen Entwicklungskosten oder der Bedeutung für das jeweilige Unternehmen. Entsprechend können die Informationen in verschiedene Geheimhaltungsstufen verteilt werden, die sich nach ihrer wirtschaftlichen Wichtigkeit richten:
• Streng geheim, da existenzbedrohend
• Wichtig, da dauerhafter wirtschaftlicher Nachteil droht
• Sensibel, da kurzfristiger wirtschaftlicher Nachteil droht
Im Rahmen des Home-Office‘ muss nun sorgfältig die neue Sicherheitslage bewertet und überprüft werden, ob mit den Geschäftsgeheimnissen noch auf die gleiche Weise verfahren werden kann wie vorher. Sofern, und das dürfte die Regel sein, auch trotz Einhaltung aller Sicherheitsmaßnahmen ein erhöhtes Risiko durch eine Tätigkeit im Home-Office besteht, ist es empfehlenswert, jedenfalls nicht mit den streng geheimen Geschäftsgeheimnissen im Home-Office zu arbeiten.
Fazit
Grundsätzlich gilt also: Die Arbeit im regulären Büro oder im Home-Office bedeutet für die rechtlichen und technischen Anforderungen erst einmal keinen Unterschied – denn schließlich soll auch im Home-Office kein geringeres, sondern mindestens das gleiche Datenschutz- und Sicherheitsniveau wie im Büro erreicht werden. Aufgrund einer größeren Anzahl von Risiken kann die Arbeit im Home-Office aber bedeuten, dass das Erreichen dieses Niveaus mit einem erhöhten Aufwand verbunden ist. Daher ist es wichtig, gerade in Unternehmen, für die die Arbeit im Home-Office verhältnismäßig neu ist, die Mitarbeiter für diesen Bereich zu sensibilisieren und zu schulen. Sorgen Unternehmen zugleich für eine hohe IT-Sicherheit, kann die Arbeit im Home-Office nicht nur dazu beitragen, die Corona-Krise zu bewältigen, sondern darüber hinaus zu einer vielversprechenden Maßnahme für die Flexibilität und den Erfolg des Unternehmens werden.
FAQ: Home-Office & Datenschutz
Wo liegen die Unterschiede zwischen Home-Office, Mobile Office und Telearbeit?
Telearbeit: Telearbeit, für die es auch arbeitsrechtliche Regelungen gibt, ist ähnlich wie Home-Office die Arbeit von zu Hause. Allerdings reicht es nicht, wenn ein Mitarbeiter ab und an nach Hause geht oder wegen einer Ausnahmesituation wie Corona dem Büro fernbleibt. Bei Telearbeit sind die Bedingungen der Heimarbeit vertraglich geregelt und es handelt sich um eine dauerhafte Einrichtung.
Home-Office: Auch im Home-Office wird am heimischen Arbeitsplatz gearbeitet, weswegen der Begriff oft synonym mit Telearbeit verwendet wird. Home-Office ist als Begriff allerdings nicht gesetzlich geregelt und kann daher auch ein einzelner Tag sein, an dem einmal die Arbeit von zu Hause aus vorgenommen wird.
Mobile Office: Mobile Office oder mobiles Arbeiten ist die ortsunabhängig Arbeit, also unterwegs in der Bahn, im Café oder auch von zu Hause aus. Datenschutzrechtlich bestehen grundsätzlich keine Unterschiede zum Home-Office, aber die Risiken können beispielsweise durch öffentliche WLAN-Netzwerke oder den Blick fremder Personen auf den Bildschirm höher sein.
Wichtig: Einheitliche gesetzliche Definitionen für Home- Office und Mobile Office gibt es nicht, weshalb die Begriffe oft unterschiedlich verwendet werden. Teilweise wird auch Telearbeit als Oberbegriff für Home-Office und mobiles Arbeiten verwendet.
Muss eine Richtlinie für Home-Office etc. für das Unternehmen erstellt werden oder reicht die Schulung der Mitarbeiter?
Eine Sicherheitsrichtlinie oder Dienstanweisung zum Thema Home-Office oder Mobile Office sorgt für eine entsprechende Information der Mitarbeiter und zu einer erhöhten Sicherheit im Datenschutz. Klare Regelungen, welche Daten auf welche Weise zu schützen sind, sind deshalb empfehlenswert. Eine gesetzliche Verpflichtung besteht allerdings nicht. Eine Schulung zu dem Thema ist grundsätzlich ausreichend.
Sollte Mobile Office gesondert geregelt werden?
Aufgrund der höheren Risiken, die durch Mobile Office für die Datensicherheit entstehen, ist eine gesonderte Regelung zu empfehlen. Diese kann auch in der allgemeinen Home-Office-Richtlinie erfolgen.
Wie kann man vorgehen, wenn Home-Office im Auftragsverarbeitungsvertrag untersagt ist?
In diesem Fall sollten sich die Vertragsparteien aufgrund der aktuellen Situation neu abstimmen. Hierfür können vertraglich geregelte Zustimmungen erteilt oder ergänzende Regelungen vereinbart werden, die das Verbot von Home-Office für die Zeit der Corona-Pandemie temporär ausschließen. Diese können die Verpflichtung zu entsprechenden Sicherheitsmaßnahmen enthalten.
