Homeoffice: Rechtliche  und technische Voraussetzungen für erfolgreiche mobile Arbeit

Die Themen Datenschutz und -sicherheit spielen bei ortsflexibler Arbeit eine wichtige Rolle. Neben dem Schutz von personenbezogenen Daten muss auch die Sicherung der Betriebsdaten vor dem Zugriff unbefugter Dritter beachtet werden. Kann dies unter den Bedingungen mobiler Arbeit nicht gewährleistet werden, so bildet dies ein Ausschlusskriterium für die Durchführung der Tätigkeit im Homeoffice. Bei der Entscheidung, ob sich Tätigkeiten für mobiles Arbeiten eignen, empfiehlt es sich auch frühzeitig betriebliche Datenschutzbeauftragte zu beteiligen (sofern vorhanden).

Tätigkeiten, bei denen ein Zugriff auf besonders schützenswerte personenbezogene Daten nötig ist (nach Art. 9 Abs. 1 DSGVO z. B. Angaben zur rassischen und ethnischen Herkunft, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten etc.), werden häufig von Telearbeit bzw. mobiler Arbeit ausgeschlossen (Zanker et al. 2021). Die Verarbeitung solcher Daten ist nur dann vertretbar, wenn deren Schutz durch angemessene technisch-organisatorische Maßnahmen und entsprechende Kontrollmöglichkeiten der Arbeitgebenden gewährleistet ist (Art. 32 DSGVO): je sensibler und damit schützenswerter Daten sind, desto stärker sollten sie geschützt werden.

Hinweis

Homeoffice und Datenschutz gehören zwingend auf die Agenda des/der Datenschutzbeauftragten. Unter Umständen ist auch eine entsprechende Datenschutzschulung durch externe Expertinnen und Experten sinnvoll. Zudem können alle Mitarbeitenden, die zuhause arbeiten, mit einem Datenschutz-Kurs zum Homeoffice ausführlich gebrieft werden, welche Punkte es zu beachten gibt. Diese Datenschutzschulung fürs Homeoffice ist auch dann sinnvoll, wenn die Belegschaft bereits aus dem Homeoffice arbeitet (Strauß 2020).

In jedem Fall ist der Zugriff auf Daten von unterwegs oder aus dem Homeoffice durch geeignete technische Schutzmaßnahmen zu gewährleisten.

Technisch-organisatorische Maßnahmen
nach Art. 32 DSGVO können sein (BfDI 2020):

• Verwendung von sicher konfigurierten Rechnern (aktueller Virenschutz, Firewall, Verschlüsselungssoftware etc.); Vorzug von Hard- und Software, die durch die Arbeitgebenden bereitgestellt wird, vor der Nutzung privater Hard- und Software.
• Bei Verwendung privater Hard- und Software sind Vereinbarungen über die Kontrolle und Löschung beruflicher Daten sowie die deutliche Trennung von beruflichen und privaten Inhalten zu treffen.
• Sicherung von Daten oder Programmen von mobilen Endgeräten vor unberechtigtem Zugriff zum Beispiel über Passwortschutz, Blickschutzfilter (Sichtschutzfolie) für Notebooks und MonitoreVerbindung ausschließlich über ein sogenanntes Virtual Private Network (VPN).
• Verschlüsselung der Daten (Ende-zu-Ende) inkl. Ablageverschlüsselung auf dem mobilen Gerät.
• Keine private Nutzung der beruflich zur Verfügung gestellten IT-Ausstattung.

Um Sicherheitslücken zu schließen, ist eine regelmäßige Aktualisierung aller mobilen Geräte und Cloud-Dienste durch Updates erforderlich. Die Arbeitgebenden tragen die Verantwortung für den Schutz personenbezogener Daten und sollten daher in regelmäßigen Abständen kontrollieren, ob die getroffenen Maßnahmen ihren Zweck erfüllen und vereinbarte Vorgaben eingehalten werden. Vor diesem Hintergrund sind sie auch gefordert, die Mitarbeitenden über die Anforderungen des Datenschutzes zu informieren und auf dem Stand zu halten (Peschl 2023):

• Die Arbeitgebenden müssen ihre Beschäftigten auf die Anforderungen aus den Datenschutzvorschriften nach der DSGVO hinweisen und sie zu deren Beachtung und Einhaltung verpflichten. Diese Pflicht folgt aus der Weisungsgebundenheit der Beschäftigten im Datenschutz (Art. 29 DSGVO).
• Durch Arbeitsverträge und zusätzliche Verpflichtungserklärungen u. a. nach § 53 des Datengeheimnisses (BDSG neu) sind die Mitarbeitenden über Datenschutzanforderungen zu informieren. Mit  Datenverarbeitung befasste Beschäftigte dürfen personenbezogene Daten nicht unbefugt verarbeiten. Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.
• Regelmäßige Unterweisungen der Beschäftigten zu Datenschutzanforderungen, tragen dazu bei, personenbezogene sowie Kundendaten vor unberechtigten Zugriffen zu schützen.

Leseempfehlung

Ausführliche Informationen über Datenschutz und Datensicherheit sind in dem Wegweiser „Telearbeit und Mobiles Arbeiten“ zu finden, der vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) 2020 herausgegeben wurde.