Das Thema
Home Office wird in vielen Unternehmen als ein beliebtes Mittel genutzt, um Arbeitszeit flexibel zu gestalten. Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Aber wie kann auch im Home Office der notwendige Datenschutz und die IT-Sicherheit gewährleistet werden? Wer trägt hierfür die Verantwortung?
Das Datenschutzrecht schließt Arbeit im Home Office natürlich nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen. Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. (ergänzend zu Fragen von Gefährdungsbeurteilung und Arbeitsschutz im Home Office).
Home Office und Datenschutz: Die Risiken
Unter „Telearbeit“, wie „Home Office“ in der einschlägigen Literatur gerne auch bezeichnet wird, versteht man grundsätzlich eine berufliche Tätigkeit, die außerhalb konventioneller Betriebsstätten meist im häuslichen Bereich unter Nutzung von Telekommunikation durchgeführt wird. Telearbeit kann sowohl in einem klassischen Arbeitsverhältnis stattfinden als auch in Form eines freien Mitarbeiterverhältnisses.
Spezielle gesetzliche Vorschriften zu diesem Thema gibt es nicht. Werden personenbezogene Daten im Home Office verarbeitet, so birgt dies immer Risiken für die Persönlichkeitsrechte der betroffenen Personen. Schließlich ist ein Datenmissbrauch oder eine unbefugte Einsichtnahme der Daten durch Dritte leichter möglich, wenn die Arbeit außerhalb der Betriebsstätte verrichtet wird.
Datenschutz im Home Office: Wer trägt die Verantwortung?
Keine Rolle bei der Beurteilung, wer Verantwortlicher ist, spielt, welche Art von Daten verarbeitet werden. Verarbeitet werden können auch im Home Office somit Beschäftigtendaten, Daten von Geschäftspartnern oder von Kunden. Vielmehr bestimmt die Datenschutzgrund-Verordnung (DS-GVO), dass derjenige „Verantwortliche“ ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DS-GVO). Im Rahmen eines klassischen Arbeitsverhältnisses entscheidet das Unternehmen als Arbeitgeber, das seine Weisungsbefugnis gegenüber dem Arbeitnehmer hinsichtlich der einzelnen Arbeitsaufgaben und damit auch hinsichtlich der datenschutzrelevanten Verarbeitungstätigkeiten ausübt.
Arbeitet ein freier Mitarbeiter im Home Office ist er meist aufgrund eines Werk- oder Dienstvertrages tätig. Auch hier bestimmt der Arbeitgeber die Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher, es sei denn der freie Mitarbeiter erbringt eine eigene Fachleistung, weshalb die Datenverarbeitung keinen wichtigen (Kern-)Bestandteil der Tätigkeit ausmacht und nicht im Vordergrund steht. Dann wäre der freie Mitarbeiter verantwortliche Stelle. In allen anderen Fällen unterliegt die Datenverarbeitung durch den freien Mitarbeiter den Regeln der Auftragsverarbeitung (Art. 28 DS-GVO), da sie im datenschutzrechtlichen Sinne im Auftrag des Arbeitgebers erfolgt. Dies hat zur Folge, dass mit dem freien Mitarbeiter ein Vertrag über die Auftragsverarbeitung geschlossen werden muss. Der Telearbeiter im Home Office ist grundsätzlich nie Verantwortlicher im Sinne der DS-GVO für die Daten, die er für das Unternehmen verarbeitet.
Datenschutz im Home Office: Wer haftet?
Das Unternehmen als verantwortliche Stelle ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet seinen Vertragspartnern daher für etwaige Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten. Sollte eine Aufsichtsbehörde ein Bußgeld verhängen, so trifft dies auch das Unternehmen direkt. Ist der im Home Office arbeitende Telearbeiter Arbeitnehmer der verantwortlichen Stelle haftet er nie nach außen. Das Unternehmen kann sich höchstens im Innenverhältnis gegenüber dem im Home Office – Arbeitenden nach den Grundsätzen über die eingeschränkte Arbeitnehmerhaftung schadlos halten.
Die Haftung richtet sich hier nach dem Verschuldensgrad. Bei Vorsatz haftet der Arbeitnehmer voll, aber auch nur wenn sich der Vorsatz nicht nur auf die Pflichtverletzung bezieht, sondern auch auf den Schaden. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer nicht, bei mittlerer Fahrlässigkeit anteilig. Im Ergebnis bestünde in vielen Fällen für das Unternehmen keine Möglichkeit, Regress beim Arbeitnehmer zu nehmen.
Handelt es sich dagegen beim freien Mitarbeiter um einen Auftragsverarbeiter, so kann er in voller Höhe auf Schadensersatz in Anspruch genommen werden. Ebenso können Bußgelder direkt gegen ihn verhängt werden.
Welche Schutzmaßnahmen sind zu ergreifen?
Nach Art. 24 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Dabei müssen die Maßnahmen so gewählt und getroffen werden, dass sie in ihrer Gesamtheit einen ausreichenden Schutz für die Daten bieten. Hierbei spielen die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte der betroffenen Personen eine Rolle.
Bei besonders schutzwürdigen Daten sollte sorgfältig abgewogen werden, ob und unter welchen Vorkehrungen sich bestimmte Aufgaben für Home Office – Arbeiten eignen. Zu den besonders schützenswerten personenbezogenen Daten gehören insbesondere die in Art. 9 Absatz 1 DS-GVO genannten Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten werden in der DS-GVO als besondere Kategorien von personenbezogenen Daten bezeichnet. Hier ist im Einzelfall zu entscheiden, ob technische und organisatorische Maßnahmen das Risiko für die personenbezogenen Daten soweit minimieren, dass eine Verarbeitung im Home Office vertretbar ist. Je sensibler und folglich schützenswerter personenbezogene Daten sind, desto stärker sind sie auch zu schützen.
Mal im Büro, mal im Home Office: Und die Daten?
Wird die Tätigkeit mal im Büro, mal im Home Office verrichtet und deshalb Betriebsmittel aus dem Betrieb an einen anderen Ort transportiert, so ist dem Arbeitnehmer durch vertragliche Verpflichtung aufzugeben, notwendige Schutzmaßnahmen während des Transports von Unterlagen und Datenträgern zu treffen. So sollten Datenträger und Unterlagen nie unbeaufsichtigt gelassen werden. Datenträger sollten stets verschlüsselt und entsprechend gesichert und Papierunterlagen nur in verschlossenen Behältnissen transportiert werden.
Eine geeignete organisatorische Maßnahme kann auch darin liegen, die Arbeitsabläufe im Home Office durch vertragliche Verpflichtung so zu gestalten, dass die Home Office – Tätigkeit vollelektronisch erfolgt. Die Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit personenbezogenen Daten und die Übermittlung der Arbeitsergebnisse sollten rein automatisiert über IT-Betriebsmittel (Laptop, Tablet, etc.) erfolgen. Somit entfällt auch die Notwendigkeit des Transports von Unterlagen und damit das Risiko des Verlusts, der Beschädigung oder der unbefugten Kenntnisnahme. Der Einsatz von privater Hard- und Software sollte untersagt werden. Erfolgt die Home Office – Arbeit nicht ausschließlich medienbruchfrei, d.h. vollelektronisch, sollten geeignete häusliche Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten geben. Schließlich dürfen auch die mit dem Home Office – Arbeitenden in häuslicher Gemeinschaft lebenden Personen keinen Zugriff auf die Daten haben.
Arbeitgeber sollten sich Kontrollrechte sichern
Weiter ist darauf zu achten, dass sich der Arbeitgeber genügend Kontrollrechte einräumt. Der Arbeitgeber sollte sich idealerweise vertraglich das Recht einräumen lassen, grundsätzlich Zugang zur Wohnung des im Home Office – Arbeitenden verlangen zu können, um die Einhaltung der datenschutzrechtlichen Vorgaben überprüfen zu können. Die Zutrittsrechte sollten auch die sonstigen Kontrollberechtigten, wie z. B. den betrieblichen oder behördlichen Beauftragten für den Datenschutz umfassen.
Von manchen Aufsichtsbehörden wird als weitere technische Maßnahme empfohlen, die Online-Kommunikation aus dem Home Office ausschließlich über eine VPN-Verbindung (Virtual Private Network) laufen zu lassen und keine Anbindung von betriebsfremden Druckern zuzulassen.
Datenschutz im Home Office: Regelungsbedarf sehen und nutzen
Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen.
Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. Ebenso könnte es sich anbieten, die Datenschutzgrundsätze für Home Office – Tätigkeiten in einer Betriebsvereinbarung festzulegen, sofern ein Betriebsrat existiert.
RA/FAArb Dr. Christoph Kurzböck, LL.M.
Associate Partner
Rödl & Partner (Nürnberg)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
