• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Beiträge
    • ArbeitsRecht Kurios
    • #EFAR Top–Themen
    • #EFAR–Suche
  • #EFAR-Stellenangebote
    • #EFAR-Jobs
    • Legalhead
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
  • LAG Düsseldorf: Kündigung wegen Entwendens von Desinfektionsmittel rechtmäßig
    Quelle : Beck-Blog 16.01.2021 - 12:34 Von stoffels
  • Wieder ganz vorne dabei – KLIEMT.Arbeitsrecht weiterhin mit Spitzenposition bei Legal 500 Deutschland
    Quelle : KLIEMT.blog 15.01.2021 - 11:25 Von KLIEMT.Arbeitsrecht
  • Corona – erhebliche Ausweitung des Anspruchs auf Kinderkrankengeld.
    Quelle : Buse 15.01.2021 - 08:00 Von Dr. Julia Bruck
  • Free speech and the US First Amendment: where it is implicated, and where it is not
    Quelle : KLIEMT.blog 15.01.2021 - 07:30 Von Ius Laboris
  • Das neue Kinderkrankengeld – auch bei gesunden Kindern
    Quelle : Esche 15.01.2021 - 00:00
  • Das neue Corona-Kinderkrankengeld nach § 45 Abs. 2a und 2b SGB V
    Quelle : ArbRB-Blog 14.01.2021 - 16:21 Von Detlef Grimm
  • Anspruch auf Arbeitsbefreiung an Rosenmontag – auch wenn der „Zoch“ corona- bzw. pandemiebedingt nicht „kütt“?
    Quelle : ArbRB-Blog 14.01.2021 - 14:58 Von Andrea Bonanni
  • Impfpflicht für Pflegepersonal in Alten- und Pflegeheimen kraft arbeitgeberseitiger Weisung?
    Quelle : Beck-Blog 14.01.2021 - 13:29 Von stoffels
  • Einführung von Kurzarbeit durch fristlose Änderungskündigung
    Quelle : PWWL 14.01.2021 - 12:37 Von alice
  • Ausblick auf das Wettbewerbsregister
    Quelle : Beiten Burkhardt 14.01.2021 - 13:00 Von Christopher Theis
  • Scheitern von Verhandlungen über Interessenausgleich in der Einigungsstelle
    Quelle : KLIEMT.blog 14.01.2021 - 09:31 Von Dr. Jan Heuer
  • Free speech and the US First Amendment: where it is implicated, and where it is not
    Quelle : KLIEMT.blog 14.01.2021 - 07:30 Von Ius Laboris
  • Übernahme von Betrieben oder Betriebsteilen während des Bezugs von Kurzarbeitergeld?
    Quelle : Esche 14.01.2021 - 06:00
  • Maskenbefreiung am Arbeitsplatz – Nur mit nachvollziehbarer Begründung!
    Quelle : KLIEMT.blog 13.01.2021 - 08:00 Von Dr. Elke Platzhoff Dipl.-Bw. (FH)
  • Weiterhin kein James Bond im Kino und kein Ende des Lockdown für berufstätige Eltern
    Quelle : Beiten Burkhardt 12.01.2021 - 13:00 Von Dr. Erik Schmid
  • Schon wieder Bußgeld wegen Videoüberwachung am Arbeitsplatz.
    Quelle : Buse 12.01.2021 - 08:00 Von Tobias Vößing
  • Mitbestimmung in der Matrix
    Quelle : KLIEMT.blog 12.01.2021 - 08:00 Von Vanessa Heuer
  • Begründung des BVerfG zur Ablehnung einstweiliger Anordnungen gegen Teile des Arbeitsschutzkontrollgesetzes liegt vor
    Quelle : Beck-Blog 11.01.2021 - 21:22 Von stoffels
  • Gegen die Homeoffice-Muffel: (K)Eine allgemeine Pflicht zur Arbeit von zu Hause während der Krise?
    Quelle : Beck-Blog 11.01.2021 - 13:37 Von Martin.Biebl
  • Inhaltliche Anforderungen an ärztliche Atteste zur Befreiung von der Maskenpflicht und zu erfolgten und gesundheitsbedingt nicht erfolgten Impfungen
    Quelle : ArbRB-Blog 11.01.2021 - 12:56 Von Wolfgang Kleinebrink

Datenschutz im Home Office: Verantwortlichkeit, Haftung und Regelungsbedarf

  • 25. Juni 2019 |
  • Dr. Christoph Kurzböck

Arbeit im Home Office kann für Unternehmen und Beschäftigte gewinnbringend sein. Wie kann auch im Home Office der Datenschutz und die IT-Sicherheit gewährleistet werden? Wer trägt die Verantwortung?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Home Office wird in vielen Unternehmen als ein beliebtes Mittel genutzt, um Arbeitszeit flexibel zu gestalten. Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Aber wie kann auch im Home Office der notwendige Datenschutz und die IT-Sicherheit gewährleistet werden? Wer trägt hierfür die Verantwortung?

Das Datenschutzrecht schließt Arbeit im Home Office natürlich nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen. Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. (ergänzend zu Fragen von Gefährdungsbeurteilung und Arbeitsschutz im Home Office).

Home Office und Datenschutz: Die Risiken 

Unter „Telearbeit“, wie „Home Office“ in der einschlägigen Literatur gerne auch bezeichnet wird, versteht man grundsätzlich eine berufliche Tätigkeit, die außerhalb konventioneller Betriebsstätten meist im häuslichen Bereich unter Nutzung von Telekommunikation durchgeführt wird. Telearbeit kann sowohl in einem klassischen Arbeitsverhältnis stattfinden als auch in Form eines freien Mitarbeiterverhältnisses.

Spezielle gesetzliche Vorschriften zu diesem Thema gibt es nicht. Werden personenbezogene Daten im Home Office verarbeitet, so birgt dies immer Risiken für die Persönlichkeitsrechte der betroffenen Personen. Schließlich ist ein Datenmissbrauch oder eine unbefugte Einsichtnahme der Daten durch Dritte leichter möglich, wenn die Arbeit außerhalb der Betriebsstätte verrichtet wird.

Datenschutz im Home Office: Wer trägt die Verantwortung?

Keine Rolle bei der Beurteilung, wer Verantwortlicher ist, spielt, welche Art von Daten verarbeitet werden. Verarbeitet werden können auch im Home Office somit Beschäftigtendaten, Daten von Geschäftspartnern oder von Kunden. Vielmehr bestimmt die Datenschutzgrund-Verordnung (DS-GVO), dass derjenige „Verantwortliche“ ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DS-GVO). Im Rahmen eines klassischen Arbeitsverhältnisses entscheidet das Unternehmen als Arbeitgeber, das seine Weisungsbefugnis gegenüber dem Arbeitnehmer hinsichtlich der einzelnen Arbeitsaufgaben und damit auch hinsichtlich der datenschutzrelevanten Verarbeitungstätigkeiten ausübt.

Arbeitet ein freier Mitarbeiter im Home Office ist er meist aufgrund eines Werk- oder Dienstvertrages tätig. Auch hier bestimmt der Arbeitgeber die Zwecke und Mittel der Verarbeitung und ist damit Verantwortlicher, es sei denn der freie Mitarbeiter erbringt eine eigene Fachleistung, weshalb die Datenverarbeitung keinen wichtigen (Kern-)Bestandteil der Tätigkeit ausmacht und nicht im Vordergrund steht. Dann wäre der freie Mitarbeiter verantwortliche Stelle. In allen anderen Fällen unterliegt die Datenverarbeitung durch den freien Mitarbeiter den Regeln der Auftragsverarbeitung (Art. 28 DS-GVO), da sie im datenschutzrechtlichen Sinne im Auftrag des Arbeitgebers erfolgt. Dies hat zur Folge, dass mit dem freien Mitarbeiter ein Vertrag über die Auftragsverarbeitung geschlossen werden muss. Der Telearbeiter im Home Office ist grundsätzlich nie Verantwortlicher im Sinne der DS-GVO für die Daten, die er für das Unternehmen verarbeitet.

Datenschutz im Home Office: Wer haftet?

Das Unternehmen als verantwortliche Stelle ist für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet seinen Vertragspartnern daher für etwaige Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten. Sollte eine Aufsichtsbehörde ein Bußgeld verhängen, so trifft dies auch das Unternehmen direkt. Ist der im Home Office arbeitende Telearbeiter Arbeitnehmer der verantwortlichen Stelle haftet er nie nach außen. Das Unternehmen kann sich höchstens im Innenverhältnis gegenüber dem im Home Office – Arbeitenden nach den Grundsätzen über die eingeschränkte Arbeitnehmerhaftung schadlos halten.

Die Haftung richtet sich hier nach dem Verschuldensgrad. Bei Vorsatz haftet der Arbeitnehmer voll, aber auch nur wenn sich der Vorsatz nicht nur auf die Pflichtverletzung bezieht, sondern auch auf den Schaden. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer nicht, bei mittlerer Fahrlässigkeit anteilig. Im Ergebnis bestünde in vielen Fällen für das Unternehmen keine Möglichkeit, Regress beim Arbeitnehmer zu nehmen.

Handelt es sich dagegen beim freien Mitarbeiter um einen Auftragsverarbeiter, so kann er in voller Höhe auf Schadensersatz in Anspruch genommen werden. Ebenso können Bußgelder direkt gegen ihn verhängt werden.

Welche Schutzmaßnahmen sind zu ergreifen?

Nach Art. 24 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten datenschutzkonform erfolgt. Dabei müssen die Maßnahmen so gewählt und getroffen werden, dass sie in ihrer Gesamtheit einen ausreichenden Schutz für die Daten bieten. Hierbei spielen die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte der betroffenen Personen eine Rolle.

Bei besonders schutzwürdigen Daten sollte sorgfältig abgewogen werden, ob und unter welchen Vorkehrungen sich bestimmte Aufgaben für Home Office – Arbeiten eignen. Zu den besonders schützenswerten personenbezogenen Daten gehören insbesondere die in Art. 9 Absatz 1 DS-GVO genannten Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten werden in der DS-GVO als besondere Kategorien von personenbezogenen Daten bezeichnet. Hier ist im Einzelfall zu entscheiden, ob technische und organisatorische Maßnahmen das Risiko für die personenbezogenen Daten soweit minimieren, dass eine Verarbeitung im Home Office vertretbar ist. Je sensibler und folglich schützenswerter personenbezogene Daten sind, desto stärker sind sie auch zu schützen.

Mal im Büro, mal im Home Office: Und die Daten?

Wird die Tätigkeit mal im Büro, mal im Home Office verrichtet und deshalb Betriebsmittel aus dem Betrieb an einen anderen Ort transportiert, so ist dem Arbeitnehmer durch vertragliche Verpflichtung aufzugeben, notwendige Schutzmaßnahmen während des Transports von Unterlagen und Datenträgern zu treffen. So sollten Datenträger und Unterlagen nie unbeaufsichtigt gelassen werden. Datenträger sollten stets verschlüsselt und entsprechend gesichert und Papierunterlagen nur in verschlossenen Behältnissen transportiert werden.

Eine geeignete organisatorische Maßnahme kann auch darin liegen, die Arbeitsabläufe im Home Office durch vertragliche Verpflichtung so zu gestalten, dass die Home Office – Tätigkeit vollelektronisch erfolgt. Die Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit personenbezogenen Daten und die Übermittlung der Arbeitsergebnisse sollten rein automatisiert über IT-Betriebsmittel (Laptop, Tablet, etc.) erfolgen. Somit entfällt auch die Notwendigkeit des Transports von Unterlagen und damit das Risiko des Verlusts, der Beschädigung oder der unbefugten Kenntnisnahme. Der Einsatz von privater Hard- und Software sollte untersagt werden. Erfolgt die Home Office – Arbeit nicht ausschließlich medienbruchfrei, d.h. vollelektronisch, sollten geeignete häusliche Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten geben. Schließlich dürfen auch die mit dem Home Office – Arbeitenden in häuslicher Gemeinschaft lebenden Personen keinen Zugriff auf die Daten haben.

Arbeitgeber sollten sich Kontrollrechte sichern

Weiter ist darauf zu achten, dass sich der Arbeitgeber genügend Kontrollrechte einräumt. Der Arbeitgeber sollte sich idealerweise vertraglich das Recht einräumen lassen, grundsätzlich Zugang zur Wohnung des im Home Office – Arbeitenden verlangen zu können, um die Einhaltung der datenschutzrechtlichen Vorgaben überprüfen zu können. Die Zutrittsrechte sollten auch die sonstigen Kontrollberechtigten, wie z. B. den betrieblichen oder behördlichen Beauftragten für den Datenschutz umfassen.

Von manchen Aufsichtsbehörden wird als weitere technische Maßnahme empfohlen, die Online-Kommunikation aus dem Home Office ausschließlich über eine VPN-Verbindung (Virtual Private Network) laufen zu lassen und keine Anbindung von betriebsfremden Druckern zuzulassen.

Datenschutz im Home Office: Regelungsbedarf sehen und nutzen

Arbeit im Home Office kann sowohl für die Unternehmen als auch die Beschäftigten gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen gewissen Mindestschutz für die personenbezogenen Daten, insbesondere geeignete technische und organisatorische Maßnahmen.

Unternehmen als verantwortliche Stelle sollten ihren Mitarbeitern nur Home Office gestatten, wenn es hierüber eine klare vertragliche Vereinbarung gibt. Ebenso könnte es sich anbieten, die Datenschutzgrundsätze für Home Office – Tätigkeiten in einer Betriebsvereinbarung festzulegen, sofern ein Betriebsrat existiert.

RA/FAArb Dr. Christoph Kurzböck, LL.M.
Associate Partner
Rödl & Partner (Nürnberg)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

 

 

Kategorien: #EFAR-Beiträge Tags: Corona, Datenschutz, Home Office

  • Dr. Christoph Kurzböck

    RA/FAArb Dr. Christoph Kurzböck, LL.M. Associate Partner Rödl & Partner (Nürnberg) #EFAR - ProfilLinkedIn Xing

Ähnliche Beiträge

Corona
7. Dezember 2020 - Paul Schreiner

Corona-Sonderzahlung: Gestaltungshinweise zur Nettolohnoptimierung

Die steuerfreie Corona-Sonderzahlung ermöglicht neben bereits existierenden Steuerbefreiungen Gestaltungsspielraum für Arbeitgeber zur Optimierung des Nettolohns. Aber auch Fallstricke sind zu beachten.
Lesen
Corona
24. November 2020 - Claudia Knuth

Homeoffice – Aufwand und Kosten: Wer übernimmt was?

Zunehmend stellt sich die Frage - für Arbeitgeber, Betriebsräte und Arbeitnehmer - wer und in welchem Umfang für die Kosten des Arbeitsplatzes im Homeoffice aufkommen muss.
Lesen
Arbeitsschutz
21. Oktober 2020 - Dr. Frank Schemmel

Krankheitssymptome, Aufenthaltsorte, Infektionen: Umgang mit Mitarbeiterdaten in der Corona-Lage

Gesundheitsspezifische Mitarbeiterdaten werden in der Corona-Lage - bewusst oder unbewusst - sehr häufig erhoben. Auf was müssen Unternehmen beim Umgang mit Gesundheitsdaten achten, etwa wenn es um Krankheitssymptome, Aufenthaltsorte oder die Identität von infizierten Personen geht?
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • Live–Log
  • ArbeitsRecht kurios
  • #EFAR–Stellenangebote
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Ein Leichenwagen als Dienstfahrzeug
  • Zeitarbeit: Gleichstellungsgrundsatz europarechtskonform?
  • Agile Transformation im Unternehmen: Strukturiertes Vorgehen bei der Implementierung agiler Arbeitsmethoden
  • Online-Bewerbung: Betriebsrat muss volle Einsicht in Tools und Prozesse erhalten
  • Agile Transformation im Unternehmen: Die Bedeutung der strategischen und unternehmerischen Entscheidung

#EFAR – Jobs

  • Viessmann Legal Counsel – Labour Law (m/w/d) Allendorf (Eder)
  • Sanofi Volljurist Arbeitsrecht (m/w/d) Frankfurt am Main.
  • GvW Graf von Westphalen Fachanwalt mit einschlägiger Berufserfahrung oder als Berufseinsteiger (m/w/d) Frankfurt am Main
  • Lutz I Abel Rechtsanwalt (m/w/d) für Arbeitsrecht in München für Berufseinsteiger oder mit bis zu 5 Jahren Berufserfahrung München

#EFAR – Newsletter

* indicates required

Bitte wählen Sie aus, wie Sie von uns hören möchten Expertenforum Arbeitsrecht:

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices here.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.