Die Covid-19-Pandemie hat die Arbeit im Homeoffice beschleunigt.
Dank zunehmender Digitalisierung von Daten ist das auch immer öfter sinnvoll möglich. Dabei sind jedoch Vorgaben der Datensicherheit (Art. 32 DS-GVO) und der IT-Sicherheit zu beachten.
Unabhängig davon sollten Unternehmer den Schutz ihrer Geschäftsgeheimnisse nicht aus dem Blick verlieren.
In diesem Beitrag habe ich einige Anforderungen zusammengetragen.
Beachten Sie insoweit auch meine Empfehlungen zu Messenger- und Videokonferenzdiensten.
In diesem Zusammenhang sollte nicht vergessen werden, dass auch im Homeoffice zumindest Mehrarbeitszeiten aufgezeichnet werden müssen (§ 16 Arbeitszeitgesetz).
Auch sollten gerade selbstständig tätige Mitarbeiter anhand ihres Mietvertrags überprüfen, inwieweit sie in ihrer Privatwohnung berufliche Tätigkeiten ausüben dürfen. Was gern übersehen wird: Da freie Mitarbeiter Unternehmer sind, können je nach Bebauungsplan und Art der Tätigkeit auch baunutzungsrechtliche Hindernisse bestehen. Auskunft erteilt beispielsweise die örtliche Bauaufsichtsbehörde.e
Das empfiehlt sich auch aus Gründen der Datensicherheit dringend, da sonst die Gefahr besteht, dass geschäftliche Daten mit privaten vermischt werden und Schadsoftware, die sich sehr häufig unerkannt auf privaten Rechnern befindet, auf geschäftliche Daten übergreift. Das kann zur Schadensersatzpflicht und hohen Bußgeldern des Arbeitgebers führen. Überhaupt empfiehlt es sich, Geräte rein geschäftlich zu nutzen. Bedenken Sie beispielsweise, dass Whatsapp regelmäßig das vollständige Adressbuch ausliest und übermittelt, selbst wenn Sie nur mit einigen dieser Rufnummern aktiv “whatsappen”. Nur bei geschäftlichen Endgeräten kann der Arbeitgeber frei festlegen, welche Software installiert wird, dass nur sichere Passwörter verwendet werden oder dass ordnungsgemäße Datensicherungen erfolgen. Der Arbeitgeber muss auch mit dem sogenannten Verarbeitungsverzeichnis eine Katalogisierung der Verarbeitungsarten vornehmen (Art. 30 DS-GVO), deren Einhaltung er bei privaten Endgeräten kaum kontrollieren kann. Der Arbeitgeber kann nicht vom Arbeitnehmer verlangen, auf privaten Rechnern bestimmte, dienstlich benötigte Software zu installieren. Eine geschäftlich-private Mischnutzung ist auch lizenzrechtlich oft unzulässig.
Es ist auch nicht realistisch, von Arbeitnehmern eine Absicherung ihres Rechners nach professionellen Maßstäben zu erwarten, dies ist auch nicht ihre Aufgabe. Selbst wenn ein Arbeitnehmer einen neuen Rechner aus einem Elektronikmarkt einsetzt, sind aktuelle Betriebssysteme wie Windows 10 im Auslieferungszustand nicht DS-GVO-konform, da Standardeinstellungen falsch gesetzt sind und unkontrolliert Daten in Drittstaaten übermittelt werden, wie amtlich bestätigt wurde und sich seitdem nicht substanziell geändert hat.
Nach Art. 5 DS-GVO trägt der Arbeitgeber die Beweislast dafür, dass er angemessene Maßnahmen zur Datensicherheit getroffen hat.
Aber auch im eigenen Interesse seiner Datensicherheit sollte der Arbeitgeber keine Unternehmensdaten an unkontrollierbare, oft unbemerkt infizierte oder aus dem Support gelaufene private Telefonanlagen sowie an rechtlich problematische E-Mail- oder Cloud-Provider (Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO vorhanden?) streuen, die meist für geschäftliche Nutzung ungeeignet sind. Wenn Sie unbedingt eine externe Cloud zum Dateitausch benötigen, ist die MagentaCloud der Deutschen Telekom meiner Prüfung zufolge (April 2022) zumindest prinzipiell rechtmäßig nutzbar.
Der Arbeitgeber sollte die beteiligten Systeme richtig konfigurieren und härten. Er muss notwendige Patches installieren, eine Antiviren-Software und eine Firewall verwenden und warten.
Externe Laptops und Datenträger sind, wenn personenbezogene oder sonst sensible Daten enthalten sind, zu verschlüsseln. Keine Verschlüsselung ist die bloße Abfrage von Benutzername und Passwort bei der Windows- oder Netzwerkanmeldung. Werden Datenträger nicht verschlüsselt, kann dies im Verlustfall sogar eine Pflicht zur Selbstanzeige des Arbeitgebers nach Art. 33 DS-GVO und möglicherweise zur Benachrichtigung mitbetroffener Geschäftspartner und Kunde nach Art. 34 DS-GVO auslösen.
Erforderlich sind außerdem
- eine Bildschirmsperre,
- ein Berechtigungskonzept,
- WLAN-Verschlüsselung,
- sichere Passwörter,
- Regelung für Ausdrucke,
- gegebenenfalls eine Zwei-Faktor-Authentifizierung,
- gegebenenfalls ein datenschutzkonformer Remote-Support,
- gegebenenfalls ein Proxy-Server,
- gegebenenfalls Public-Cloud-Filter und
- gegebenenfalls Backups.
Es handelt sich dabei um sogenannte technische und organisatorische Maßnahmen zur Datensicherheit (‘TOM’). Jeder Unternehmer sollte hierüber eine Übersicht führen, die auch bei Homeoffice-Konstellationen zutreffen sein muss.
Wer außerdem personenbezogene Daten im Auftrag verarbeitet (Art. 28 DS-GVO), weil er beispielsweise bestimmte Onlinedienste anbietet, hat sich vertraglich zur Einhaltung bestimmter technischer und organisatorischer Maßnahmen zur Datensicherheit verpflichtet.
Diese müssen auch im Homeoffice gewahrt sein, falls die Datenverarbeitung (auch) dort stattfindet oder Zugriffe möglich sind. Zu solchen vertraglichen Pflichten können auch Homeoffice-Kontrollen gehören, gegebenenfalls sogar von Kunden (Art. 28 Abs. 3 Buchst. h DS-GVO).
Unterlagen sind nach der Arbeit in einem abschließbaren Schrank aufzubewahren, der gegebenenfalls vom Arbeitgeber bereitzustellen ist. Nicht mehr benötigte Unterlagen sind nicht über den privaten Hausmüll zu entsorgen, sondern es sind entweder ausreichende Aktenvernichter zur Verfügung zu stellen und zu verwenden, oder es sind diejenigen im Betrieb zu verwenden. Welche Aktenvernichter geeignet sind (Partikelgröße), richtet sich nach der Sensibilität der Daten. Generell sollten dienstliche Unterlagen nicht oder nur im Rahmen des Notwendigen nach Hause mitgenommen werden.
Auch besteht bei bestimmten Fällen der Verletzungen der Datensicherheit eine Meldepflicht des Arbeitgebers gegenüber der Datenschutz-Aufsichtsbehörde, die binnen 72 Stunden zu erfüllen ist. Diese muss auch im Homeoffice erfüllt werden.
Viele Unternehmen verarbeiten (sei es als Haupttätigkeit oder nicht) für andere Unternehmen Daten im Auftrag (Art. 28 DS-GVO) und haben in diesem Zusammenhang bestimmte Maßnahmen zur Datensicherheit vertraglich zugesagt, zum Beispiel Alarmanlagen, elektronische Zutrittskarten oder WLAN-Verschlüsselung. Es muss sichergestellt und auf Anfrage nachgewiesen werden, dass vertraglichen Maßnahmen auch bei Homeoffice-Tätigkeit umgesetzt werden. Dabei kann eine Homeoffice-Richtlinie helfen. Können solche Zusagen nicht eingehalten werden, dürfen sie entweder erst gar nicht abgegeben werden oder die bestehenden Verträge sind anzupassen; anderenfalls darf die fragliche Datenverarbeitung nicht im Homeoffice stattfinden. Beispiel: Wer seinen Kunden vertraglich zugesagt hat, dass ihre Daten in Tresoren gelagert werden, der Eingang von einem Sicherheitsdienst bewacht wird oder Festplatten vollverschlüsselt sind, dies im Homeoffice aber nicht erfüllt, begeht Vertragsbruch.