Tipps und Vorgaben zum Datenschutz im Home Office
Sie ist sozusagen die Bibel des Datenschutzes – die Europäische Datenschutz-Grundverordnung (DSGVO). Ihre Regeln und Vorgaben sollten unbedingt beachtet werden, wenn Unternehmen ihre Mitarbeiter, wie es während der aktuellen Corona-Pandemie geschieht, vermehrt ins Home Office schicken. Denn verwenden Mitarbeiter, die von zu Hause aus arbeiten, personenbezogene Daten, müssen Unternehmen weiterhin datenschutzrechtliche Vorgaben einhalten.
Ganz wichtig dabei: Der einzelne Mitarbeiter steht dabei nicht selbst in der Verantwortung. Vielmehr sind es die Unternehmen, die nach wie vor in der Pflicht stehen. Sie müssen dafür Sorge tragen, dass die Vorgaben der DSGVO eingehalten werden.
Eine entscheidende Richtlinie ist hierbei der Artikel 32 der DSGVO: Die Unternehmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Oder anders ausgedrückt: Der Arbeitgeber muss dafür sorgen, dass auch bei der Arbeit im Home Office personenbezogene Daten geschützt sind. Hierfür lohnt sich auch ein Blick in die Tipps des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum sicheren mobilen Arbeiten.
Dort heißt es, dass betroffene Mitarbeiter durch eine Sicherheitsrichtlinie sensibilisiert werden und Vorgaben zum sicheren Arbeiten erhalten. Denn der Faktor Mensch ist gerade bei der Tätigkeit im Home Office einer der wichtigsten Sicherheitsaspekte. Darüber hinaus wird die Verschlüsselung von Datenträgern empfohlen.
Natürlich ist es mit einer bloßen Sensibilisierung der Unternehmen nicht getan. Denn bei der Fortführung des Betriebs stellen sich den Unternehmen in der Praxis einige Fragen. Wie sieht es beispielsweise mit den Auftragsverarbeitungs-Verträgen mit Dienstleistern aus? Benötigen diese eine Unterschrift, was ja eventuell gar nicht möglich ist.
Die Antwort: Der europäische Gesetzgeber sieht zwar vor, dass laut Artikel 28, Absatz 9 der DSGVO ein Vertrag grundsätzlich schriftlich zu verfassen ist. Dies kann aber auch im elektronischen Format erfolgen. Zwar ist aktuell noch nicht abschließend geklärt, was konkret mit diesem elektronischen Format gemeint ist. Plausibel erscheint jedoch, den Vertrag per E-Mail-Austausch von PDF-Dokumenten oder auch über die Zustimmung auf einer Website abschließen zu können.
Letztlich, so sieht es jedenfalls das Bayerische Landesamt für Datenschutzaufsicht, müssen die Vertragspartner dafür sorgen, dass der elektronische Vertragsabschluss für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden hinreichend und beweiskräftig dokumentiert ist. Eine strenge Regelung, wie die handschriftliche Unterzeichnung oder der Einsatz von qualifizierter elektronischer Signatur, ist dabei aber nicht zwingend. Schlüsselbegriffe sind hierbei ein sicherer Remote-Zugriff, idealerweise VPN (Virtuelles Privates Netzwerk), notfalls sichere Cloud-Lösungen mit Ende-zu-Ende-Verschlüsselungen sowie die Entsorgung von vertraulichen Informationen.
Bei Fragen zum Datenschutz stehen Videokonferenzen, die im Zuge der Verlagerungen vieler Tätigkeiten ins Home Office einen wahren Boom erleben, ebenfalls im Fokus. Zwar waren diese Hilfsprogramme auch schon in Zeiten vor der Corona-Pandemie zum Einsatz gekommen. Doch aufgrund der steigenden Nachfrage ist es sicherlich geboten, Videokonferenz-Systeme wie Skype, Zoom, Nextcloud, Microsoft Teams, Go To Meeting oder Wire unter die Lupe zu nehmen und sie auf die Erfüllung von datenschutz- und sicherheitsrechtlichen Vorgaben zu überprüfen.
Checkliste zum Datenschutz im Home Office
Aus Sicht der DSGVO sollten sich Unternehmen hinsichtlich eines externen Videokonferenz-Anbieters mit folgenden Themen beschäftigen:
1. Nimmt der Dienstleister die Rolle eines Auftragsverarbeiters ein oder agiert er in eigener Verantwortung?
2. Informieren die Dienstleister ihre Nutzer über die stattfindende Datenverarbeitung, beispielsweise über eine eigene Datenschutzerklärung?
3. Ist der Einsatz des Dienstleisters oder der Software entsprechend im eigenen Verzeichnis der Verarbeitungstätigkeiten aufgenommen?
4. Wann werden Daten, die im Zuge des Einsatzes anfallen, zum Beispiel Registrierungsdaten von Teilnehmern einer Videokonferenz, gelöscht?
5. Sind Voreinstellungen der Software so gewählt, dass nur solche personenbezogenen Daten aktiviert und verarbeitet werden, die wirklich erforderlich sind, um den Dienst zu erbringen (Schutz der Privatsphäre)?
6. In diesem Zusammenhang empfiehlt es sich für Unternehmen, einen Vertrag zur Auftragsverarbeitung nach Artikel 28 des DSGVO mit dem Dienstleister abzuschließen, wenn dieser im Rahmen des Auftrages personenbezogene Daten verarbeitet.
Weitere Empfehlungen für die Unternehmen betreffen den Schutz der Geschäfts- und Betriebsgeheimnisse sowie die Kommunikation mit Kunden. Hierfür bietet sich eine Verschlüsselung der Datenverbindung an. Eine Transportverschlüsselung ist in diesem Fall der Minimalstandard. Zu befürworten sind daher Dienste, die eine Ende-zu-Ende-Verschlüsselung der Gespräche und Inhalte anbieten, wie dies etwa bei Wire oder Nextcloud der Fall ist.
Eine sinnvolle Maßnahme könnte auch das Verwenden einer Art Checkliste zum Einsatz von Tools und Software zur Kommunikation über das Internet sein. Dies könnte in Form einer umfassenden FAQ rund um das Thema “Datenschutz und Corona” geschehen. Geprüft werden könnten dabei Fragen wie beispielsweise, ob ein Konto benötigt wird oder Gastzugänge zur Verfügung stehen. Werden Analytics eingesetzt, wertet der Betreiber des Dienster die Daten der Nutzer aus und verwendet er sie kommerziell? Eine Frage wäre auch, ob die eingesetzte Software quelloffen und/oder frei ist. Und findet die Kommunikation verschlüsselt statt und wird der Dienst auf Servern in der EU betrieben?
Fazit
Auch und vor allem in der aktuellen Ausnahmesituation sollten Unternehmen an den Schutz personenbezogener Daten sowie von Betriebs- und Geschäftsgeheimnissen denken, wenn Mitarbeiter aus dem Home Office tätig sind. Die entsprechenden Schutzmaßnahmen bringen zwar gegebenenfalls einen gewissen Mehraufwand mit sich. Doch der hierfür erforderliche Aufwand dürfte im Vergleich zu den Schutzinteressen an den personenbezogenen Daten oder betriebsinternen Informationen für jedes Unternehmen gut handhabbar sein. Wird bei der Gestaltung des Arbeitsplatzes auf bestimmte Anforderungen eingegangen, dann bestehen auch aus datenschutzrechtlicher Sicht keine Bedenken für das Home Office und sowohl Arbeitgeber als auch Arbeitnehmer können davon profitieren.