• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Beiträge
    • ArbeitsRecht Kurios
    • #EFAR Top–Themen
    • #EFAR–Suche
  • #EFAR-Stellenangebote
    • #EFAR-Jobs
    • Legalhead
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
  • Gratis: Praxis-Leitfaden zur neuen Corona-Testpflicht und zu Impfungen
    Quelle : ArbRB-Blog 16.04.2021 - 12:24 Von ArbRB Redaktion
  • Posted workers: Austria implements the Directive but only for the construction industry
    Quelle : KLIEMT.blog 16.04.2021 - 07:00 Von Ius Laboris
  • Die Corona Testpflicht für Unternehmen kommt – Ein Überblick
    Quelle : CMSHS 15.04.2021 - 13:07 Von Paula Wernecke
  • Was bedeutet die Corona-Testangebotspflicht für Arbeitgeber?
    Quelle : Arbeitsrechtblog von OC 15.04.2021 - 11:44 Von Osborne Clarke
  • BAG erweitert Gestaltungsmöglichkeiten: „Auswechseln“ außerordentlicher Kündigungsgründe nach vorangegangener („Blanko“-)Kündigung
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 15.04.2021 - 09:00
  • Änderung der SARS-CoV-2-Arbeitsschutzverordnung: Verpflichtende Testangebote im Betrieb
    Quelle : KLIEMT.blog 15.04.2021 - 07:00 Von Lars Grützner
  • Steuerschaden bei unberechtigter Kündigung
    Quelle : Beck-Blog 15.04.2021 - 06:00 Von Christian.Rolfs
  • Welche Ausstattung braucht der digitale Betriebsrat?
    Quelle : Beck-Blog 14.04.2021 - 16:24 Von Martin.Biebl
  • Keine Schützenhilfe des Betriebsrates bei Betriebsübergang – Zuordnung des Arbeitnehmers gem. § 613a BGB auch ohne betriebsverfassungsrechtliche Wirksamkeit der Versetzung
    Quelle : CMSHS 14.04.2021 - 15:33 Von Barbara Bittmann
  • China: Protection of Personal Information – Moving Closer to a Chinese GDPR?
    Quelle : Beiten Burkhardt 14.04.2021 - 14:00 Von Simon Henke, Susanne Rademacher
  • Update: „Testangebotspflicht“ für Unternehmen (Stand: 14. April 2021)
    Quelle : Küttner Feed 14.04.2021 - 09:45
  • Außerordentliche Kündigung bei Gefahr einer Corona-Infektion?
    Quelle : PWWL 14.04.2021 - 08:22 Von alice
  • Personalgespräch – wann muss ein Arbeitnehmer persönlich erscheinen?
    Quelle : KLIEMT.blog 14.04.2021 - 07:00 Von Alexander Steven
  • (K)ein neues Mitbestimmungsrecht für den Betriebsrat bei mobiler Arbeit
    Quelle : Esche 14.04.2021 - 00:00
  • Die Wohlfühl-Testpflicht im Arbeitsverhältnis ab KW 16/2021
    Quelle : ArbRB-Blog 13.04.2021 - 18:13 Von Detlef Grimm
  • Arbeitgeber müssen ab nächster Woche Corona-Schnelltests anbieten
    Quelle : ArbRB-Blog 13.04.2021 - 17:00 Von Stefan Freh
  • Kabinett beschließt Betriebsrätemodernisierungsgesetz
    Quelle : ArbRB-Blog 13.04.2021 - 14:17 Von Thomas Niklas
  • Was lange währt, ... Testpflicht light
    Quelle : Beck-Blog 13.04.2021 - 13:42 Von Martin.Biebl
  • EuGH: Rufbereitschaft kann im Einzelfall Arbeitszeit sein.
    Quelle : Buse 13.04.2021 - 08:00 Von Dr. Julia Bruck
  • Urlaubsgewährung trotz fristloser Arbeitgeberkündigung?
    Quelle : KLIEMT.blog 13.04.2021 - 07:00 Von Dr. Christoph Bergwitz

Datenschutz im Home Office: Verantwortlichkeit, Haftung und Regelungsbedarf

  • 25. Juni 2019 |
  • Dr. Christoph Kurzböck

Arbeit im Home Office kann für Unternehmen und Beschäftigte gewinnbringend sein. Wie kann auch im Home Office der Datenschutz und die IT-Sicherheit gewährleistet werden? Wer trägt die Verantwortung?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Home Office wird in vielen Unternehmen als ein beliebtes Mittel genutzt, um Arbeitszeit flexibel zu gestalten. Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Aber wie kann auch im Home Office der notwendige Datenschutz und die IT-Sicherheit gewährleistet werden? Wer trägt hierfür die Verantwortung?

Das Datenschutzrecht schließt Arbeit im Home Office natürlich nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen. Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. (ergänzend zu Fragen von Gefährdungsbeurteilung und Arbeitsschutz im Home Office).

Home Office und Datenschutz: Die Risiken 

Unter „Telearbeit“, wie „Home Office“ in der einschlägigen Literatur gerne auch bezeichnet wird, versteht man grundsätzlich eine berufliche Tätigkeit, die außerhalb konventioneller Betriebsstätten meist im häuslichen Bereich unter Nutzung von Telekommunikation durchgeführt wird. Telearbeit kann sowohl in einem klassischen Arbeitsverhältnis stattfinden als auch in Form eines freien Mitarbeiterverhältnisses.

Spezielle gesetzliche Vorschriften zu diesem Thema gibt es nicht. Werden personenbezogene Daten im Home Office verarbeitet, so birgt dies immer Risiken für die Persönlichkeitsrechte der betroffenen Personen. Schließlich ist ein Datenmissbrauch oder eine unbefugte Einsichtnahme der Daten durch Dritte leichter möglich, wenn die Arbeit außerhalb der Betriebsstätte verrichtet wird.

Datenschutz im Home Office: Wer trägt die Verantwortung?

Keine Rolle bei der Beurteilung, wer Verantwortlicher ist, spielt, welche Art von Daten verarbeitet werden. Verarbeitet werden können auch im Home Office somit Beschäftigtendaten, Daten von Geschäftspartnern oder von Kunden. Vielmehr bestimmt die Datenschutzgrund-Verordnung (DS-GVO), dass derjenige „Verantwortliche“ ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DS-GVO). Im Rahmen eines klassischen Arbeitsverhältnisses entscheidet das Unternehmen als Arbeitgeber, das seine Weisungsbefugnis gegenüber dem Arbeitnehmer hinsichtlich der einzelnen Arbeitsaufgaben und damit auch hinsichtlich der datenschutzrelevanten Verarbeitungstätigkeiten ausübt.

Arbeitet ein freier Mitarbeiter im Home Office ist er meist aufgrund eines Werk- oder Dienstvertrages tätig. Auch hier bestimmt der Arbeitgeber die Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher, es sei denn der freie Mitarbeiter erbringt eine eigene Fachleistung, weshalb die Datenverarbeitung keinen wichtigen (Kern-)Bestandteil der Tätigkeit ausmacht und nicht im Vordergrund steht. Dann wäre der freie Mitarbeiter verantwortliche Stelle. In allen anderen Fällen unterliegt die Datenverarbeitung durch den freien Mitarbeiter den Regeln der Auftragsverarbeitung (Art. 28 DS-GVO), da sie im datenschutzrechtlichen Sinne im Auftrag des Arbeitgebers erfolgt. Dies hat zur Folge, dass mit dem freien Mitarbeiter ein Vertrag über die Auftragsverarbeitung geschlossen werden muss. Der Telearbeiter im Home Office ist grundsätzlich nie Verantwortlicher im Sinne der DS-GVO für die Daten, die er für das Unternehmen verarbeitet.

Datenschutz im Home Office: Wer haftet?

Das Unternehmen als verantwortliche Stelle ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet seinen Vertragspartnern daher für etwaige Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten. Sollte eine Aufsichtsbehörde ein Bußgeld verhängen, so trifft dies auch das Unternehmen direkt. Ist der im Home Office arbeitende Telearbeiter Arbeitnehmer der verantwortlichen Stelle haftet er nie nach außen. Das Unternehmen kann sich höchstens im Innenverhältnis gegenüber dem im Home Office – Arbeitenden nach den Grundsätzen über die eingeschränkte Arbeitnehmerhaftung schadlos halten.

Die Haftung richtet sich hier nach dem Verschuldensgrad. Bei Vorsatz haftet der Arbeitnehmer voll, aber auch nur wenn sich der Vorsatz nicht nur auf die Pflichtverletzung bezieht, sondern auch auf den Schaden. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer nicht, bei mittlerer Fahrlässigkeit anteilig. Im Ergebnis bestünde in vielen Fällen für das Unternehmen keine Möglichkeit, Regress beim Arbeitnehmer zu nehmen.

Handelt es sich dagegen beim freien Mitarbeiter um einen Auftragsverarbeiter, so kann er in voller Höhe auf Schadensersatz in Anspruch genommen werden. Ebenso können Bußgelder direkt gegen ihn verhängt werden.

Welche Schutzmaßnahmen sind zu ergreifen?

Nach Art. 24 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Dabei müssen die Maßnahmen so gewählt und getroffen werden, dass sie in ihrer Gesamtheit einen ausreichenden Schutz für die Daten bieten. Hierbei spielen die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte der betroffenen Personen eine Rolle.

Bei besonders schutzwürdigen Daten sollte sorgfältig abgewogen werden, ob und unter welchen Vorkehrungen sich bestimmte Aufgaben für Home Office – Arbeiten eignen. Zu den besonders schützenswerten personenbezogenen Daten gehören insbesondere die in Art. 9 Absatz 1 DS-GVO genannten Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten werden in der DS-GVO als besondere Kategorien von personenbezogenen Daten bezeichnet. Hier ist im Einzelfall zu entscheiden, ob technische und organisatorische Maßnahmen das Risiko für die personenbezogenen Daten soweit minimieren, dass eine Verarbeitung im Home Office vertretbar ist. Je sensibler und folglich schützenswerter personenbezogene Daten sind, desto stärker sind sie auch zu schützen.

Mal im Büro, mal im Home Office: Und die Daten?

Wird die Tätigkeit mal im Büro, mal im Home Office verrichtet und deshalb Betriebsmittel aus dem Betrieb an einen anderen Ort transportiert, so ist dem Arbeitnehmer durch vertragliche Verpflichtung aufzugeben, notwendige Schutzmaßnahmen während des Transports von Unterlagen und Datenträgern zu treffen. So sollten Datenträger und Unterlagen nie unbeaufsichtigt gelassen werden. Datenträger sollten stets verschlüsselt und entsprechend gesichert und Papierunterlagen nur in verschlossenen Behältnissen transportiert werden.

Eine geeignete organisatorische Maßnahme kann auch darin liegen, die Arbeitsabläufe im Home Office durch vertragliche Verpflichtung so zu gestalten, dass die Home Office – Tätigkeit vollelektronisch erfolgt. Die Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit personenbezogenen Daten und die Übermittlung der Arbeitsergebnisse sollten rein automatisiert über IT-Betriebsmittel (Laptop, Tablet, etc.) erfolgen. Somit entfällt auch die Notwendigkeit des Transports von Unterlagen und damit das Risiko des Verlusts, der Beschädigung oder der unbefugten Kenntnisnahme. Der Einsatz von privater Hard- und Software sollte untersagt werden. Erfolgt die Home Office – Arbeit nicht ausschließlich medienbruchfrei, d.h. vollelektronisch, sollten geeignete häusliche Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten geben. Schließlich dürfen auch die mit dem Home Office – Arbeitenden in häuslicher Gemeinschaft lebenden Personen keinen Zugriff auf die Daten haben.

Arbeitgeber sollten sich Kontrollrechte sichern

Weiter ist darauf zu achten, dass sich der Arbeitgeber genügend Kontrollrechte einräumt. Der Arbeitgeber sollte sich idealerweise vertraglich das Recht einräumen lassen, grundsätzlich Zugang zur Wohnung des im Home Office – Arbeitenden verlangen zu können, um die Einhaltung der datenschutzrechtlichen Vorgaben überprüfen zu können. Die Zutrittsrechte sollten auch die sonstigen Kontrollberechtigten, wie z. B. den betrieblichen oder behördlichen Beauftragten für den Datenschutz umfassen.

Von manchen Aufsichtsbehörden wird als weitere technische Maßnahme empfohlen, die Online-Kommunikation aus dem Home Office ausschließlich über eine VPN-Verbindung (Virtual Private Network) laufen zu lassen und keine Anbindung von betriebsfremden Druckern zuzulassen.

Datenschutz im Home Office: Regelungsbedarf sehen und nutzen

Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen.

Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. Ebenso könnte es sich anbieten, die Datenschutzgrundsätze für Home Office – Tätigkeiten in einer Betriebsvereinbarung festzulegen, sofern ein Betriebsrat existiert.

RA/FAArb Dr. Christoph Kurzböck, LL.M.
Associate Partner
Rödl & Partner (Nürnberg)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

 

 

Kategorien: #EFAR-Beiträge Tags: Corona, Datenschutz, Homeoffice

  • Dr. Christoph Kurzböck

    RA/FAArb Dr. Christoph Kurzböck, LL.M. Associate Partner Rödl & Partner (Nürnberg) #EFAR - ProfilLinkedIn Xing

Ähnliche Beiträge

Arbeitsschutz
12. März 2021 - Dr. Elena Heimann

Zweite Welle von Homeoffice-Regelungen – oder: Aktuelle Änderungen in der SARS-CoV-2-Arbeitsschutzve...

Bekanntlich war die Corona-Arbeitsschutzverordnung zunächst zeitlich bis zum Ablauf des 14.03.2021 befristet. Nun erfolgen sowohl die Verlängerung bis zum 30.04.2021 als auch inhaltliche Ergänzungen und Neuregelungen.
Lesen
Corona
10. Februar 2021 - Prof. Dr. Michael Fuhlrott

Darf der Arbeitgeber nach dem Impfstatus fragen?

Es gibt sie bereits: in erster Priorität zu impfende Beschäftigte (Pflegekräfte), die bereits derzeit impfanspruchsberechtigt sind. Dürfen Arbeitgeber diese (und künftig) weitere Beschäftigte nach dem Impfstatus etwa im Personalfragebogen befragen? Müssen die Arbeitnehmer hierauf wahrheitsgemäß antworten?
Lesen
Corona
9. Februar 2021 - Markus Künzel

Die „impfbedingte“ Kündigung des Arbeitsverhältnisses

Wird es eine gesetzliche Verpflichtung zur Schutzimpfung gegen Sars-CoV-2 geben? Oder darf der Arbeitgeber wenigstens die Impfung kraft Direktionsrecht bei Arbeitnehmern anordnen und das Arbeitsverhältnis mit Impfverweigerern kündigen?
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • Live–Log
  • ArbeitsRecht kurios
  • #EFAR–Stellenangebote
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Außerordentliche Kündigung durch Arbeitgeber: BAG erweitert Gestaltungsmöglichkeiten
  • Betriebsrätemodernisierungsgesetz: Scheinheilige Reform der Betriebsverfassung oder tatsächliche Veränderung?
  • Vertriebstipps des Landessozialgerichts Thüringen
  • Umkleide-, Rüst- und Wegezeiten von Wachpolizisten u.U. nicht vergütungspfichtig
  • Unwirksamkeit einer formularvertraglichen Regelung zur Kurzarbeit

#EFAR – Jobs

  • ESCHE SCHÜMANN COMMICHAU Rechtsanwalt (m/w/d) – Arbeitsrecht Hamburg
  • Heraeus Syndikus-Rechtsanwalt (m/w/d) imArbeitsrecht Hanau
  • Taylor Wessing Associate (w/m/d) Arbeitsrecht Hamburg
  • Taylor Wessing Associate (w/m/d) Arbeitsrecht München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.

Anzeige
×